Как изощренные атаки максимизируют прибыль хакеров и к каким действиям по защите необходимо прибегнуть прямо сейчас

Программы-вымогатели меняют свой образ. Платить ли им выкуп, как защититься и что предпринять в случае ransomware атак?

Главными новостями с начала прошлого месяца являлись заявления о преступной деятельности хакерских группировок по всему миру с целью получения средств за украденные и зашифрованные данные. Поэтому месяц май отличился рядом крупных кибератак, в том числе с использованием вымогательского ПО (ransomware).

ЧТО СЛУЧИЛОСЬ?

Ливерпульский метрополитен пострадал от атаки шифровальщика Lockbit, работа судебной системы одного бразильского штата была приостановлена из-за зловредного шифрования файлов на компьютерах в системе, а хакеры Babuk Locker, атаковавшие управление полиции столичного округа Колумбия, пригрозили в случае неуплаты выкупа обнародовать данные уголовных расследований и раскрыть полицейских информаторов.

Атака Conti серьезно подорвала систему здравоохранения Ирландии, а филиалы страхового гиганта AXA подверглись кибератаке с использованием программ-вымогателей, в ходе которой хаккеры украли 3 ТБ конфиденциальных данных из азиатских подразделений AXA.

Целью всех этих атак, к сожалению, выступают критически важные объекты инфраструктуры, государственные и коммерческие социальные учреждения, которые функционируют в качестве системы жизнеобеспечения нашего повседневного существования. Следовательно, атаки на подобные объекты могут приводить к далеко идущим последствиям от деятельности преступных группировок.

КРУПНЫЕ КОРПОРАЦИИ НЕ СПРАВЛЯЮТСЯ

Даже безопасность таких компаний, как Apple подверглась атаке: бренд стал жертвой вымогателей. Группа киберпреступников Sodinokoby украла конфиденциальную информацию о будущей продукции бренда (ноутбуков MacBook и других устройств) посредством программы-вымогателя REvil, взломав системы компании Apple Quanta Computer (партнера Apple). Хакеры потребовали выкуп от Quanta Computer в размере $50 млн до 27 апреля и угрожали опубликовать в открытом доступе более десятка схем и чертежей компонентов. Было также отмечено, что размер выкупа можно снизить с 50 млн до 20 млн, в том случае, если он будет выплачен до 7 мая.
Позже операторы вымогательского ПО REvil по неизвестным причинам удалили похищенные схемы Apple со своего сайта утечек данных.

Испанский сервис доставки еды Glovo, который так полюбился украинцам, также был подвержен хакерской атаке в ходе которой, данные десятков миллионов пользователей (160 ГБ данных с информацией об именах, номерах телефонов, паролях) были выставлены на продажу за $85 000.

Компания Toyota подверглась двойной кибератаке в мае: первая ударила по европейским операциям компании Daihatsu Diesel Company, дочерней компании Toyota, позже Toyota Auto Parts Manufacturing Mississippi раскрыла еще одну атаку с использованием программы-вымогателя. В отчетах говорится, что некоторые финансовые данные и данные клиентов были извлечены и разоблачены злоумышленниками.

УГРОЗЫ СОВРЕМЕННОЙ ЭКОНОМИКИ: АТАКА НА КРИТИЧЕСКУЮ ИНФРАСТРУКТУРУ

Самая масштабная за этот период ransomware атака остановила работу крупнейшего трубопровода США. 6 мая оператор трубопровода Colonial Pipeline подвергся кибератаке от группировки DarkSide, в результате которой, компания была вынуждена приостановить транспортировку топлива на всей протяженности трубопровода в 9 000 километров. DarkSide проникла в сеть Colonial Pipeline и получила почти 100 ГБ данных. Захватив данные, хакеры заблокировали данные на некоторых компьютерах и серверах, потребовав выкуп. В случае невыплаты хакеры пригрозили утечкой данных. Сайт Colonial Pipeline был недоступен, и только после выплаты компанией вымогателям выкуп в размере 5 000 000 долларов США 14 мая компания смогла восстановить прекращенную 7 мая прокачку нефти.

