May 12, 2020

Киберпреступники могут заставить вашу компанию заплатить!

Как и большинство людей, у которых есть цель, киберпреступники-вымогатели развиваются и совершенствуют свои методы работы. Цели их остаются примерно теми же, что и раньше: блокировать доступ к данным жертвы до тех пор, пока им не заплатят. А вот методы…они меняются прямо на наших глазах.

Сейчас преступники требуют оплаты через криптовалюту и даже смешивают разные ее виды, чтобы сделать отслеживание затруднительным или вовсе невозможным. В прошлом году сотрудники Европола провели вебинар «The functionality of privacy coins», на котором рассказали, что не могут отследить операции в Monero и фактически подтвердили факт того, что расследование будет прекращено в случае, если киберпреступники изначально получат выкуп в данной криптовалюте или конвертируют денежные средства в нее. Недавно операторы одного из опаснейших шифровальщиков Sodinokibi\REvil сообщили, что планируют отказаться от других способов оплаты.

Такое желание перестраховаться вызвано суммами нынешних ущербов и выбранными жертвами. Они также изменились кардинально. Киберпреступники перестали размениваться на отдельных пользователей и переключили свое внимание на бизнес. Ради того, чтобы «сорвать куш», они готовы потратить и силы, и время. «Предприятия с большей вероятностью подчинятся требованиям вымогателей», - говорит Сиван Нир (Sivan Nir), руководитель группы разведки угроз в Skybox Security. «Причина этого проста: они боятся штрафов, которые им придется заплатить в случае раскрытия каких-либо данных. Вымогательство все еще влияет на отдельных людей, но преступники видят гораздо большую отдачу от атак на бизнес». Страх применения штрафных санкций, а также потери доверия клиентов и партнеров становятся новым рычагом в руках преступников.

Операторы вымогателя Maze стали первопроходцами в вопросе монетизации данного страха. В ноябре 2019 года они начали публично раскрывать названия компаний, которые подверглись атакам и утечкам данных, но отказались платить. Вероятность раскрытия конфиденциальной информации широкой общественности застала их жертв врасплох. По словам Адама Дарра (Adam Darrah), директора разведки в Vigilante, подобные схемы шантажа раньше оставались в тени и использовались в операциях соперничающих мировых корпораций или целых правительств, а сейчас были приняты на вооружение киберпреступниками. Просто блокировать доступ к данным жертвы сейчас недостаточно. Перед шифрованием злоумышленники крадут часть информации, которой затем можно будет шантажировать руководство компании.

Специалисты информационной безопасности уже начинают прогнозировать, какой вектор атак будет набирать популярность в этом году. Одним из новых, ранее проявивших себя методов стала атака на резервные копии в Интернете. Достаточно распространенный и рекомендуемый экспертами вариант хранения информации – правило «3-2-1». Сохраняйте три копии своих данных, используйте два разных типа хранилища и сохраняйте как минимум одну копию вне сети и в автономном режиме.

Проблемы здесь возникают в части хранения. Многие компании выбирают для этого облачные хранилища, которые отвечают необходимым требованиям, но также делают процесс восстановления данных очень легким. В том числе, для преступников. Им достаточно скомпрометировать учетные данные ПО для резервного копирования, что позволит восстановить информацию на подконтрольных им серверах. А дальше по старой схеме: удаление резервных копий и шифрование данных в системе.

В целом же, исследователи безопасности сходятся во мнении, что традиционные атаки, основанные на электронной почте, будут продолжаться, а вместе с ними и другие стратегии, такие как использование протокола удаленного рабочего стола (RDP) для получения полного доступа к системе путем отправки вредоносного запроса на компьютер жертвы. Ориентация на конкретные предприятия может потребовать много времени: от нескольких дней до месяцев. Однако злоумышленники сейчас не хотят тратить свое время на вредоносные кампании, которые не приносят существенный доход. Когда преступники уверены, что могут получить выкуп от компании больше, чем от среднестатистического Интернет-пользователя, скорее всего, они попытаются это сделать. Предприятия же должны готовиться к худшему и оценивать свою собственную защиту от все более изощренного набора атак вымогателей.