fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Як витончені атаки максимізують прибуток хакерів і до яких дій захисту необхідно вдатися негайно

Статті та огляди

Програми-вимагачі змінюють свій образ. Чи сплачувати їм викуп, як захиститися і що робити у разі ransomware атак?

Головними новинами з початку минулого місяця були заяви про злочинну діяльність хакерських угруповань по всьому світу з метою отримання коштів за вкрадені та зашифровані дані. Тому місяць травень відзначився низкою великих кібератак, в тому числі з використанням ПЗ вимагання грошових коштів (ransomware).


ЩО ТРАПИЛОСЯ?

Ліверпульський метрополітен постраждав від атаки шифрувальника Lockbit, робота судової системи одного бразильського штату була припинена через шкідливе шифрування файлів на комп'ютерах в системі, а хакери Babuk Locker, які атакували управління поліції столичного округу Колумбія, пригрозили в разі несплати викупу оприлюднити дані кримінальних розслідувань і розкрити поліцейських інформаторів.

Атака Conti серйозно підірвала систему охорони здоров'я Ірландії, а філії страхового гіганта AXA піддалися кібератаці з використанням програми-вимагача, коштом якої хакери вкрали 3 ТБ конфіденційних даних з азіатських підрозділів AXA.


Мішенню всіх цих атак, на жаль, виступають критично важливі об'єкти інфраструктури, державні та комерційні соціальні установи, які функціонують як системи життєзабезпечення нашого повсякденного існування. Отже, атаки на подібні об'єкти можуть призводити до далекосяжних наслідків від діяльності злочинних угруповань.


ВЕЛИКІ КОРПОРАЦІЇ НЕ ВИТРИМУЮТЬ

Навіть безпека таких компаній, як Apple піддалася атаці: бренд став жертвою вимагачів. Група кіберзлочинців Sodinokoby вкрала конфіденційну інформацію про майбутню продукцію бренду (ноутбуків MacBook та інших пристроїв) через програму-шантажиста REvil, зламавши системи компанії Apple Quanta Computer (партнера Apple). Хакери чекали на викуп від Quanta Computer в розмірі $ 50 млн до 27 квітня і погрожували опублікувати у відкритому доступі більше десятка схем і креслень компонентів. Було також відзначено, що розмір викупу можна було знизити з 50 млн до 20 млн, в тому випадку, якщо він буде виплачений до 7 травня. Пізніше оператори шкідливого ПЗ REvil з невідомих причин видалили викрадені схеми Apple зі свого сайту витоків даних. Водночас вкрадені дані іншої великої компанії пропонувалися до покупки в даркнеті в цьому місяці.


Іспанський сервіс доставки їжі Glovo, який так полюбився українцям, також відчув наслідки хакерської атаки в ході якої, дані десятків мільйонів користувачів (160 ГБ даних з інформацією про імена, номери телефонів, паролі) були виставлені на продаж за $ 85 000.


Компанія Toyota зазнала подвійну кібератаку в травні: перша вдарила по європейських операціях компанії Daihatsu Diesel Company, дочірньої компанії Toyota, пізніше Toyota Auto Parts Manufacturing Mississippi розкрила ще одну атаку з використанням програми-вимагача. У звітах говориться, що деякі фінансові дані та дані клієнтів були вкрадені та оприлюднені зловмисниками.


ЗАГРОЗИ СУЧАСНОЇ ЕКОНОМІКИ: АТАКА НА КРИТИЧНУ ІНФРАСТРУКТУРУ

Наймасштабніша за цей період ransomware атака зупинила роботу найбільшого трубопроводу США. 6 травня оператор трубопроводу Colonial Pipeline піддався кібератаці угруповання DarkSide, в результаті якої, компанія була змушена призупинити транспортування палива на всій протяжності трубопроводу в 9 000 кілометрів. DarkSide проникла в мережу Colonial Pipeline та отримала майже 100 ГБ даних. Отримавши дані, хакери заблокували дані на деяких комп'ютерах і серверах, запросивши викуп. У разі невиплати хакери пригрозили витоком даних. Сайт Colonial Pipeline був недоступний, а сама компанія визнала, що відновить припинене 7 травня транспортування тільки 15-16 травня.

