Главные киберугрозы последних месяцев

В новом отчете Accenture CTI выделены четыре основных направления действий злоумышленников

Share
Share
Share
Tweet
Share
Фото: hse.ru

Фото: hse.ru

Каждую секунду в мире фиксируются сотни киберугроз. Злоумышленники не только наращивают число атак, они одновременно применяют сразу несколько технологий взлома систем защиты, ищут новые пути проникновения в информационные системы и активно используют во время нападений влияние «человеческого фактора». В таких условиях ИБ-аналитика становится не просто актуальной, а необходимой для предотвращения инцидентов.

В нашей компании работает подразделение Accenture Cyber ​​Threat Intelligence (Accenture CTI), которое занимается мониторингом и анализом киберугроз. Его аналитики на протяжении 20 лет выпускали ежегодные отчеты, посвященные актуальным угрозам в области информационной безопасности. Но скорость их развития и сложность в последнее время потребовали делать это гораздо чаще. Новый отчет Accenture CTI перечисляет тренды в области информационной безопасности за последние полгода. В нем выделены четыре основных направления действий злоумышленников.

Киберпреступники ищут новые способы вымогательства

И, к сожалению, находят. Изобретательность мошенников не знает границ, постоянно растет частота атак - так киберпреступники усложняют обнаружение угроз. В таких условиях эффективной мерой защиты становится предотвращение новых атак шифровальщиков.

Если раньше объектами атак шифровальщиков, как правило, были небольшие компании, то сегодня киберпреступники нацеливаются на огромные промышленные комплексы. В мае этого года они парализовали нефтетранспортные системы компании Colonial Pipeline на востоке США, были атакованы крупные страховые и логистические компании. Расчет прост: крупный бизнес не может себе позволить даже кратковременных простоев, и выплата выкупа для него проще и дешевле, чем ликвидация последствий нападения.

Но нет никаких гарантий, что, даже заплатив выкуп, компания-жертва получит свои данные в целости и сохранности. Весной этого года некоторые из них обнаружли, что их данные были не просто зашифрованы, а полностью уничтожены. Несколько раз злоумышленники публиковали в открытом доступе конфиденциальные данные своих жертв.   

Новую тактику вымогательства хакеры опробовали в конце 2020 года. Теперь они активно используют мотив возникновения репутационных рисков. В случае неуплаты выкупа жертвам обещают не только уничтожить данные, но и направить компрометирующую их информацию регуляторам, заказчикам, а то и просто выложить ее в Сети. Более того, следуют угрозы расширения атак. Та же группировка DarkSide, осуществившая нападение на Canonical, угрожала начать масштабную DDoS-атаку в случае, если не получит от жертвы выплаты. Известны аналогичные угрозы, поступающие от группировок Bobuk и Clop.

Самый эффективный способ борьбы с такими угрозами – предотвращение атак (нулевой уровень доверия сторонним файлам, полная изоляция информационных систем). Помочь может сотрудничество с коллегами и конкурентами, правоохранительными органами и организациями, противостоящими хакерам. Необходимо обновить корпоративные политики информационной безопасности: развернуть дополнительные средства контроля, внедрить безопасные каналы передачи данных.

Cobalt Strike

Этот тренд назван по имени пиратского ПО Cobalt Strike. В декабре 2020 года Accenture CTI зафиксировала резкий рост активности злоумышленников, которые используют для распространения зловредного кода пиратское ПО. Их главная цель – проникновение в информационные среды предприятий, используемые для тестирования кода и приложений. 

Cobalt Strike – не новый для хакеров инструмент, он применяется ими вот уже 10 лет. Но в последние месяцы преступники применяют его все чаще. Количество атак, в которых использовался этот фреймворк, увеличилось с 2019 года на 163%. И есть основания полагать, что их будет еще больше. Более того, злоумышленники активно модернизируют этот зловред, который теперь может приспосабливаться к новым условиям и преодолевать современные средства защиты при помощи новых загрузчиков. Cobalt Strike был использован во время нескольких крупных атак, включая действия группировки REvil. Аналитики Accenture CTI отмечают, что в некоторых случаях можно говорить и об использовании инструментов Cobalt Strike и в попытках кражи конфиденциальных данных.

