USD
493.85₸
+1.680
EUR
519.04₸
-3.350
RUB
4.97₸
-0.030
BRENT
71.79$
-0.060
BTC
87747.30$
+7.400

Главные киберугрозы последних месяцев

В новом отчете Accenture CTI выделены четыре основных направления действий злоумышленников

Share
Share
Share
Tweet
Share
Фото: hse.ru

Фото: hse.ru

Каждую секунду в мире фиксируются сотни киберугроз. Злоумышленники не только наращивают число атак, они одновременно применяют сразу несколько технологий взлома систем защиты, ищут новые пути проникновения в информационные системы и активно используют во время нападений влияние «человеческого фактора». В таких условиях ИБ-аналитика становится не просто актуальной, а необходимой для предотвращения инцидентов.

В нашей компании работает подразделение Accenture Cyber ​​Threat Intelligence (Accenture CTI), которое занимается мониторингом и анализом киберугроз. Его аналитики на протяжении 20 лет выпускали ежегодные отчеты, посвященные актуальным угрозам в области информационной безопасности. Но скорость их развития и сложность в последнее время потребовали делать это гораздо чаще. Новый отчет Accenture CTI перечисляет тренды в области информационной безопасности за последние полгода. В нем выделены четыре основных направления действий злоумышленников.

Киберпреступники ищут новые способы вымогательства

И, к сожалению, находят. Изобретательность мошенников не знает границ, постоянно растет частота атак - так киберпреступники усложняют обнаружение угроз. В таких условиях эффективной мерой защиты становится предотвращение новых атак шифровальщиков.

Если раньше объектами атак шифровальщиков, как правило, были небольшие компании, то сегодня киберпреступники нацеливаются на огромные промышленные комплексы. В мае этого года они парализовали нефтетранспортные системы компании Colonial Pipeline на востоке США, были атакованы крупные страховые и логистические компании. Расчет прост: крупный бизнес не может себе позволить даже кратковременных простоев, и выплата выкупа для него проще и дешевле, чем ликвидация последствий нападения.

Но нет никаких гарантий, что, даже заплатив выкуп, компания-жертва получит свои данные в целости и сохранности. Весной этого года некоторые из них обнаружли, что их данные были не просто зашифрованы, а полностью уничтожены. Несколько раз злоумышленники публиковали в открытом доступе конфиденциальные данные своих жертв.   

Новую тактику вымогательства хакеры опробовали в конце 2020 года. Теперь они активно используют мотив возникновения репутационных рисков. В случае неуплаты выкупа жертвам обещают не только уничтожить данные, но и направить компрометирующую их информацию регуляторам, заказчикам, а то и просто выложить ее в Сети. Более того, следуют угрозы расширения атак. Та же группировка DarkSide, осуществившая нападение на Canonical, угрожала начать масштабную DDoS-атаку в случае, если не получит от жертвы выплаты. Известны аналогичные угрозы, поступающие от группировок Bobuk и Clop.

Самый эффективный способ борьбы с такими угрозами – предотвращение атак (нулевой уровень доверия сторонним файлам, полная изоляция информационных систем). Помочь может сотрудничество с коллегами и конкурентами, правоохранительными органами и организациями, противостоящими хакерам. Необходимо обновить корпоративные политики информационной безопасности: развернуть дополнительные средства контроля, внедрить безопасные каналы передачи данных.

Cobalt Strike

Этот тренд назван по имени пиратского ПО Cobalt Strike. В декабре 2020 года Accenture CTI зафиксировала резкий рост активности злоумышленников, которые используют для распространения зловредного кода пиратское ПО. Их главная цель – проникновение в информационные среды предприятий, используемые для тестирования кода и приложений. 

Cobalt Strike – не новый для хакеров инструмент, он применяется ими вот уже 10 лет. Но в последние месяцы преступники применяют его все чаще. Количество атак, в которых использовался этот фреймворк, увеличилось с 2019 года на 163%. И есть основания полагать, что их будет еще больше. Более того, злоумышленники активно модернизируют этот зловред, который теперь может приспосабливаться к новым условиям и преодолевать современные средства защиты при помощи новых загрузчиков. Cobalt Strike был использован во время нескольких крупных атак, включая действия группировки REvil. Аналитики Accenture CTI отмечают, что в некоторых случаях можно говорить и об использовании инструментов Cobalt Strike и в попытках кражи конфиденциальных данных.

Для того чтобы предотвратить атаки с использованием Cobalt Strike, мы рекомендуем внимательно отслеживать весь сетевой трафик, выявляя артефакты, которые могут свидетельствовать о присутствии зловреда. Для этого есть эффективные инструменты мониторинга. Кроме того, серьезной помощью для ИБ-специалистов может стать знакомство с успешным опытом других компаний, предотвративших подобные угрозы.

