В 2023 году киберпреступность оставалась весьма актуальной, и нарушители продолжали усиливать свою агрессивность и изобретательность. Согласно последнему анализу, представленному в докладе "Индекс киберугроз" от интернет-магазина лицензионного программного обеспечения Softlist, в этот период ключевыми проблемами стали зловредные программы для вымогательства, утечки информации и уязвимости в программном обеспечении. Учитывая увеличение объемов данных, которые организации создают и хранят, преступники активно исследуют новые способы вторжения. В данной статье мы рассмотрим самые актуальные киберугрозы, нацеленные на конечные устройства, ресурсы идентификации и облачные технологии за первые три квартала текущего года. Исследуя мотивацию и последствия таких атак, руководители и службы безопасности смогут более эффективно обеспечить защиту своих ресурсов, систем и сетей от будущих угроз.
Воздействие на конечные устройства
Нападения на конечные устройства стали важным вопросом, представляя реальное рискованное воздействие для бизнес-секторов различных индустрий. Так как число конечных устройств растет и удаленная работа сохраняет свою актуальность, арена для нападений на эти устройства увеличивается, что делает компании более уязвимыми перед различными опасностями. Воздействия на конечные устройства часто направлены на слабые места в компьютерах с особыми правами, мобильных телефонах и устройствах интернета вещей (IoT).
Основные риски, охватывающие эту область воздействия, включают в себя программы для выкупа, атаки через поддельные сообщения, уязвимости, эксплуатируемые в момент их обнаружения, безфайловые зловредные приложения и атаки, прерывающие обслуживание (DoS).
Атаки с использованием вымогательского ПО
В течение первых трех кварталов 2023 года программы вымогатели осуществляли атаки на ряд ключевых элементов инфраструктуры и известные корпорации, среди которых:
- Система скоростного транспорта Сан-Франциско (Vice Society). В январе сеть BART в Сан-Франциско столкнулась с вторжением вымогателя, за которое отвечала группа Vice Society. Несмотря на отсутствие прерываний в транспортных услугах, утраченная информация была опубликована в сети. BART утверждает, что атака не затронула их службы и системы, однако это вызвало опасения относительно потенциальных задних дверей в критические системы.
- Reddit (BlackCat Ransomware). Группа ALPHV, известная как BlackCat, призналась в февральской атаке на платформу Reddit. В результате удачной фишинговой операции было утрачено 80 ГБ данных, включая корпоративные файлы, исходные коды и информацию о рекламодателях. После безуспешных попыток потребовать от Reddit 4,5 миллиона долларов за удаление информации, группа заявила о намерении ее опубликовать.
- Компания Dole Food. В феврале Dole Food подверглась атаке вымогателя, что привело к компрометации данных сотрудников. Несмотря на локализованный характер воздействия, некоторые производственные мощности в Северной Америке временно остановили свою работу из-за этого инцидента. Подробности были указаны в ежегодном отчете компании для SEC.
- Служба маршалов США (USMS). Этот инцидент, охарактеризованный как критический, включал атаку на Службу маршалов США, где была утрачена важная информация, включая материалы судебных заседаний и личные данные сотрудников.
- Город Орегон (Royal Ransomware). В мае город Орегон стал жертвой атаки вымогателя, когда данные округа были зашифрованы. Несмотря на сохранение функций выборов и экстренных служб, большинство государственных операций пострадали. В результате были необходимы многомиллионные инвестиции для восстановления системы.
- Enzo Biochem. В апреле этот биотехнологический гигант из Нью-Йорка столкнулся с вымогательской атакой, которая компрометировала данные исследований и личную информацию около 2,5 млн человек. Взлом привел к раскрытию имен, результатов тестов и 600 000 номеров социального страхования.
Мы можем предложить ряд рекомендаций по защите от вымогателей:
- Резервное копирование данных: Создавайте резервные копии всех важных файлов и храните их отдельно от основной сети. Используйте защиту от записи, чтобы злоумышленники не могли удалить или зашифровать ваши резервные копии.
- Обновление ПО: Удостоверьтесь, что все системы обновлены до последних версий. Патчи и обновления часто исправляют известные уязвимости.
- Обучение сотрудников: Обучите свой персонал основам кибербезопасности, включая опасность фишинга и как избегать подозрительных ссылок или вложений.
- Многофакторная аутентификация: Включите двухфакторную или многофакторную аутентификацию там, где это возможно, особенно для удаленного доступа и важных учетных записей.
- Ограничение доступа: Используйте принцип наименьших привилегий, предоставляя доступ только тем, кому он действительно нужен. Ограничьте использование учетных записей с правами администратора.
