12 мая эксперты Лаборатории Касперского
опубликовали большой отчет об эволюции атак с шифрованием
данных и последующим вымогательством. В статье прежде всего
уделяется внимание организации этого криминального бизнеса и
рассматриваются атаки на крупные компании. Одним из явных трендов
года стала охота преступных группировок за крупной дичью
сравнительно большими организациями, способными выплатить серьезный
выкуп в цифровой валюте. Отчет публикуется на фоне ежедневных
новостей об атаках на бизнес, включая такие громкие события, как
атака на компанию Colonial Pipeline.Самое важное, что нужно знать о таких группировках: они сложно устроены и не работают автономно. От этой угрозы не получится избавиться, даже если найти и арестовать организаторов отдельной кампании. Экосистема перестанет работать, только если лишится доходов, то есть когда пострадавшие перестанут платить выкуп. Исследование приводит примеры набора участников в новые организации и указывает типичные роли: продавцы учетных данных, разработчики вредоносного ПО, аналитики, ответственные за отмывание криптовалюты.
Самый актуальный миф, который опровергается в статье, это утверждение, что цели атак выбираются заранее. На самом деле их находят случайным образом. Чаще всего владельцы бот-сетей и брокеры, продающие доступ к скомпрометированным компьютерам и серверам, выставляют информацию о потенциальных жертвах, и цели определяются из наличия. Здесь есть важная рекомендация для IT-безопасников: нужно вовремя обнаруживать отдельные инциденты, связанные с проникновением в защищенный периметр или заражением вредоносным ПО. Между этим первым звонком и полномасштабной атакой возможен временной лаг, позволяющий избежать серьезных последствий.
Исследование в подробностях описывает деятельность двух крупных группировок вымогателей, REvil и Babuk. Помимо прочего, отмечается более агрессивное давление на потенциальных жертв, мотивирующее быстрее выплачивать выкуп. Для этого в даркнете создаются веб-сайты с примерами украденных данных, информация об утечках сливается в СМИ. И наоборот, для облегчения клиентского опыта улучшается поддержка жертв например, создается отдельный чат для общения с вымогателями. В предыдущей публикации экспертов Лаборатории Касперского по теме пользовательских вымогателей отмечается снижение количества широкомасштабных атак. Новый отчет показывает, куда переместилось внимание киберпреступников, и подробно описывает превращение криминальных операций в сложный и разветвленный бизнес.
Что еще произошло:
Атака на оператора нефтепровода Colonial Pipeline в США привела к кратковременному прекращению поставки нефтепродуктов на восточном побережье страны, вызвала панику на автозаправках и, судя по всему, в дальнейшем приведет к изменениям в мерах по борьбе с киберпреступностью. На прошлой неделе вышло много публикаций по этой атаке, но далеко не вся информация подтверждена. Вот наиболее интересные статьи:
Анализ деятельности группировки DarkSide, взявшей на себя ответственность за атаку, от Брайана Кребса (Brian Krebs). Ранее в Твиттере он то ли в шутку, то ли всерьез указывал на очевидный факт относительно вредоносных программ-шифровальщиков с русскоязычными корнями: они избегают системы с кириллической раскладкой.
Локализация отмечена и в отчете Лаборатории Касперского, но в ином контексте: русскоязычные организаторы атак стараются не работать с англоязычными партнерами, опасаясь контратак или утечки информации. Для теста на знание языка в одном примере предлагается использовать местный фольклор.
Разбор технических особенностей вредоносного ПО, используемого DarkSide в предыдущих атаках.
Неподтвержденная официально информация, согласно которой Colonial Pipeline заплатила вымогателям пять миллионов долларов. Здесь утверждается, что организаторы атаки потеряли доступ к своей инфраструктуре, а также к криптокошелькам.
Анализ движения средств в Bitcoin-кошельках, предположительно принадлежащих DarkSide.
Помимо этого инцидента ИБ-жизнь идет своим чередом. Большим событием стало исследование об уязвимостях в устройствах и самом протоколе Wi-Fi. Коллекция атак Fragattacks (сайт проекта, обсуждение на Хабре) использует уязвимости, не зависящие от типа шифрования (вплоть до WPA3), и может быть задействована для кражи данных или перенаправления пользователя на вредоносные ресурсы.
Исследователь из Швеции Понтус Джонсон (Pontus Johnson) нашел уязвимость в концепции универсальной машины Тьюринга, предложенной еще в 1967 году (статья The Register, исследовательская работа). В ходе этого исключительно теоретического упражнения был найден способ запуска произвольного кода. Причина: отсутствие валидации ввода.
Предложен способ передачи произвольных данных и получения информации с устройств на базе iOS и MacOS. Используется уязвимость протокола Bluetooth и особенности технологии Find My для поиска потерянных девайсов.
MSI предупреждает о поддельных сайтах, распространяющих вредоносное ПО под видом популярной утилиты Afterburner для разгона видеокарт.