Используемое вредоносное ПО

Зловредное ПО научилось проникать из информационных систем в производственные мощности. В марте 2021 года специалистами Accenture CTI была зафиксирована активность таких зловредных программ, как QakBot, IcedID, DoppelDridex и Hancitor.

Такие инструменты, как Cobalt Strike – только средство доставки в информационные инфраструктуры другого зловредного ПО. С его помощью внутри охраняемых периметров организаций могут оказаться многие хакерские разработки, используемые для заражения систем и последующего вымогательства.

Например, зловредное ПО может проникать через сжатые файлы Excel. Этот способ особенно активно используется в последние месяцы такими зловредами, как бэкдор Qakbot и банковский троян IcedID.

Еще один активно распространяемый зловред, DoppelDridex, рассылается через спам-письма с темами, например, «Счет-фактура /Квитанция о продаже» и «Заказ на поставку». Такие письма содержат зараженные файлы Excel, при открытии которых вирус поражает рабочую станцию пользователя, а потом и всю информационную инфраструктуру.

По электронной почте распространялось весной 2021 года и еще одна разновидность вредоносного ПО – Hancitor. Эти письма содержали ссылку на зараженный файл Microsoft Word. Зловред приводит в действие загрузчик средства, которое может использоваться для кражи доменов. Известны и случаи распространения с его помощью Cobalt Strike.

В борьбе с этими угрозами помимо антивирусов помогут и типичные меры, применяемые против попыток фишинга. Например, строжайшим образом должно быть запрещено открытие файлов и ссылок, поступивших по электронной почте даже из известных источников.  Не лишним будет и пересмотр прав доступа к внешним ресурсам для различных групп пользователей. 

Кража информации

В последние полгода отмечается активная продажа конфиденциальных данных в даркнете. Это не только персональные данные. Интерес для злоумышленников предоставляет и такая информация, как номера банковских карт, ссылки на криптокошельки и даже закладки пользователя в браузере. Способом их получения становится анализ журналов вредоносных программ. В некоторых случаях при помощи журналов зловредов злоумышленники могут получить доступ к сетевым ресурсам через различные службы, такие как RDP или SSH.

Наиболее часто доступ к вредоносным журналам продается через специальные торговые площадки в даркнете, например, Genesis Market или Russian Market. Эта информация несет серьезную опасность как отдельным пользователям, так и информационным инфраструктурам предприятий. Обладая ею, в защищенный периметр компании может проникнуть даже низкоквалифицированный хакер.

Сократить риски, связанные с использованием журналов вредоносного ПО, может мониторинг графика с использованием аналитических данных специализированных ИБ-компаний, которые отслеживают активность злоумышленников в даркнете. Поможет в защите информации и обмен данными с ИБ-аналитиками о сигнатурах зловредного ПО, попытках проникновения в системы и сети связи.    

На фоне постоянно усложняющихся угроз лучшим средством защиты для предприятий может стать формирование собственных центров управления безопасностью (SOC) или использование услуг компаний, которые специализируются в этой области. Это – самый простой путь использовать для киберзащиты актуальные данные аналитики и перейти от реагирования на возникающие угрозы к их предотвращению.

Автор: Мирас Касымов, директор по развитию Accenture в Казахстане

При работе с материалами Центра деловой информации Kapital.kz разрешено использование лишь 30% текста с обязательной гиперссылкой на источник. При использовании полного материала необходимо разрешение редакции.

Вам может быть интересно

Читайте Kapital.kz в Kapital Telegram Kapital Instagram Kapital Facebook
Вверх
Комментарии
Выйти
Отправить
Авторизуйтесь, чтобы отправить комментарий
Новый пользователь? Регистрация
Вам необходимо пройти регистрацию, чтобы отправить комментарий
Уже есть аккаунт? Вход
По телефону По эл. почте
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Введите код доступа из SMS-сообщения
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS, вы можете отправить его еще раз.
Отправить код повторно ( 59 секунд )
Спасибо, что авторизовались
Теперь вы можете оставлять комментарии.
Вы зарегистрированы
Теперь вы можете оставлять комментарии к материалам портала
Сменить пароль
Введите номер своего сотового телефона/email для смены пароля
По телефону По эл. почте
Введите код доступа из SMS-сообщения/Email'а
Мы отправили вам код доступа. Если по каким-то причинам вы не получили SMS/Email, вы можете отправить его еще раз.
Пароль должен содержать не менее 6 символов. Допустимо использование латинских букв и цифр.
Отправить код повторно ( 59 секунд )
Пароль успешно изменен
Теперь вы можете авторизоваться
Пожаловаться
Выберите причину обращения
Спасибо за обращение!
Мы приняли вашу заявку, в ближайшее время рассмотрим его и примем меры.