По масштабу атака на Colonial Pipeline стала сравнима с инцидентами NotPetya и атакой на Solar Winds.

ПЛАТИТЬ ЛИ ВЫКУП?

Существует шокирующая реальность функционирования программ-вымогателей: 92% организаций не получают обратно все свои данные, даже если они заплатили выкуп. Несмотря на это, 32% компаний в 2021 году все еще готовы его заплатить, с надеждой на полное восстановление своей информации. Из-за такой готовности компаниями выполнять любые условия преступных группировок, только в первые три месяца 2021 года сумма выкупа, требуемого хакерами, существенно возросла и теперь составляет в среднем $220 000, тогда как в три последних месяца 2020 года этот показатель находился на уровне $154 000. Но даже заплатив такие баснословные суммы треть организаций так и не смогли восстановить более половины своих зашифрованных данных.

Также стоит учитывать тот факт, что понятие атаки программы-вымогателя с каждым днем развивается, и теперь такие атаки включают платежные требования и без шифрования данных. Злоумышленники требуют оплату в обмен на то, что они не допустят утечку украденной информации в интернете. Но даже после оплаты средств вымогателям в таком случае компания не имеет никаких гарантий и не может оставаться защищенной от публикации или продажи этих данных. Ведь как можно полагаться на добросовестность мошенников?

Угрозы программ-вымогателей почти всегда имеют дорогостоящие последствия для бизнеса, включая сбои в работе и кражу конфиденциальных данных. Так стоит ли подвергаться такому дорогостоящему риску?

ВРЕМЯ ДЕЙСТВОВАТЬ

Готовность к программам-вымогателям стала настолько обязательной для всех организаций, что даже руководители и советы директоров признают это как часть своей ответственности за функционирование бизнеса. Команда компании CrowdStrike — разработчика систем кибербезопасности, которая защищает от хакеров тысячи компаний масштаба Amazon, регулярно помогает организациям как в подготовке и превентивной защите, так и в реагировании на атаки программ-вымогателей. Компания оглашает некоторые из практик, которые рекомендует применить в такое неспокойное от атак время.

1. Повышение устойчивости приложений с выходом в интернет

Не рекомендовано напрямую подключать RDP к Интернету. Злоумышленники используют однофакторную аутентификацию и незарегистрированные интернет-приложения. Хакеры регулярно нацеливаются на системы с помощью протокола удаленного рабочего стола (RDP), доступного из Интернета.

Рекомендовано использовать VPN с многофакторной аутентификацией и следить за тем, чтобы любые CVE, связанные с платформой VPN и базовым приложением аутентификации, имели приоритет для исправления. Этот принцип должен распространяться на все удаленные методы, включая, помимо прочего, Active Directory (AD) и Citrix Gateway.

2. Внедрение и повышение безопасности электронной почты

Попадание в организацию-жертву через фишинговое письмо является наиболее распространенной тактикой. Как правило, эти фишинговые электронные письма содержат вредоносную ссылку или URL-адрес, доставляющие данные на рабочую платформу получателя.

Рекомендовано реализовать решение для защиты электронной почты, которое выполняет фильтрацию URL-адресов, а также изолированную программную среду вложений. Кроме того, организации могут запретить пользователям получать защищенные паролем zip-файлы, исполняемые файлы, javascripts или файлы пакетов установщика Windows, если только в этом нет законной деловой необходимости. Добавление тега «[External]» к электронным письмам, исходящим не из организации, и предупреждающего сообщения в верхней части электронного письма может помочь напомнить пользователям о необходимости проявлять осмотрительность при обработке таких писем.

У пользователей также должен быть документированный процесс, чтобы сообщать о любых электронных письмах, в которых они не уверены. Кроме того, организациям следует рассмотреть возможность ограничения доступа пользователей к личным учетным записям электронной почты.

3. Защита конечных точек

На протяжении жизненного цикла атаки, который в конечном итоге завершается развертыванием программы-вымогателя, злоумышленники часто используют ряд методов эксплуатации конечных точек. Эти методы эксплуатации варьируются от использования плохих конфигураций AD до использования общедоступных эксплойтов против незащищенных систем или приложений.