- Сегментация сети: Разделяйте свои сети на сегменты, чтобы злоумышленники не могли легко перемещаться по всей вашей инфраструктуре.
- Мониторинг сети: Установите системы мониторинга, чтобы немедленно узнавать о любых подозрительных активностях или нарушениях.
- Антивирус и защита от вредоносных программ: Удостоверьтесь, что у вас установлены и активированы современные решения по обнаружению и предотвращению вредоносных программ.
- Защита от проникновения: Используйте современные решения для обнаружения и предотвращения проникновений, чтобы блокировать известные векторы атак.
- Регулярные проверки безопасности: Регулярно проводите аудиты и тестирование на проникновение, чтобы определить уязвимые места и устранить их.
- План ответа на инциденты: Разработайте и регулярно обновляйте план ответа на инциденты, чтобы быстро реагировать на атаки и минимизировать ущерб.
Помимо этих общих рекомендаций, следует также рассмотреть конкретные угрозы и TTP, связанные с каждым из перечисленных вымогателей, и принять дополнительные меры для их противодействия.
Атака на цепочку поставок 3CX
Атаки на цепочку поставок представляют собой одну из наиболее опасных и эффективных стратегий, используемых злоумышленниками. Эти атаки происходят, когда злоумышленники нацелены на менее защищенные элементы в системе поставок с целью взлома целевой организации или группы организаций.
В случае с 3CX северокорейские акторы использовали стеганографию (сокрытие информации внутри других файлов) для маскировки своего вредоносного ПО. Используя .ico файл изображения на GitHub, они обеспечили свое вредоносное ПО возможностью определить адрес сервера C2.
Чтобы предотвратить или смягчить последствия подобных атак, организации могут принять следующие меры:
- Регулярные проверки безопасности: Это поможет определить уязвимые места и возможные векторы атаки.
- Мониторинг и анализ журналов: Системы безопасности и анализа журналов помогут выявить необычную активность или вредоносное поведение.
- Обновление ПО: Следует регулярно обновлять все системы и ПО, чтобы защититься от известных угроз и уязвимостей.
- Применение цифровых подписей: Используйте цифровые подписи для проверки аутентичности обновлений программного обеспечения.
- Сотрудничество с поставщиками: Взаимодействуйте с вашими поставщиками и партнерами, чтобы удостовериться, что они также применяют лучшие практики безопасности.
- Отдельные сети для разработки и производства: Это поможет изолировать критическую инфраструктуру от потенциальных угроз.
- Многократные проверки для обновлений ПО: Перед развертыванием обновлений ПО в реальной среде выполните несколько проверок, чтобы удостовериться, что оно не содержит вредоносного кода.
- Обучение персонала: Обучение персонала основам безопасности поможет сотрудникам распознавать и предотвращать попытки вторжения.
Атаки на цепочку поставок могут иметь разрушительные последствия для организаций всех размеров. Принимая проактивные меры, организации могут снизить риск столкновения с такими атаками и уберечь свои активы.
Программы-вымогатели нацелены на ESXi и Linux
В 2023 году группы, стоящие за программами-вымогателями, включая AvosLocker, Black Basta, BlackMatter, Hello Kitty, LockBit, RansomEXX, REvil и ушедшую со сцены Hive, активно нацеливались на серверы VMware ESXi. Начиная с 2021 года, эти киберпреступные объединения начали угрожать и операционным системам Linux из-за их ключевой роли в предоставлении критических сервисов и хранении конфиденциальной информации. Атаки на Linux могут вызвать серьезные сбои в обслуживании, вынудив компании выплачивать выкуп.
Кибератаки часто фокусируются на взаимодействии с конечными устройствами и облачными платформами, в том числе с серверами Linux и гипервизорами, например, VMWare ESXi. Анализ SentinelLabs выявил, что утечка исходного кода программы-вымогателя Babuk значительно повлияла на угрозы, связанные с ESXi. Появляется все больше и больше вариантов вымогателей для Linux, среди которых новые версии от Abyss, Akira, Monti и Trigona.
Вторжения, использующие персональные данные
Вторжения, опирающиеся на персональные данные с акцентом на цифровые механизмы доверия и проверки подлинности, усиливают свое присутствие в области кибербезопасности. Такие вторжения эксплуатируют слабости в пользовательских идентификаторах, учетной информации и методах аутентификации, целью которых является незаконный доступ к защищенной информации и системам.
Организации по всей планете существенно расширили использование цифровых пропусков в своей ежедневной работе, увеличивая тем самым потенциальные точки атаки. Эти пропуска особенно подвержены угрозам, таким как фишинг во всех его формах, манипуляция с учетными данными, взлом личной информации (часто основанный на социальном инжиниринге) и атаки на решения единой аутентификации (SSO) и системы многоуровневой проверки подлинности (MFA).
