Киберзащита

Всеобщая самоизоляция и удаленная работа повлияли на активность киберпреступников. Но хотя частота и методы атак изменились, сегодня угрозой 1 для бизнеса по-прежнему остается Ransomware. Этот тезис подтвердил отчет, подготовленный на базе информации из сети операционных центров киберзащиты Acronis (CPOC). Под катом прогнозы на 2021, данные исследований, а также статистика и выводы.

Итоги 2020 года показывают, что злоумышленники тоже начали адаптироваться к новой реальности и часто у них это получается лучше, чем у реального бизнеса. По мере того, как персонал по всему миру хотя бы частично остается в режиме удаленной работы, киберпреступники начали таргетировать свои атаки на самих работников, а также на провайдеров, обеспечивающих им доступ (MSP).

По итогам исследования наши аналитики сделали несколько выводов. Здесь мы решили привести самые интересные из них.

• Удаленные сотрудники станут более частой мишенью атак, потому что защита систем вне корпоративной сети легче взломать, и злоумышленники уже убедились в этом;

• Атаки с применением программ-вымогателей будут автоматизированы еще сильнее, и благодаря этому хакеры смогут атаковать конкретные компании и пользователей. При этом стоит ждать одновременного шифрования и кражи данных;

• Опасность для малого бизнеса возрастает, так как дополнительным каналом угроз становятся атаки на MSP и ПО для удаленной работы.

• Старая защита уже не работает, потому что для создания вредоносных программ используется ИИ и количество штаммов вредоносного ПО будет только увеличиваться. Учитывая, что новые версии только Ransomware появляются каждые 3-4 дня, а злоумышленники становятся все более изобретательными, для борьбы с ними нужны более гибкие подходы.

Ransomware

По данным Coalition (однин из крупнейших поставщиков услуг в сфере киберстрахования), 41% исков в уходящем году пришелся на долю атак с использованием программ-вымогателей.

Цитата:

Программы-вымогатели не делают различий между отраслями. Увеличение количество атак с их использованием фиксируется практически во всех отраслях, которые мы обслуживаем, говорится в докладе Coalition.

Мы в Acronis за последние девять месяцев обнаружили около 50 новых семейств программ-вымогателей. И что характерно для новой реальности, некоторые из них ориентируются на обычного пользователя, работающего из дома. Но такие группы, как Avaddon, Mount Locker и Suncrypt, нацелены на заражение более прибыльных корпоративных клиентов. При этом все чаще вредоносное ПО предоставляется как услуга. Из-за этого количество атак становится намного больше. А жизненный цикл экземпляра вредоносного ПО составляет всего 3-4 дня.

В марте, когда в большинстве стран был впервые объявлен карантин, центры Acronis CPOC наблюдали пиковое значение количества новых программ-вымогателей в глобальном масштабе. Активность Ransomware с того момента остается повышенной. При этом нет никакого распределения по вертикалям или географическим регионам атаки охватывают все отрасли и регионы. то здесь выраженных предпочтений у злоумышленников нет.

Интересно, что почти половина атак с применением Ransomware в 2020 году была осуществлена за счет вредоносного ПО Maze. При этом киберпреступники не останавливаются на достигнутом и ищут способы увеличить прибыль. Вместе с шифрованием происходит кража конфиденциальной, а иногда и компрометирующей информации для шантажа и публикации украденных данных.

Предположительно, именно с помощью Maze 30 июля 2020 года была проведена атака на Canon, в результате которой был выведен из строя сервис облачного хранения image.canon. При этом злоумышленник, взявший на себя ответственность за атаку,заявил о краже 10 ТБ личных данных. Кстати, это вполне вероятно, потому что операторы Maze уже опубликовали данные Xerox и LG, отказавшихся платить выкуп. Эта информация была украдена во время успешной атаки в июне 2020 года.

