Направленные атаки шифровальщиков: легкий выбор для кибер-преступников

Направленные атаки шифровальщиков: легкий выбор для кибер-преступников
Прошлый год был годом криптоджекинга . Первый квартал 2018 года показал рост данного вида атак на 4000%, хотя за тот же самый период количество обнаружений шифровальщиков упало на 2%. Тем не менее, похоже, что в 2019 году шифровальщики возвращаются в центр внимания. На этот раз, однако, с более выборочными целями, а не с массовыми кампаниями.
Одними из последних жертв стали два города в штате Флорида (США). 29 мая сотрудник департамента полиции Ривьера-Бич открыл электронное письмо, которое запустило шифровальщик на ИТ-сеть всего города. Данный шифровальщик зашифровал файлы муниципалитета и привел к остановке в работе всех муниципальных служб за исключением службы 911, работа которой все же тоже была затруднена в результате данной атаки.

Спустя месяц в городе развернулась серьезная дискуссия по поводу того, что власти города сообщили о своих планах заплатить кибер-преступникам выкуп в размере 65 биткоинов (порядка 600 000 евро) за восстановление своих файлов. А всего через неделю после этого другой город в штате Флорида (Лейк-Сити) заплатил выкуп в размере 42 биткиона (порядка 420 000 евро) за восстановление своих файлов после атаки шифровальщика под названием «Triple Threat» («Тройная угроза»), который зашифровал их файлы 10 июня. Муниципалитет также уволил своего ИТ-директора в связи с этой атакой. Таким образом, менее чем за неделю кибер-преступники заработали около миллиона евро.

Направленные шифровальщики
Эти два инцидента являются всего лишь одними из последних в серии атак, которые специально направлены против органов местного самоуправления в США. В этом году также пострадали Джэксон Каунти , Балтимор , Картерсвилль и Линн . А на прошлой неделе жертвой атаки шифровальщика стал третий город в штате Флорида . Эти атаки шифровальщиков являются частью более общей тенденции: направленные шифровальщики.
В своих усилиях развиваться кибер-преступники все чаще обращаются к направленным атакам шифровальщиков вместо массовых неизбирательных кампаний. Движущей силой этого изменения, как всегда, являются деньги: успешная атака, выполненная против конкретной компании, может стать гораздо более прибыльной, нежели более общая кампания.

Для доказательства этого можно посмотреть на злоумышленников с WannaCry . По некоторым подсчетам эта атака, от которой пострадало свыше 200 000 компьютеров по всему миру, принесла злоумышленникам всего 120 000 евро . Если мы сравним это с атакой на Ривьер-Бич (около 600 000 евро), то легко понять, почему направленные шифровальщики становятся все более популярными.

Norsk Hydro страдает от последствий направленной атаки
В марте прошлого года производитель алюминия Norsk Hydro подвергся высокоточечной атаке . По данным BBC , злоумышленники провели несколько недель внутри ИТ-системы компании в поисках слабых мест и уязвимостей перед тем как запустить шифровальщика, который заразил 22 000 компьютеров в 40 странах мира. Целая компания, а это порядка 35000 сотрудников, были вынуждены перейти на «ручной» труд.

Тем не менее, реакция компании была описана властями как «золотой стандарт»: она отказалась платить выкуп, при этом в течение всего времени была открыта и прозрачна в отношении того, что произошло. Несмотря на то, что все было сделано правильно, масштаб такой направленной атаки означает, что на текущий момент компания уже потратила 45 миллионов фунтов стерлингов (порядка 50 миллионов евро) на восстановление после атаки.

Почему направленные шифровальщики так опасны
Кибер-преступники, которые проводят такого рода атаки, не выбирают компании случайно: их жертвы выбираются с учетом уязвимостей, которые существуют внутри организации. Это означает, что если компания пострадала от направленной атаки шифровальщика, существует высокая вероятность успеха. Как объясняет CSO , злоумышленники, как правило, ищут компании с небезопасным RDP-подключением для запуска атаки.

Это соединение используется для повышения уровня прав, чтобы в конечном итоге получить права администратора. Таким образом, злоумышленники могут деактивировать решения безопасности, а затем заразить систему с помощью шифровальщика.

Роль злоумышленника также меняется. Во время массовых кампаний он отправляет шифровальщика и ждет результаты. В случае же направленных атак он постоянно и проактивно работает для заражения системы. Эти атаки являются хорошим примером живого взлома, когда злоумышленнику удается обойти традиционные решения информационной безопасности для установки шифровальщика в систему данной конкретной компании.

Важность непрерывного мониторинга
Для борьбы с тем, как сейчас действуют злоумышленники, крайне важно, чтобы решения информационной безопасности использовали проактивные стратегии. Panda Adaptive Defense проактивно контролирует все процессы в вашей системе в режиме реального времени. Он обнаруживает любые аномалии во всех активностях, которые происходят в вашей сети, в результате чего способен останавливать любую угрозу даже до момента ее возникновения.

Другой аспект, который необходимо учитывать, связан с тем, что злоумышленники не ищут проблем. Т.е. они не заинтересованы в том, чтобы «сражаться» с хорошо защищенными компаниями, т.к. атака таких компаний может потребовать большего количества денег и ресурсов. Чтобы остановить злоумышленников от получения доступа к вашей системе, вам необходимо закрыть все слабые места. Среди прочего, необходимо определиться с тем, насколько необходимо использование RDP-соединений (протокол, чья репутация сильно пострадала за последние несколько недель ) и можно ли целиком отказаться от его использования. Также важно закрывать все уязвимостями соответствующими патчами.

Направленные шифровальщики могут негативно повлиять на работу организаций любых форм и размеров. Впрочем, идеальная цель – это плохо защищенная компания. Следовательно, информационная безопасность является важным инструментом.


Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
расширенная информационная безопасность B2B шифровальщик направленная атака
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.