Фото: hse.ru
Каждую секунду в мире фиксируются сотни киберугроз. Злоумышленники не только наращивают число атак, они одновременно применяют сразу несколько технологий взлома систем защиты, ищут новые пути проникновения в информационные системы и активно используют во время нападений влияние «человеческого фактора». В таких условиях ИБ-аналитика становится не просто актуальной, а необходимой для предотвращения инцидентов.
В нашей компании работает подразделение Accenture Cyber Threat Intelligence (Accenture CTI), которое занимается мониторингом и анализом киберугроз. Его аналитики на протяжении 20 лет выпускали ежегодные отчеты, посвященные актуальным угрозам в области информационной безопасности. Но скорость их развития и сложность в последнее время потребовали делать это гораздо чаще. Новый отчет Accenture CTI перечисляет тренды в области информационной безопасности за последние полгода. В нем выделены четыре основных направления действий злоумышленников.
Киберпреступники ищут новые способы вымогательства
И, к сожалению, находят. Изобретательность мошенников не знает границ, постоянно растет частота атак - так киберпреступники усложняют обнаружение угроз. В таких условиях эффективной мерой защиты становится предотвращение новых атак шифровальщиков.
Если раньше объектами атак шифровальщиков, как правило, были небольшие компании, то сегодня киберпреступники нацеливаются на огромные промышленные комплексы. В мае этого года они парализовали нефтетранспортные системы компании Colonial Pipeline на востоке США, были атакованы крупные страховые и логистические компании. Расчет прост: крупный бизнес не может себе позволить даже кратковременных простоев, и выплата выкупа для него проще и дешевле, чем ликвидация последствий нападения.
Но нет никаких гарантий, что, даже заплатив выкуп, компания-жертва получит свои данные в целости и сохранности. Весной этого года некоторые из них обнаружли, что их данные были не просто зашифрованы, а полностью уничтожены. Несколько раз злоумышленники публиковали в открытом доступе конфиденциальные данные своих жертв.
Новую тактику вымогательства хакеры опробовали в конце 2020 года. Теперь они активно используют мотив возникновения репутационных рисков. В случае неуплаты выкупа жертвам обещают не только уничтожить данные, но и направить компрометирующую их информацию регуляторам, заказчикам, а то и просто выложить ее в Сети. Более того, следуют угрозы расширения атак. Та же группировка DarkSide, осуществившая нападение на Canonical, угрожала начать масштабную DDoS-атаку в случае, если не получит от жертвы выплаты. Известны аналогичные угрозы, поступающие от группировок Bobuk и Clop.
Самый эффективный способ борьбы с такими угрозами – предотвращение атак (нулевой уровень доверия сторонним файлам, полная изоляция информационных систем). Помочь может сотрудничество с коллегами и конкурентами, правоохранительными органами и организациями, противостоящими хакерам. Необходимо обновить корпоративные политики информационной безопасности: развернуть дополнительные средства контроля, внедрить безопасные каналы передачи данных.
Cobalt Strike
Этот тренд назван по имени пиратского ПО Cobalt Strike. В декабре 2020 года Accenture CTI зафиксировала резкий рост активности злоумышленников, которые используют для распространения зловредного кода пиратское ПО. Их главная цель – проникновение в информационные среды предприятий, используемые для тестирования кода и приложений.
Cobalt Strike – не новый для хакеров инструмент, он применяется ими вот уже 10 лет. Но в последние месяцы преступники применяют его все чаще. Количество атак, в которых использовался этот фреймворк, увеличилось с 2019 года на 163%. И есть основания полагать, что их будет еще больше. Более того, злоумышленники активно модернизируют этот зловред, который теперь может приспосабливаться к новым условиям и преодолевать современные средства защиты при помощи новых загрузчиков. Cobalt Strike был использован во время нескольких крупных атак, включая действия группировки REvil. Аналитики Accenture CTI отмечают, что в некоторых случаях можно говорить и об использовании инструментов Cobalt Strike и в попытках кражи конфиденциальных данных.
Для того чтобы предотвратить атаки с использованием Cobalt Strike, мы рекомендуем внимательно отслеживать весь сетевой трафик, выявляя артефакты, которые могут свидетельствовать о присутствии зловреда. Для этого есть эффективные инструменты мониторинга. Кроме того, серьезной помощью для ИБ-специалистов может стать знакомство с успешным опытом других компаний, предотвративших подобные угрозы.
Используемое вредоносное ПО
Зловредное ПО научилось проникать из информационных систем в производственные мощности. В марте 2021 года специалистами Accenture CTI была зафиксирована активность таких зловредных программ, как QakBot, IcedID, DoppelDridex и Hancitor.
Такие инструменты, как Cobalt Strike – только средство доставки в информационные инфраструктуры другого зловредного ПО. С его помощью внутри охраняемых периметров организаций могут оказаться многие хакерские разработки, используемые для заражения систем и последующего вымогательства.
Например, зловредное ПО может проникать через сжатые файлы Excel. Этот способ особенно активно используется в последние месяцы такими зловредами, как бэкдор Qakbot и банковский троян IcedID.
Еще один активно распространяемый зловред, DoppelDridex, рассылается через спам-письма с темами, например, «Счет-фактура /Квитанция о продаже» и «Заказ на поставку». Такие письма содержат зараженные файлы Excel, при открытии которых вирус поражает рабочую станцию пользователя, а потом и всю информационную инфраструктуру.
По электронной почте распространялось весной 2021 года и еще одна разновидность вредоносного ПО – Hancitor. Эти письма содержали ссылку на зараженный файл Microsoft Word. Зловред приводит в действие загрузчик средства, которое может использоваться для кражи доменов. Известны и случаи распространения с его помощью Cobalt Strike.
В борьбе с этими угрозами помимо антивирусов помогут и типичные меры, применяемые против попыток фишинга. Например, строжайшим образом должно быть запрещено открытие файлов и ссылок, поступивших по электронной почте даже из известных источников. Не лишним будет и пересмотр прав доступа к внешним ресурсам для различных групп пользователей.
Кража информации
В последние полгода отмечается активная продажа конфиденциальных данных в даркнете. Это не только персональные данные. Интерес для злоумышленников предоставляет и такая информация, как номера банковских карт, ссылки на криптокошельки и даже закладки пользователя в браузере. Способом их получения становится анализ журналов вредоносных программ. В некоторых случаях при помощи журналов зловредов злоумышленники могут получить доступ к сетевым ресурсам через различные службы, такие как RDP или SSH.
Наиболее часто доступ к вредоносным журналам продается через специальные торговые площадки в даркнете, например, Genesis Market или Russian Market. Эта информация несет серьезную опасность как отдельным пользователям, так и информационным инфраструктурам предприятий. Обладая ею, в защищенный периметр компании может проникнуть даже низкоквалифицированный хакер.
Сократить риски, связанные с использованием журналов вредоносного ПО, может мониторинг графика с использованием аналитических данных специализированных ИБ-компаний, которые отслеживают активность злоумышленников в даркнете. Поможет в защите информации и обмен данными с ИБ-аналитиками о сигнатурах зловредного ПО, попытках проникновения в системы и сети связи.
На фоне постоянно усложняющихся угроз лучшим средством защиты для предприятий может стать формирование собственных центров управления безопасностью (SOC) или использование услуг компаний, которые специализируются в этой области. Это – самый простой путь использовать для киберзащиты актуальные данные аналитики и перейти от реагирования на возникающие угрозы к их предотвращению.
Автор: Мирас Касымов, директор по развитию Accenture в Казахстане