За масштабом атака на Colonial Pipeline стала схожа на інциденти NotPetya та атаку на Solar Winds.


ЧИ СПЛАЧУВАТИ ВИКУП?

Існує приголомшлива реальність діяльності програм-вимагачів: 92% організацій не отримують всі свої дані, навіть якщо вони заплатили викуп. Попри те 32% компаній у 2021 році все ще готові його заплатити, з надією на повне відновлення своєї інформації. Через таку готовність компаніями виконувати будь-які умови злочинних угруповань, тільки в перші три місяці 2021 року сума викупу істотно зросла і тепер складає в середньому $ 220 000, тоді як в три останніх місяці 2020 року цей показник знаходився на рівні $ 154 000. Але навіть заплативши такі шалені гроші третина організацій так і не змогла відновити більш ніж половину своїх зашифрованих даних.


Також варто враховувати той факт, що поняття атаки програми-шантажиста з кожним днем розвивається, і тепер такі атаки містять в собі платіжні вимоги навіть без шифрування даних. Зловмисники вимагають оплату в обмін на те, що вони не допустять витоку вкраденої інформації в інтернеті. Але навіть після оплати коштів здирникам в такому випадку компанія не має ніяких гарантій і не може залишатися захищеною від публікацій або продажу цих даних. Бо чи існує сенс покладатися на сумлінність шахраїв?


Загрози програм-вимагачів майже завжди мають дорогоцінні наслідки для бізнесу, включаючи збої в роботі та крадіжку конфіденційних даних. Так чи варто піддаватися такому коштовному ризику?


ЧАС ДІЯТИ

Готовність до програм-вимагачів стала настільки обов'язковою для всіх організацій, що навіть керівники та директори визнають це як частину своєї відповідальності за функціонування бізнесу. Команда компанії CrowdStrike - розробника систем кібербезпеки, яка захищає від хакерів тисячі компаній масштабу Amazon, регулярно допомагає організаціям як в підготовці та превентивному захисті, так і в реагуванні на атаки програм-вимагачів. Компанія оголошує деякі з практик, які рекомендує застосувати в такий неспокійний від атак час.


1. Підвищення стійкості до загроз додатків з виходом в інтернет

Не рекомендовано безпосередньо підключати RDP до інтернету. Зловмисники використовують однофакторну аутентифікацію і незареєстровані інтернет-додатки. Хакери регулярно націлюються на системи через протокол віддаленого робочого столу (RDP), доступного з інтернету.


Рекомендовано використовувати VPN з багатофакторною аутентифікацією і стежити за тим, щоб будь-які CVE, пов'язані з платформою VPN і базовим додатком аутентифікації, мали пріоритет для виправлення. Цей принцип повинен поширюватися на всі віддалені методи та Active Directory (AD) і Citrix Gateway.


2. Впровадження та підвищення безпеки електронної пошти

В організацію-жертву потрапляють через фішингові лист - це найбільш поширена тактика. Як правило, ці фішингові електронні листи містять шкідливе посилання або URL-адресу, що доставляють дані на робочу платформу одержувача.

Тому рекомендовано реалізувати рішення для захисту електронної пошти, яке виконує фільтрацію URL-адрес, а також ізольоване програмне середовище вкладень. Крім того, організації можуть заборонити користувачам отримувати захищені паролем zip-файли, виконувані файли, javascripts або файли пакетів установника Windows, якщо тільки в цьому немає законної ділової необхідності. Додавання тегу «[External]» до електронних листів не з організації, і попереджувального повідомлення у верхній частині електронного листа допомагає нагадати користувачам про необхідність проявлення обачності при обробці таких листів.


У користувачів також повинен бути задокументований процес, щоб повідомляти про будь-які електронні листи, в яких вони не впевнені. Крім того, організаціям слід розглянути можливість обмеження доступу користувачів до особистих облікових записів електронної пошти.


3. Захист кінцевих точок

Протягом життєвого циклу атаки, який завершується розгортанням програми-вимагача, зловмисники часто використовують ряд методів експлуатації кінцевих точок. Ці методи експлуатації варіюються від використання поганих конфігурацій AD до використання загальнодоступних експлойтів проти незахищених систем або додатків.