Факты о Maze

• Не только шифрует, но и крадет данные, чтобы опубликовать их, если выкуп не будет выплачен

• Крупнейшими жертвами Maze стали Canon, Xerox и LG

• Использует методы противодействия разборке и отладке

• Не шифрует системы, в которых по умолчанию установлен регион Россия

• блокируется вызов wmic.exe для удаления теневых копий

• Отправляет запрос HTTP на сервер C&C в сети 91.218.114.0 которая зарегистрирована в Москве, Россия

• Для распространения использует инструменты Mimikatz, Procdump и Cobalt Strike

Конечно, Maze обходит стороной российские компании, но не стоит расслабляться другие шифровальщики перенимают эту модель и тоже начинают красть данные пользователей. По нашим данным в 2020 году более 1 000 компаний стали жертвами утечки информации после атак с применением программ-вымогателей, и в следующем году эта тенденция только усилится, потеснив шифрование данных.

Удаленные сотрудники под прицелом

Но вернемся к проблеме удаленных рабочих мест. Чуть ранее мы публиковали отчет Acronis Cyber Readiness Report (ссылка), который показал, что ИТ-менеджеры столкнулись с очень неприятной ковид-проблемой при массовом переходе сотрудников на удаленку. Лидером списка сложностей стала проблема инструктажа пользователей, а уже на втором месте идут технические меры их поддержки. Таким образом, сами сотрудники оказались под ударом.

При этом атаки на пользователей происходят через различное ПО, необходимое при удаленной работе. Мы уже сообщали о взломах Zoom, но аналогичным атакам подверглись также Microsoft Teams и Webex. Например, 50 000 пользователей Microsoft 365 были атакованы в течение недели фишинговыми письмами, из которых работники попадали на фиктивную страницу входа в систему Microsoft 365.

Атакам подверглись файлообменники Microsoft, такие как Sway, SharePoint и OneNote. Например, атака PerSwaysion (как можно догадаться, нацеленная на сервисы Sway), начинается с рассылки фишинговых писем с вредоносным вложением PDF. Пользователи думают, что получают уведомление от файлообменника Microsoft 365 с гиперссылкой Read Now. При переходе по ссылке открывается еще один обманный документ файлообменника Microsoft Sway. И если снова пройти по ссылке, вы попадаете на фальшивую страницу входа в систему Microsoft, чтобы поделиться своими учетными данными с мошенниками.

Разумеется, уязвимости существуют не только у продуктов Microsoft. В 2020 году мы регистрировали критические уязвимости для целого спектра различных продуктов, включая те самые VPN, которые должны обеспечить безопасный доступ для удаленных сотрудников. Например, в Citrix VPN уязвимость позволяла запускать произвольный код (CVE-2019-19781), а на серверах Pulse Secure VPN уязвимость CVE-2019-11510 позволяет читать произвольные файлы.

Атаки на MSP

К тому же злоумышленники прекрасно понимают, что компании СМБ в своем большинстве пользуются сервисами провайдеров управляемых услуг (MSP). И вместо того, чтобы взламывать 100 разных компаний, хакеры стали чаще обращать внимание именно на сети MSP. 2020 год показал, что взломать MSP можно разными способами. Например, для этого все чаще используются уязвимости и недостаточная защита ПО удаленного доступа. Компании, которые не устанавливали патчи, не использовали двухфакторную аутентификацию, а также не боролись с фишингом получили максимум ущерба.

Например, транснациональный поставщик IT-сервисов DXC Technology сообщила об атаке на ИТ-системы своей дочерней компании Xchanging. Сервисами этой компании пользуются организации из сферы страхования, финансовых услуг, аэрокосмическая промышленность, оборонные компании, автомобильная промышленность, организации из сферы образования, производители потребительских товаров, организации здравоохранения и обрабатывающая промышленность. Еще один пример канадская Pivot Technology Solutions, которая также сообщила о кибератаке на свою IT-инфраструктуру. В сообщении компании говорится, что атака могла затронуть и персональные данные пользователей клиентов компании и их сотрудников. Так что в 2021 году стоит ждать продолжения подобных атак, ведь с точки зрения злоумышленников они полностью оправдали себя.

Уязвимости, затраты и примеры атак

Наши аналитики провели более детальный анализ киберугроз и атак, совершенных в 2020 году. Поэтому в следующем посте мы расскажем о том, как изменились затраты компаний на безопасность, насколько выросло количество уязвимостей в различном ПО, а также о популярности различных типов кибератак.

