Island hopping: правило «хорошего тона» среди кибер-преступников
Шифровальщики переживают что-то вроде возрождения. В 2018 году количество обнаружений подобного рода вредоносных программ упало, в то время как другие кибер-угрозы такие как криптоджекинг показали существенный рост. Впрочем, в первом квартале 2019 года атаки шифровальщиков против компаний возросли на 195%.
Самым ярким доказательством этого возрождения стала серия направленных атак шифровальщиками против местных органов власти в США. Балтимор, Лейк-Сити, Картерсвилл, Линн… Эта новая тенденция целевых шифровальщиков поразила также и деловой мир:атака на Norsk Hydro поразила 22000 конечных устройств в 40 странах мира.
Массовая кампания в Техасе
Утром 16 августа 2019 года 22 органа местного самоуправления в штате Техас (США) стали жертвами скоординированной атаки шифровальщиков. Хотя власти Техаса не уточнили, какие именно шифровальщики использовались злоумышленниками во время атаки, но они сообщили, что 22 атаки пришли из одного и того же источника. Кибер-преступники потребовали выкуп в размере 2,5 миллионов долларов США.
Представитель Департамента информационных ресурсов штата Техас (DIR) заявил, что «полученные доказательства указывают на то, что атаки исходили от одного и того же источника. Расследование происхождения атаки продолжается, но в настоящее время первоочередное внимание уделяется реагированию и восстановлению».
На данную атаку отреагировали со стороны DIR, Центра по обеспечению операций безопасности техасского университета Texas A&M University System, Департамента общественной безопасности Техаса, а также других аварийных и военных ведомств. К 23 августа все пострадавшие подразделения перешли от реагирования и оценки последствий к восстановлению своих систем.
Как им удалось атаковать так много учреждений и ведомств?
Чтобы выполнить атаку такого масштаба против большого количества правительственных органов, злоумышленникам потребовалась передовая техника: island hopping (в переводе с английского, буквально – «Путешествие по островам»). Island hopping подразумевает, что кибер-преступники проникают в сети небольших компаний (например, маркетинговые или рекрутинговые агентства), которые предоставляют услуги для потенциальных жертв, являющихся конечными целями будущей атаки. Затем они используют их, чтобы получить доступ к более крупным организациям.
В случае со штатом Техас, техника island hopping стала возможной в силу того, что многие пострадавшие муниципалитеты использовали одинаковое программное обеспечение и одного и того же поставщика ИТ-систем. Мэр одного из пострадавших городов Гари Хайнрих пояснил, что кибер-преступники воспользовались данной ситуацией, чтобы атаковать местные органы власти.
В целом, более мелкие компании, как правило, имеют более уязвимые системы, что значительно упрощает использование техники island hopping. Проникнув в систему, злоумышленники пользуются доверием, которое существует между компаниями, чтобы достичь своей реальной цели.
Данный метод не является чем-то новым, и он становится все более популярным и распространенным. По данным ряда источников, 50% кибер-атак, осуществляемых в наши дни, используют технику island hopping. И речь идет не только о вредоносных программах, которые используются кибер-преступниками для проведения подобного рода атак. Одним из самых популярных векторов проникновения являются IoT-устройства (Интернет вещей), поскольку они обычно оснащены менее надежными средствами безопасности.
Какое будущее у атак шифровальщиков?
Некоторые эксперты по информационной безопасности считают, что скоординированные атаки подобно той, что мы видели недавно в Техасе, могут стать будущим сценарием развития атак шифровальщиков в целом. Это первая атака такого рода, когда инциденты были скоординированы, т.е. это не была серия разрозненных атак на каждый из органов власти. Чаще всего злоумышленники проводят массированные сканирования сетей и поиск открытых RDP-соединений на уязвимых серверах для выполнения разрозненных атак.
Тем не менее, в данном случае очевидно, что нападавшие ориентировались на одну конкретную цель, и атаковали ее весьма целенаправленно.
Защитите вашу компанию от island hopping
Через три недели после инцидента DIR сообщил, что более половины пострадавших учреждений вернулись к нормальной работе. Впрочем, это означает, что до сих пор осталось достаточно много государственных учреждений, которые не в состоянии нормально выполнять свои ежедневные операции. Чтобы помочь предотвратить еще один инцидент, DIR опубликовал серию рекомендаций:
Разрешить подключение к программному обеспечению удаленного доступа только из сети поставщика
Использовать двухфакторную авторизацию на инструментах удаленного администрирования
Блокировать входящий трафик с exit-узлов Tor.
Блокировать исходящий сетевой трафик на Pastebin.
Последней мерой, которую предлагает DIR, является использование решений по обнаружению атак на конечные устройства и реагированию на них класса Endpoint Detection and Response ( EDR ) для обнаружения запуска необычных процессов через PowerShell .Panda Adaptive Defense 360 сочетает технологии традиционной антивирусной защиты и безопасности конечных устройств (EPP) и EDR с сервисом 100% классификации запущенных процессов. Это означает, что решение способно обнаруживать любые подозрительные процессы и аномальные модели поведения и останавливать их выполнение прежде, чем они могут привести к реальным проблемам в вашей организации.
Хотя шифровальщики на слуху уже много лет, а их популярность переживала взлеты и падения, все равно они всегда представляют собой серьезную угрозу. Более того, подобный случай лишний раз доказывает, что кибер-преступники всегда будут использовать самые передовые методы для осуществления своих атак шифровальщиками. Вот почему вы никогда не должны позволять себе снижать уровень безопасности, если речь идет о защите вашей компании от данной кибер-угрозы.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.