Тому варто:

  • Забезпечити повне покриття всіх кінцевих точок у вашій мережі для продуктів безпеки кінцевих точок і для платформи виявлення і захисту кінцевих точок (EDR).
  • Розробити програму управління уразливими та виправленнями.
  • Слідувати рекомендаціям з безпеки Active Directory: уникати легких паролів зі слабкими методами аутентифікації; уникати наявності у звичайних користувачів домену з привілеями локального адміністратора та облікових записів локальних адміністраторів з однаковими паролями для всього підприємства; обмежити обмін даними між робочими станціями; уникати спільного використання привілейованих облікових даних.


4. Резервне копіювання в автономному режимі

Єдиний надійний спосіб врятувати дані під час атаки програм-вимагачів - це резервні копії, які захищені від цих програм. При розробці автономної інфраструктури резервного копіювання, захищеної від програм-вимагачів, слід враховувати, що:

  • Автономні резервні копії, а також індекси (які описують, які дані містяться) повинні бути повністю відокремлені від решти інфраструктури.
  • Доступ до таких мереж повинен контролюватися через списки суворого контролю доступу (ACL), і всі аутентифікації повинні виконуватися з використанням багатофакторної аутентифікації (MFA).
  • Адміністраторам, які мають доступ як до автономної, так і до мережевої інфраструктури, слід уникати повторного використання паролів облікових записів.
  • Сервіси хмарного сховища зі строгими списками ACL і правилами також можуть служити інфраструктурою автономного резервного копіювання.
  • Надзвичайні ситуації, такі як атака програми-шантажисти, повинні бути єдиним випадком, коли автономній інфраструктурі дозволяється підключення до чинної мережі.


5. Обмеження доступу до інфраструктури управління віртуалізацією

Нові атаки використовують можливість безпосередньо атакувати віртуалізовану інфраструктуру. Цей підхід дозволяє використовувати гіпервізор, які розгортають і зберігають віртуальні машини (VMDK). В результаті продукти для забезпечення безпеки кінцевих точок, встановлені на віртуалізованих машинах, не бачать зловмисних дій, що націлені на гіпервізор.


Багато системи ESXi (гіпервізор VMware) не мають протоколу Secure Shell (SSH) за замовчуванням і зазвичай управляються через vCenter. Якщо SSH відключений, раніше вкрадені облікові дані адміністратора використовуються для включення SSH у всіх системах ESXi, тож:

  • Обмежуйте доступ до хостів ESXi для невеликої кількості систем і переконайтеся, що ці системи мають належний моніторинг кінцевих точок.
  • Переконайтеся, що доступ по SSH відключений, або переконайтеся, що він захищений MFA.
  • Переконайтеся, що паролі унікальні та надійні для кожного хосту ESXi, а також для вебклієнта.


6. Впровадження програми управління ідентифікацією та доступом (IAM)

ЗРОБІТЬ ПЕРШІ КРОКИ ВЖЕ ЗАРАЗ

Будь-яка організація може стати жертвою шкідливих кампаній вимагачів з вимогами викупу в семизначному розмірі, але багато чого можна зробити, щоб зупинити зловмисників. Збиток, який компанії можуть понести від однієї такої атаки, може в десятки разів перевищити витрати на її запобігання і сучасний захист. Тим більше потрібно враховувати той факт, що кожна зловмисна дія на організацію призводить не тільки до матеріальних втрат, а й містить в собі шкоду діловій репутації, бренду і положенню компанії. Уникнути таких ризиків допомагає компанія iIT Distribution.

iIT Distribution спеціалізується на передових рішеннях інформаційної безпеки. Ми не тільки забезпечуємо постачання програмного забезпечення та технічного обладнання, а й надаємо повний комплекс послуг із супроводу та консультації. Ми пропонуємо первісну експертизу та оцінку стану вашої інформаційної безпеки підприємства, яку проводять висококваліфіковані фахівці, підбір обладнання та ПЗ та впровадження комплексних рішень кібербезпеки у наявну інфраструктуру, тож ви можете бути впевнені у своєму захисті!

Звертайтеся до нас через форму зворотного зв'язку на сайті та отримайте консультацію від професіоналів!

Назад

Mobile Marketing
+
ukUkrainian
ru_RURussian en_GBEnglish ukUkrainian