Если вам хочется почитать отчет целиком, полную версию Acronis Cyber Threats Report можно прочитать здесь (ссылка).

2 апреля 2021 года закончилось ежегодное мероприятие Cyber Protection Week, которая раньше называлась BackUp Day. За последние годы пришлось уйти от формата одного дня, потому что тем для обсуждения стало очень много, и вести разговор не только о бэкапе, но и о других аспектах киберзащиты. Сегодня мы делимся основными выводами, которые были сделаны по итогам Cyber Protection Week 2021 с учетом исследований и опросов участников мероприятия.

В этому году в рамкахCyber Protection Week был проведен опрос 2200 пользователей из 22 разных стран на 6 континентах, и в этом посте мы хотим поделиться его результатами. Помимо традиционных вопросов мы хотели узнать, как на людей повлияли события прошлого года пандемия COVID, введенные в разных странах локдауны и ограничения. В прошлом мы уже писали о том, что сами тема коронавируса создала повод для множества манипуляций и кибератак. Но было интересно узнать, как сами пользователи оценивают динамику угроз, с которыми им пришлось столкнуться в реальности. Ведь во время самоизоляции зависимость от сохранности данных и цифровых сервисовзначительно возросла.

1.Потерь данных становится все больше, а уровень защиты падает

Опрос показал, что каждый десятый пользователь не проводит резервное копирование своих данных и не устанавливает такие системы на свои устройства. Эти люди, как правило, считают, что не могут потерять свои данные или полагают, что для них это будет не критично.

При этом персональных пользователей, которые в действительности практикуют резервное копирование, занимались их восстановлением. Таким образом, проблема потери данных действительно существует среди частных пользователей. Но, что самое печальное, у 79% из них процесс восстановления в итоге занимал до 12 часов, на протяжении которых люди пытались получить доступ к своим системам и файлам. Возможно, это связано с тем, что процедура восстановления производится относительно редко, а возможно с недостаточно продуманным процессом самого бэкапа.

В любом случае, по сравнению с прошлым годом случаев потери данных частными пользователями стало больше. Почти 75% сталкивались с перманентной потерей данных, которые им не удалось восстановить. И этот показатель будет только расти для тех, кто продолжает жить без каких-либо решений для защиты данных.

2. Пользователи оказались не в курсе большинства угроз

При том, что за время пандемии количество кибератак выросло на 400%, исследование показало, что почти 25% частных пользователей вообще не слышали о программах-вымогателях, крпито-джекинге, DoS / DDoS атаках или взломах интернета вещей. Для читателей Хабра это может показаться странным, но значительная часть обычных пользователей вообще не в курсе, что может произойти с их данными. И эти результаты исследования Cyber Protection Week Report напрямую коррелируют с объемами потери данных частными пользователями.

Почти 40% частных пользователей отметили, что они даже не поняли бы, если бы к их данным кто-то получил доступ или изменил их. Этот показатель вырос на 10% по сравнению с результатами Cyber Protection Week 2020 года. Еще больше людей (43%) не знают, может ли установленное защитное ПО противодействовать атакам нулевого дня. И это серьезная проблема, ведь с учетом использования искусственного интеллекта и готовых конструкторов, специалисты каждый день обнаруживают350 000 новых разновидностей вредоносного ПО. Получается, чтьо каждый подобный экземпляр может скомпрометировать данные плохо защищенных пользователей.

3.Безопасность обычных пользователей чаще всего зависит от автоматических процедур

Да, сегодня многие пользователи совершают определенные действия, чтобы защитить свою приватность в сети. Однако эти шаги, как правило, не выходят за рамки базовых процедур, которые применяются автоматически или даже принудительно. Например, люди устанавливают более сложные пароли, потому что без них нельзя зарегистрироваться, включают защиту сетей Wi-Fi и многофакторную аутентификацию в приложениях, если им настоятельно рекомендовали это сделать.