Поэтому стоит:

• Обеспечить полное покрытие всех конечных точек в вашей сети для продуктов безопасности конечных точек и для платформы обнаружения и защиты конечных точек (EDR).
• Разработать программу управления уязвимостями и исправлениями.
• Следовать рекомендациям по безопасности Active Directory: избегать легко угадываемых паролей со слабыми методами аутентификации; избегать наличия у обычных пользователей домена с привилегиями локального администратора и учетных записей локальных администраторов с одинаковыми паролями для всего предприятия; ограничить обмен данными между рабочими станциями; избегать совместного использования привилегированных учетных данных.

4. Резервное копирование в автономном режиме

Единственный надежный способ спасти данные во время атаки программ-вымогателей — это резервные копии, защищенные от программ-вымогателей. При разработке автономной инфраструктуры резервного копирования, защищенной от программ-вымогателей, следует учитывать следующие моменты:

• Автономные резервные копии, а также индексы (описывающие, какие данные содержатся) должны быть полностью отделены от остальной инфраструктуры.
• Доступ к таким сетям должен контролироваться с помощью списков строгого контроля доступа (ACL), и все аутентификации должны выполняться с использованием многофакторной аутентификации (MFA).
• Администраторам, имеющим доступ как к автономной, так и к сетевой инфраструктуре, следует избегать повторного использования паролей учетных записей.
• Сервисы облачного хранилища со строгими списками ACL и правилами также могут служить в качестве инфраструктуры автономного резервного копирования.
• Чрезвычайные ситуации, такие как атака программы-вымогателя, должны быть единственным случаем, когда автономной инфраструктуре разрешается подключение к действующей сети.

5. Ограничение доступа к инфраструктуре управления виртуализацией

Новые атаки включают в себя возможность атаковать виртуализированную инфраструктуру напрямую. Этот подход позволяет использовать гипервизоры, которые разворачивают и хранят виртуальные машины (VMDK). В результате продукты для обеспечения безопасности конечных точек, установленные на виртуализированных машинах, не видят злонамеренных действий, предпринимаемых на гипервизоре.

Многие системы ESXi (гипервизоры VMware) не имеют протокола Secure Shell (SSH) по умолчанию и обычно управляются через vCenter. Если SSH отключен, ранее украденные учетные данные администратора используются для включения SSH во всех системах ESXi, следовательно:

• Ограничьте доступ к хостам ESXi для небольшого количества систем и убедитесь, что эти системы имеют надлежащий мониторинг конечных точек.
• Убедитесь, что доступ по SSH отключен, или убедитесь, что он защищен MFA.
• Убедитесь, что пароли уникальны для каждого хоста ESXi, а также для веб-клиента и являются надежными.

6. Внедрение программы управления идентификацией и доступом (IAM)

СДЕЛАЙТЕ ПЕРВЫЕ ШАГИ УЖЕ СЕЙЧАС

Любая организация может стать жертвой дорогостоящих кампаний вымогателей с требованиями выкупа в семизначном размере, но многое можно сделать, чтобы остановить злоумышленников. Ущерб, который компании могут понести от одной такой атаки, может в десятки раз превысить расходы на ее предотвращение и современную защиту. Тем более, нужно учитывать тот факт, что каждое злоумышленное действие на организацию приводит не только к материальным потерям, но и несет большой урон деловой репутации, бренду и положению. Избежать таких рисков помогает компания iIT Distribution.

iIT Distribution специализируется на передовых решениях информационной безопасности. Мы не только обеспечиваем поставку программного обеспечения и технического оборудования, но и предоставляем полный комплекс услуг по сопровождению и консультации. Мы предлагаем первоначальную экспертизу и оценку состояния вашей информационной безопасности предприятия, которую проводят высококвалифицированные специалисты, подбор оборудования и ПО и внедрения комплексных решений кибербезопасности в имеющуюся инфраструктуру, поэтому вы можете быть уверены в своей защите!

Обращайтесь к нам через форму обратной связи на сайте и получите консультацию от профессионалов!