Для того чтобы предотвратить атаки с использованием Cobalt Strike, мы рекомендуем внимательно отслеживать весь сетевой трафик, выявляя артефакты, которые могут свидетельствовать о присутствии зловреда. Для этого есть эффективные инструменты мониторинга. Кроме того, серьезной помощью для ИБ-специалистов может стать знакомство с успешным опытом других компаний, предотвративших подобные угрозы.

Используемое вредоносное ПО

Зловредное ПО научилось проникать из информационных систем в производственные мощности. В марте 2021 года специалистами Accenture CTI была зафиксирована активность таких зловредных программ, как QakBot, IcedID, DoppelDridex и Hancitor.

Такие инструменты, как Cobalt Strike – только средство доставки в информационные инфраструктуры другого зловредного ПО. С его помощью внутри охраняемых периметров организаций могут оказаться многие хакерские разработки, используемые для заражения систем и последующего вымогательства.

Например, зловредное ПО может проникать через сжатые файлы Excel. Этот способ особенно активно используется в последние месяцы такими зловредами, как бэкдор Qakbot и банковский троян IcedID.

Еще один активно распространяемый зловред, DoppelDridex, рассылается через спам-письма с темами, например, «Счет-фактура /Квитанция о продаже» и «Заказ на поставку». Такие письма содержат зараженные файлы Excel, при открытии которых вирус поражает рабочую станцию пользователя, а потом и всю информационную инфраструктуру.

По электронной почте распространялось весной 2021 года и еще одна разновидность вредоносного ПО – Hancitor. Эти письма содержали ссылку на зараженный файл Microsoft Word. Зловред приводит в действие загрузчик средства, которое может использоваться для кражи доменов. Известны и случаи распространения с его помощью Cobalt Strike.

В борьбе с этими угрозами помимо антивирусов помогут и типичные меры, применяемые против попыток фишинга. Например, строжайшим образом должно быть запрещено открытие файлов и ссылок, поступивших по электронной почте даже из известных источников.  Не лишним будет и пересмотр прав доступа к внешним ресурсам для различных групп пользователей. 

Кража информации

В последние полгода отмечается активная продажа конфиденциальных данных в даркнете. Это не только персональные данные. Интерес для злоумышленников предоставляет и такая информация, как номера банковских карт, ссылки на криптокошельки и даже закладки пользователя в браузере. Способом их получения становится анализ журналов вредоносных программ. В некоторых случаях при помощи журналов зловредов злоумышленники могут получить доступ к сетевым ресурсам через различные службы, такие как RDP или SSH.

Наиболее часто доступ к вредоносным журналам продается через специальные торговые площадки в даркнете, например, Genesis Market или Russian Market. Эта информация несет серьезную опасность как отдельным пользователям, так и информационным инфраструктурам предприятий. Обладая ею, в защищенный периметр компании может проникнуть даже низкоквалифицированный хакер.

Сократить риски, связанные с использованием журналов вредоносного ПО, может мониторинг графика с использованием аналитических данных специализированных ИБ-компаний, которые отслеживают активность злоумышленников в даркнете. Поможет в защите информации и обмен данными с ИБ-аналитиками о сигнатурах зловредного ПО, попытках проникновения в системы и сети связи.    

На фоне постоянно усложняющихся угроз лучшим средством защиты для предприятий может стать формирование собственных центров управления безопасностью (SOC) или использование услуг компаний, которые специализируются в этой области. Это – самый простой путь использовать для киберзащиты актуальные данные аналитики и перейти от реагирования на возникающие угрозы к их предотвращению.

Автор: Мирас Касымов, директор по развитию Accenture в Казахстане

При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.

Читайте Kapital.kz в Google News Kapital Telegram Kapital Instagram Kapital Facebook
Вверх
Коментарии
Выйти
Отправить
Новости партнеров:
Авторизуйтесь, чтобы отправить комментарий
Новый пользователь? Регистрация
Вам необходимо пройти регистрацию, чтобы отправить комментарий
Уже есть аккаунт? Вход
По телефону По эл. почте
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Отправить код повторно ( 59 секунд )
Спасибо, что авторизовались
Теперь вы можете оставлять комментарии.
Вы зарегистрированы
Теперь вы можете оставлять комментарии к материалам портала
Сменить пароль
Введите номер своего сотового телефона для смены пароля
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Отправить код повторно ( 59 секунд )
Пароль успешно изменен
Теперь вы можете авторизоваться
Пожаловаться
Выберите причину обращения
Спасибо за обращение!
Мы приняли вашу заявку, в ближайшее время рассмотрим его и примем меры.