И хотя мы наблюдаем 20% рост количества пользователей, применяющих облачный бэкап, по сравнению с прошлым годом, в основном это происходит потому, что многие цифровые сервисы стали выполнять его автоматически. Увы, пользователи редко выходят за пределы этих базовых шагов, потому что для более тонкой защиты необходимо совершать проактивные действия и быть в курсе как самих угроз, так и того урона, который они могут нанести.

Заключение

Растущий спектр угроз одновременно с низкой осведомленностью пользователей, не слишком глубоко погружающихся в ИТ, создает прекрасные условия для новых атак и манипуляций с данными. Учитывая неутешительную статистику, вредоносное ПО все чаще находит способ попасть на компьютер жертвы, так что мы рекомендуем помочь своим друзьям и родственникам нормально настроить киберзащиту, чтобы они не стали очередными жертвами киберпреступников.

Одно из обязательных свойств современных целевых атак их способность проникнуть в ИТ-инфраструктуру жертвы незаметно для защитных систем. Передовое вредоносное ПО использует методы маскировки, которые превращают его в невидимку. Помочь в таких случаях может динамический анализ, который выполняется в специализированной среде песочнице. Технологии песочниц занимают центральное место в концепции киберзащиты Trend Micro, получившей название Connected Threat Defence. В этом посте мы поговорим о том, как песочницы используются в решениях Trend Micro.

О песочницах

Технологии песочниц предоставляют самые эффективные механизмы по защите от целевых атак и атак с использованием уязвимостей нулевого дня. Принцип работы песочницы заключается в том, что подозрительное ПО запускается в специально подготовленной для него среде, изолированной от остальной инфраструктуры. Известный и заведомо вредоносный код не попадает в песочницу, поскольку он блокируется на уровне межсетевого экрана или сигнатурного анализа. А вот если у этих средств не набирается достаточного объёма данных для принятия решения, файл направляется в песочницу.

Использование изолированных виртуальных машин для выполнения проверяемых объектов и эмуляция взаимодействия с пользователем позволяет подробно отследить характер выполняемых действий потенциально небезопасного ПО и решить, можно ли возвращать объект пользователю для запуска на рабочей станции.

Интеграция анализа в песочнице с сигнатурным анализом и другими способами проверки в стандартных продуктах безопасности позволяет повысить эффективность выявления потенциальных угроз и улучшить от целевых атак.

Локальные песочницы

Локальные песочницы входят в состав многих антивирусов. Они реализуют изоляцию на базе частичной виртуализации файловой системы и реестра. Вместо того, чтобы создавать для каждого проверяемого процесса отдельную виртуальную машину, локальная песочница создаёт для них дубликаты объектов файловой системы и реестра. Получается безопасная среда-песочница на компьютере пользователя. Если процесс изменит файлы или запишет что-то в реестр, изменятся лишь копии внутри песочницы, а реальные объекты не будут затронуты. Изоляция от основной системы обеспечивается с помощью контроля прав.

Достоинством такого подхода является относительная простота реализации и невысокие затраты системных ресурсов. А в качестве недостатков можно отметить необходимость постоянной очистки контейнеров виртуализации для запуска каждого проверяемого файла. Помимо этого, встречаются обходы такой реализации песочницы, которые позволяют вредоносному коду сбежать в основную систему и разгуляться по полной.

Более защищённый вариант локальной песочницы предполагает создание отдельной виртуальной машины, копирующей рабочее окружение. Но затраты ресурсов на такой вариант оказываются неприемлемо высокими, поэтому вместо него используются сетевые песочницы, которые располагаются на выделенном сервере внутри сети компании (on-premise) или в облаке производителя антивирусного решения.

Сетевые песочницы облачные и on-premise

Сетевые песочницы имеют меньше ограничений, чем локальные они не снижают производительность компьютера пользователя и позволяют проверять потенциальные угрозы на различных операционных системах. Даже успешный побег из такой песочницы не станет проблемой, поскольку она полностью изолирована от рабочего компьютера пользователя. При необходимости такие песочницы могут эмулировать подключение к интернету и работу со съёмными носителями.

