«Киберпреступники, использующие программы-вымогатели, в последние годы стали намного смелее…»

«Киберпреступники, использующие программы-вымогатели, в последние годы стали намного смелее…»

Владимир Безмалый

По словам Sophos, злоумышленники пообещают публично раскрыть украденные данные, попытаться удалить любые резервные копии и даже развернуть DDoS-атаки, чтобы убедить жертв уступить требованиям выкупа.

Киберпреступники, использующие программы-вымогатели, в последние годы стали намного смелее. Помимо кражи конфиденциальных данных, такие преступники прибегают к различным тактикам, чтобы еще больше убедить жертву заплатить выкуп. В новом  отчете  компании Sophos рассматриваются 10 способов, с помощью которых злоумышленники заставляют организации платить требуемый выкуп. Отчет также включает рекомендации о том, как защититься от атак такого типа.

В прошлом программа-вымогатель была относительно простой задачей. Злоумышленник может взломать организацию и зашифровать важные данные. Без надежной или последней резервной копии у этой организации не было бы других вариантов, кроме как заплатить выкуп в надежде, что данные будут расшифрованы.

Однако теперь организации стали более внимательными к резервному копированию важных данных, а это означает, что они с меньшей вероятностью заплатят выкуп. В результате киберпреступники прибегли к более агрессивным и силовым уловкам, требуя уплаты выкупа.

1. Обещание опубликовать данные публично. Одной из распространенных тактик, используемых злоумышленниками, является уловка с двойным вымогательством. В этом случае преступник клянется опубликовать или даже продать данные в Интернете, если выкуп не будет уплачен. Даже если у жертвы есть надежные резервные копии, она может почувствовать давление, чтобы заплатить выкуп вместо того, чтобы рисковать смущением и возможными юридическими последствиями в случае утечки данных.

2. Связь с сотрудниками напрямую. Чтобы оказать дополнительное давление на организацию, злоумышленники будут связываться с руководителями высшего звена и другими сотрудниками, чтобы предупредить их о том, что их личные данные будут утечкой, если выкуп не будет уплачен.

3. Связь с партнерами, клиентами и СМИ. В других случаях злоумышленники обращаются к бизнес-партнерам, клиентам и даже средствам массовой информации и говорят им, чтобы они убедили потерпевшую организацию заплатить.

4. Предупреждение жертв не обращаться в правоохранительные органы. Многие организации обращаются к сотрудникам правоохранительных органов или другим сторонам за помощью в разрешении инцидента. Такой шаг может помочь жертве восстановить свои данные без уплаты выкупа или поставить злоумышленника под прицел правоохранительных органов. Опасаясь такого исхода, многие преступники будут предупреждать своих жертв о молчании.

5. Привлечение инсайдеров. Некоторые преступники будут пытаться убедить сотрудников или инсайдеров помочь им проникнуть в организацию для проведения атаки с использованием программ-вымогателей. Взамен злоумышленники обещают инсайдеру часть выкупа. Есть надежда, что они найдут недовольного или нечестного сотрудника, который охотно будет эксплуатировать собственного работодателя.

6. Смена паролей. После первоначальной атаки многие операции с программами-вымогателями создают новую учетную запись администратора домена, через которую они меняют пароли для всех других учетных записей администраторов. Это не позволит другим администраторам войти в сеть для решения проблемы или восстановления зашифрованных файлов из резервных копий.

7. Запуск фишинговых кампаний. В одном инциденте, отмеченном Sophos, злоумышленники отправляли сотрудникам фишинговые электронные письма, чтобы заставить их запустить вредоносное ПО, обеспечивающее полный доступ к их электронной почте. Затем злоумышленники использовали эти скомпрометированные учетные записи, чтобы связаться с ИТ-отделом, юридическим отделом и отделом безопасности, чтобы предупредить о новых атаках, если выкуп не будет уплачен.

8. Удаление резервных копий. Когда злоумышленники охотятся через сеть за жертвой, они будут искать любые резервные копии конфиденциальных данных. Затем они удаляют эти резервные копии или удаляют программное обеспечение для резервного копирования. В одном случае, описанном Sophos, злоумышленники использовали скомпрометированную учетную запись администратора, чтобы связаться с хостом онлайн-резервных копий жертвы и попросить их удалить внешние резервные копии.

9. Отправка физических копий записки о выкупе. Некоторые преступники заваливают офисы и сотрудников жертвы физическими копиями записки о выкупе, отправляемой на подключенные принтеры и терминалы торговых точек.

10. Запуск распределенных атак типа «отказ в обслуживании». Несколько банд вымогателей обратились к DDoS-атакам, чтобы попытаться убедить упорных жертв заплатить выкуп. Такие атаки не только перегружают веб-серверы организации, но и отвлекают ИТ-специалистов и сотрудников службы безопасности еще одной проблемой.

Чтобы помочь защитить вашу организацию от атак программ-вымогателей, Sophos предлагает несколько советов:

  • Настройте программу обучения для своих сотрудников, чтобы помочь им распознавать типы электронных писем, которые используют злоумышленники, и требования, которые они могут предъявить в рамках атаки с использованием программ-вымогателей.
  • Создайте круглосуточный контактный пункт для ваших сотрудников, чтобы они могли сообщать о любых подозрительных действиях со стороны потенциального злоумышленника.
  • Внедрите процесс сканирования на предмет возможных злонамеренных действий инсайдеров, например сотрудников, которые пытаются получить доступ к неавторизованным учетным записям или активам.
  • Постоянно следите за сетевой безопасностью и обратите внимание на  пять первых признаков  присутствия злоумышленника, чтобы предотвратить атаки программ-вымогателей, прежде чем они нанесут ущерб.
  • Отключите любые экземпляры протокола удаленного рабочего стола (RDP) с выходом в Интернет, чтобы предотвратить доступ злоумышленников к вашей сети. Если сотрудникам требуется удаленный доступ к внутренней системе, поместите его за VPN или соединение с нулевым доверием и убедитесь, что действует многофакторная аутентификация .
  • Регулярно создавайте резервные копии важных данных и держите хотя бы один экземпляр резервной копии в автономном режиме. Используйте метод 3-2-1 для резервного копирования. Это означает резервное копирование трех копий данных с использованием двух разных систем, одна из которых находится в автономном режиме.
  • Чтобы злоумышленники не отключили вашу систему безопасности, воспользуйтесь продуктом с облачной консолью управления, которая предлагает многофакторную аутентификацию и ролевое администрирование для ограничения доступа.
  • Составьте эффективный план реагирования на инциденты и обновляйте его по мере необходимости.

16 ноября, 2021

Источник https://ib-bank.ru/bisjournal/news/16545

Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только