Проблемы с безопасностью Microsoft Exchange Online и Azure AD
В этом летнем периоде стало известно о нападениях на ряд государственных органов США, осуществленных активностью под кодовым именем STORM-0558, которая связывается с китайскими разведывательными службами. В процессе этих вторжений злоумышленники нарушили доступ Microsoft к различным элементам, включая области действия и утраченный ключ шифрования. Это дало им возможность генерировать токены сессий для служб Microsoft, принадлежащих пострадавшим структурам. Первоначальные источники информации указывали, что проблемы коснулись только Exchange Online. Однако исследования показали, что уязвимость также распространилась на различные приложения Azure Active Directory, включая те, что поддерживают аутентификацию на основе индивидуальных учетных записей.
BingBang: Уязвимость в настройках Azure Active Directory
BingBang выявляет проблему в конфигурации по умолчанию в приложениях Azure Active Directory (AD), которая может непреднамеренно предоставить приложениям чрезмерные права доступа. Исследования показали, что многие стандартные настройки приложений в Azure позволяют любому пользователю Azure AD получать доступ к этим приложениям без дополнительных ограничений.
Для противодействия рискам, связанным с BingBang, компаниям, которые используют аутентификацию через Azure AD, рекомендуется осуществить ревизию делегированных прав приложениям. Приоритет следует отдать приложениям, которые обрабатывают конфиденциальную или критическую информацию.
Угрозы в облачных технологиях
Тревожные события в облачных системах продолжают вызывать беспокойство, особенно из-за атак на слабые места облачной инфраструктуры. Главной целью таких атак является доступ к закрытым данным корпоративных систем, нарушение их работы или несанкционированное проникновение.
Несмотря на развитие облачных технологий, их уязвимость перед лицом злоумышленников, стремящихся эксплуатировать недостатки систем безопасности, остается. Особую опасность представляют атаки DDoS, которые могут обрушить облачные сервисы и привести к крупным сбоям. 2023 год стал свидетелем роста активности хакеров, охотящихся за данными в слабо защищенных или некорректно настроенных облачных системах.
Cl0p: киберугроза 2023 года
В мае 2023 года киберпреступническая группировка Cl0p (также известна как Clop) привлекла к себе внимание, эксплуатируя уязвимость нулевого дня в программе для передачи файлов под названием MOVEit, базирующейся на Windows. Через эту уязвимость злоумышленники размещали веб-шелл Microsoft IIS .aspx в директории сервера \MOVEitTransfer\wwwroot, что позволяло им похищать данные как с самого сервера, так и из присоединенного хранилища BLOB на Azure. Исследование от SentinelOne дает рекомендации, как компании могут обнаружить возможные нарушения со стороны Cl0p.
Самое поразительное в этой атаке - это ее масштаб. Злоумышленники, ранее сосредоточенные на атаках на отдельные устройства, теперь разрабатывали инструменты, нацеленные на облачные системы хранения. Исход этой операции был разрушительным: данные более 500 компаний и личная информация около 34 миллионов человек были украдены, что ставит эту операцию среди самых значимых киберугроз 2023 года.
Итоги | Оценка вероятности киберугроз
Текущая геополитическая и экономическая нестабильность вызывает растущие проблемы в сфере кибербезопасности для глобальных компаний. Как подтверждают инциденты, описанные в этой статье, международные и организованные киберпреступники усиливают свои усилия, направленные на проведение сложных кибератак, взлом правительственных систем, коммерческих сервисов и дисклозуру конфиденциальной информации. Обмен данными о текущих и возможных угрозах помогает специалистам в области безопасности лучше осознавать уязвимости, а также принимать меры против атак в будущем.
С учетом вышеупомянутых вызовов руководители компаний в 2023 году гораздо лучше осведомлены о киберугрозах и активнее принимают меры для их устранения. Основной акцент делается на минимизацию рисков и убытков, а также инвестициях в киберзащиту. Ключевыми направлениями являются усиление контроля доступа, управление киберрисками и инвестирование в новейшие решения в сфере кибербезопасности.
Так же рекомендуем обратить внимание на SentinelOne, которой уже сегодня доверяет множество компаний из Украины. Они Предоставляют необходимые инструменты для противодействия киберугрозам. Платформа Singularity от SentinelOne интегрирует защиту конечных устройств, идентификацию и облачные технологии в едином решении. Чтобы узнать больше о возможностях Singularity и его применении искусственного интеллекта, запросите демо или перейдите по ссылке для ознакомленя решениями по безопансти от SentinelOne.