При работе с сетевыми песочницами на компьютерах пользователей устанавливается агент служба, которая отправляет попавшие под подозрения файлы в сетевую песочницу. Передача файлов на анализ в облако занимает больше времени, чем при взаимодействии с on-premise-сервером в сети компании. Всовокупности с длительностью анализа время ожидания результата может составить несколько минут, на протяжении которых запуск приложения будет поставлен на паузу до получения разрешения от песочницы. В связи с этим разработчики песочниц указывают максимальное время ожидания в SLA.

Вредоносное ПО, ориентированное на конкретную компанию, как правило, проверяет окружение, в котором запущено. И даже если оно не содержит проверку на запуск в песочнице, несоответствие окружения может привести к тому, что полезная нагрузка во время анализа не сработает, и файл будет считаться безобидным. Чтобы избежать такой ситуации, нужно, чтобы рабочая среда, которую эмулирует песочница, максимально точно соответствовала рабочим станциям реальных пользователей.

В случае с облачными песочницам добиться такого соответствия сложнее, в то время как загрузка образа рабочей станции на on-premise сервер не составляет сложности. Главное, чтобы выбранный вариант сервера-песочницы поддерживал работу с кастомными образами.

Другими словами, чтобы максимально приблизить конфигурацию виртуальных машин внутри песочницы к продакшн-среде, нужно иметь возможность тонко настраивать их содержимое: изменять настройки ОС, редактировать перечень установленных языков, драйверов периферийных устройств, устанавливать дополнительный, либо нестандартный софт и даже управлять содержимым рабочего стола, поскольку всё это и многое другое может расцениваться киберзлоумышленниками как условие для запуска либо незапуска вредоносных инструкций.

Использование же стандартизированных образов для разворачивания виртуальных машин внутри песочниц легко отслеживается и позволяет применить механизмы обхода детектирования в песочницах.

Песочницы Trend Micro поддерживают возможность загрузки кастомизированных образов ВМ, что на практике неоднократно показывало более высокую эффективность при обнаружении вредоносного ПО в сравнении с песочницами производителей, использующих стандартизированные образы ВМ для анализа.

Исходя из соображений необходимости обеспечения максимальной эффективности на сегодняшний день предпочтение следует отдать on-premise-варианту. Известные нам реализации облачных песочниц на сегодняшний день ни у одного из производителей не поддерживают в качестве среды тестирования кастомизированные образы виртуальных машин, точно отражающих инфраструктуру конкретного заказчика.

Облачные же песочницы могут рассматриваться в качестве более доступной по стоимости альтернативы, либо если инфраструктура компании территориально распределена. В этом случае затраты на обеспечение необходимой сетевой маршрутизации могут превысить выгоду от разницы между облачной и on-premise песочницей.

Критерии для выбора поставщика песочницы

Поставщика следует выбирать из соображений его осведомленности о самых новых тактиках, которыми пользуются злоумышленники для обхода защитных решений, применяемых в компании. Здесь важную роль играют несколько факторов:

1. специализация компании-производителя: являются ли продукты обеспечения ИБ основными в профиле, либо же это сопутствующие или вспомогательные разработки;

2. история компании-производителя: как часто меняются собственники бизнеса, а вместе с ними приоритеты и вектора развития продуктовой линейки;

3. присутствие на рынке: чем оно шире, тем больше информационная база вредоносных объектов и моделей вредоносного поведения, на которых строятся и оттачиваются модели машинного обучения, поведенческого анализа и других средств выявления и противодействия угрозам;

4. оперативный доступ к самой передовой информации о выявленных уязвимостях в ОС и ПО: чем быстрее производитель средств защиты получает такую информацию из собственных исследований или от энтузиастов-исследователей и частных специалистов в области киберзащиты, тем быстрее будут разработаны и внедрены контрмеры, блокирующие возможность использования новейших уязвимостей, даже если патч от официального производителя ОС или ПО ещё не выпущен.

Видение Trend Micro

Примером конкретной реализации описанного подхода к песочницам является продукт Trend Micro Deep Discovery Analyzer. Он представляет собой масштабируемый аппаратный сервер песочниц и позволяет загружать в виртуальные машины различные образы рабочей среды компании. Он полностью интегрируется с нашими решениями для защиты почты и веба, но позволяет принимать образцы на анализ из продуктов других производителей с помощью Web Services API.

Он умеет анализировать исполняемые файлы, веб-контент и потенциально вредоносные офисные документы, выявляет вредоносные URL и позволяет отправлять образцы на анализ через API или вручную. Deep Discovery Analyzer получает актуальную информацию из нашей глобальной системы выявления угроз, поэтому всегда в курсе последних разработок киберпреступников.

Количество данных в мире растет из года в год, поэтому основным вектором развития технологий песочниц является повышение производительности, расширение перечня типов анализируемых объектов и добавление новых моделей обнаружения потенциальных угроз.

Что касается будущего, наиболее очевидным сценарием мы считаем расширение перечня поддерживаемых операционных систем в качестве сред анализа объектов, а также расширение функциональности, которая позволит встраивать песочницы в существующие экосистемы заказчиков с минимальными изменениями конфигураций устоявшейся ИТ-инфраструктуры.

Привет, Хабр! Начиная с сегодняшнего дня мы будем публиковать еженедельные дайджесты новостей информационной безопасности, рассказывать о новых взломах и угрозах, а также делиться своим опытом глобального наблюдения за киберпреступностью. В этой дайджесте вы узнаете о новых крупных взломах и атаках, маскировке известных группировок, секретах успешного фишинга и о том, сколько патчей Microsoft в июне нужно установить в обязательном порядке.

Для начала скажем несколько слов о том, откуда мы берем информацию об угрозах. Еще несколько лет назад Acronis сформировал глобальную сеть центров кибербезопасности Cyber Protection Operations Centers (CPOCs). Благодаря постоянному мониторингу событий, происходящих в глобальных сетях, а также на рабочих станциях и на серверах наших клиентов, которых насчитывается более 5 миллионов по всему миру.

Оператор речных перевозок попал под атаку Ransomware

Вслед за уже нашумевшими атаками на другие объекты инфраструктуры США, в частности на Colonial Pipeline, произошло заражение Steamship Authority, крупнейшего оператора паромных перевозок в штате Массачусетс.

Steamship Authority выступает в единым регулятором и управляет движением всех паромов между материковой частью Массачусетса и островами Мартаc Виньярд и Нантакет. К счастью, сами перевозки не были парализованы, однако пока нет никакой информации о том, какой выкуп требуют злоумышленники, и как Steamship Authority планирует восстанавливать свои системы после масштабной атаки.

Но самое печальное, что из-за шифрования файлов пока никто не может сказать, насколько чувствительная информация попала в руки злоумышленников. Это еще один аргумент, почему преступники стали все чаще применять Ransomware вместе с программами класса Infostealer жертва находится одновременно под угрозой потери данных и утечки данных. В результате создается больше рисков для бизнеса и выше шанс, что руководство все-таки решится заплатить выкуп.

Это совсем не те вымогатели, которых вы ищете...

После того, как США ввели санкции в 2019 году преступная группировка, известная как Evil Corp, приступила к маскировки и провела небольшой ребрендинг, чтобы скрыть свою активность. Так что даже уже пострадавшие могут снова столкнуться с действиями тех же злоумышленников, но под новым соусом. Напомним, что Evil Corp несет ответственность за ущерб более чем в $100 миллионов, учитывая суммы выкупов и нанесенный вред. Именно они атаковали такие крупные компании как Garmin, Forward Air и страхового магната CNA.

Недавно исследователи обнаружили ряд кибератак, использующих новое вредоносное ПО PayloadBIN и отнесли эти атаки к деятельности другой известной группировки под названием Babuk (они, кстати, перед этим заявили о прекращении своей деятельности). Считалось, что Babuk просто соврали о своем выходе на пенсию. Однако после более детального анализа факты стали указывать на деятельность Evil Corp, которая вполне может стоять за новыми атаками.

Почему это важно? Установление связи между PayloadBIN и Evil Corp позволяет лучше изучить ландшафт киберугроз, а также принять меры к противодействию ведь специалистам по кибербезопасности хорошо известны приемы Evil Corp. Но а для пользователей это еще один аргумент о том, что для реальной борьбы с Ransomware стоит использовать решения с AI, способные обнаруживать неизвестные угрозы.

Семь брешей нулевого дня были закрыты в июньский вторник патчей

В свой вторник патчей Microsoft представил 50 обновлений, включая исправления для семи уязвимостей нулевого дня. Причем на тот момент уже было известно, что шесть из них были использованы киберпреступниками.

Четыре из обнаруженных уязвимостей позволяли получить дополнительные привилегии, одна была способна привести к утечкам информации, а еще одна открывала возможности для удаленного запуска произвольного кода. Седьмая уязвимость никак не проявила себя в виде реальных атак это лазейка для реализации DDoS в сервисах Windows Remote Desktop.

Из 50 патчей, предложенных в начале текущего месяца, 5 штук были признаны Microsoft критически важными, а 45 важными. Среди потенциально уязвимого ПО Microsoft Office, браузер Edge, Visual Studio, .NET Core и ряд других бизнес-приложений.

Подобная ситуация еще раз говорит в пользу технологий патч-менеджмента. Когда уязвимости уже эксплуатируются злоумышленниками лучше всего устанавливать обновления вовремя. Поэтому организациям стоит использовать автоматизированные инструменты управления патчами, чтобы вывести в приоритет загрузку и установку на всех машинах в первую очередь наиболее критичных исправлений.

Ransomware продолжает атаковать компании, связанные с трубопроводным бизнесом

Не успели мы еще забыть о недавней панике и полном отключении систем Colonial Pipeline из-за атаки Ransomware, новости последней недели пополнились нападением на еще один трубопроводный бизнес LineStar Integrity Services.

LineStar Integrity Services это специалисты по аудиту, обслуживанию и другим сервисам для трубопроводных компаний. Ежегодная прибыль этой организации составляет более $171 миллионов. И относительно новая группа Ransomware, известная как Xing Team, украла у сервисной компании 70 Гб данных, часть из которых уже была опубликована на сайтах утечек. В числе скомпрометированной информации более 73 000 электронных писем, бухгалтерская документация, контракты, программный код, технические данные, а также чувствительная информация отдела кадров номера соцстрахования и номера водительских удостоверений.

Атака во многом стала возможной потому, что Xing Team это относительно новая киберпреступная группировка, и образцы Ransomware, которые они используют, еще не были проанализированы многими лабораториями. Таким образом, обеспечить защиту от подобных атак можно только с помощью бихевиористского анализа и блокировки подозрительной активности, похожей на шифрование и кражу файлов.

После успешной атаки на SolarWinds Nobelium ударились в фишинг

Группа Nobelium, ставшая широко известной несколько месяцев назад после атаки на SolarWinds, решила расширить спектр своей деятельности. Киберпреступники запустили масштабную фишинговую кампанию, атакуя около 3000 учетных записей, относящихся к правительственным организациям и консалтинговым компаниям. И хотя основной целью злоумышленников явно были институты США, такие же электронные письма получили адресаты еще в 24 странах.

Преступники получили доступ к сервису Constant Contact (который как раз занимается маркетинговыми рассылками), а именно к учетной записи USAID (United States Agency for International Development). Использование доверенной системы позволило Nobelium создать действительно убедительные фишинговые письма, ведь отправитель входил в число проверенных, а сами сообщения отличались корректными заголовками.

В письмах была информация о новых документах, якобы свидетельствующих о подтасовках на выборах в США. Однако переход по ссылке приводил к загрузке вредоносного файла ISO. После его загрузки файл устанавливал в систему вредоносную библиотеку DLL, которая на самом деле являлась бэкдором Cobalt Strike.

Здесь стоит отметить, что подобные атаки вообще становятся возможны из-за низкого уровня использования механизмов URL-фильтрации в корпоративных системах защиты. Исследование Acronis Cyber Readiness 2020 показало, что в на подобные решения бюджет выделяется только 2% компаний. Поэтому не стоит удивляться, если кибермошенники будут использовать подобные методы работы чаще.