В 2019 году наблюдался резкий всплеск атак шифровальщиков
2019 год стал еще одним рекордным годом для атак шифровальщиков. Волны атак, замеченные в США в начале года и продолжавшиеся атаками на государственные административные органы в Европе, включая последние инциденты, обнаруженные в Испании, привели к тому, что шифровальщикам удалось сохранить свое «почетное» место в списке самых важных кибер-угроз 2019 года. Статистика говорит сама за себя: в 2019 году количество атак шифровальщиков взлетело на 500% по сравнению с прошлым годом.
Все организации подвержены нарушениям безопасности: от крупных транснациональных компания до малого и среднего бизнеса, а также государственных органов. Фактически, согласно данным Всемирного экономического форума, доля организаций, которые подверглись атакам в 2018 году, выросла на 61%. Темпы роста в 2019 году, вероятнее всего, будут еще выше. Такая динамика в значительной степени связана с всплеском шифровальщиков, волны атак которых мы наблюдали в течение года.
Тем не менее, скорее всего надо говорить не о волнах атак, специально разработанных для единовременного массового применения, а о серии атак, которые просто совпали по времени и характеру использования вредоносной нагрузки (шифровальщики). Мы выявили широкий набор тактик, техник и процедур (TTP), использованных для нарушения систем безопасности жертв этих атак.
Первые признаки
Самые ранние индикаторы серий атак шифровальщиков, которые мы наблюдаем до сих пор, проявили себя еще в январе. Администрация города Дель Рио (штат Техас, США) сообщила об атаке шифровальщика, от которой пострадали их информационные системы, в результате чего сотрудникам администрации пришлось выполнять свою работу вручную с помощью бумаги и ручек. Служба управления ИТ в администрации Дель Рио были вынуждены отключить компьютеры мэрии, чтобы сотрудники не могли подключаться к системе и распространять инфекцию.
По данным американских СМИ, атака была выполнена с использованием необычной стратегии. Требование о выкупе содержало номер телефона для контакта с злоумышленниками и получения инструкций о том, как заплатить для восстановления своих файлов.
В марте норвежская компания Norsk Hydro подверглась разрушительной атаке, в рамках которой образец шифровальщика под названием LockerGoga проник в их сеть и заставил отключить 22 000 компьютеров в 40 странах мира. Это была направленная атака: по данным BBC, прежде чем запустить атаку шифровальщика, злоумышленники в течение нескольких недель тайно пребывали в корпоративных ИТ-системах в поиске их слабых мест и уязвимостей. В итоге компании пришлось потратить порядка 50 миллионов евро на восстановление после атаки.
Скорее всего, LockerGoga был доставлен с помощью фишинговой атаки, потенциально скрытой в документах Word с помощью вредоносного макроса. Некоторые характеристики шифровальщика позволяют предположить, что шифрование файлов и требование выкупа были не главной целью для LockerGoga. В некоторых вариантах эта вредоносная программа меняет пароль администратора и отключает жертву с помощью logoff.exe, что значительно затрудняет оплату выкупа.
Фокус перемещается на органы государственного управления США
Хотя тенденция к нападениям на государственные органы началась с инцидента в Дель Рионо только через несколько месяцев подобные учреждения стали все чаще становиться жертвами шифровальщиков. В марте администрация города Джексон Каунти (штат Джорджия, США) заплатила выкуп в размере 400 тысяч долларов США, которые запрашивали кибер-преступники после удачного проведения атаки шифровальщика, возможно, варианта Ryuk. В результате инфекции «упали» практически все системы города за исключением веб-сайта мэрии и их системы экстренной помощи.
Также в начале марте полиция Англии и Уэльса пали жертвами атаки шифровальщика, с помощью которой злоумышленники сумели зашифровать их базы данных и серверы. Они также смогли удалить резервные копии, которые были созданы в администрации.
В апреле г. Огаста (штат Мэн, США) пострадал от атаки, которая была определена как крайне направленная атака шифровальщика. Злоумышленники запросили выкуп в размере не менее 100 тысяч долларов США. К счастью, мэрия сумела остановить шифровальщика, а их системы почти полностью вернулись к нормальному режиму функционирования практически на следующий день.
В мае два города также были атакованы в промежуток в два дня. 6 мая пострадал город Картерсвилль, а затем 7 мая Лин попал под удар шифровальщика под названием «Herpes 1.2», который заразил городские онлайн-системы оплаты паркинга в городе.
Также 7 мая муниципалитет города Балтимор (США) сообщил о том, что мэрия закрывает большинство своих серверов в результате атаки шифровальщика. Злоумышленники требовали выкуп в размере 3 биткоинов за каждый компьютер или 13 биткоинов для освобождения всех компьютеров администрации. Городские системы не работали практически целый месяц, и по состоянию на текущую дату город потратил свыше 4,6 миллионов долларов США на восстановление данных на всех своих компьютерах.
В рамках этой атаки использовался шифровальщик под названием RobbinHood (Робин Гуд). По данным Bleeping Computer, шифровальщик не проникал на компьютер с помощью спама: вместо этого он использовал преимущества удаленного подключения к рабочему столу (RDP) или других троянов, которые позволяли хакерам получать доступ. За последние несколько месяцев появился ряд доказательств того, что злоумышленники, которые зашифровали системы в Балтиморе, гордятся своей работой: новый вариант RobbinHood включает требование о выкупе, в котором жертве предлагается «погуглить» слово «Балтимор», чтобы понять всю серьезность своей ситуации.
К сожалению, это было всего лишь началом «лета недовольства» в США. На одной неделе были атакованы два города в штате Флорида (США), которые оба приняли спорное решение заплатить выкуп: город Ривьера-Бич заплатил 65 биткоинов (свыше 600 000 евро), а город Лейк-Сити выплатили 42 биткоина (порядка 420 000 евро).
Один из самых ярких инцидентов произошел утром 16 августа: в общей сложности 22 мэрии в штате Техас (США) стали жертвами скоординированной атаки шифровальщика. И хотя техасские власти не раскрыли информацию о том, какие шифровальщики были использованы в этой атаке, но они сообщили, что все эти 22 атаки пришли от одного источника. Злоумышленники запросили выкуп в размере 2,5 миллионов долларов США.
Волна атак ударила по остальному миру
Осенью мы стали наблюдать волны атак шифровальщиков в Европе и на других континентах. В середине сентября несколько муниципалитетов и государственных учреждений в Испании пострадали от атак шифровальщиков. В Стране Басков было по меньшей мере 4 зарегистрированных случая серьезных преступлений в сфере информационной безопасности, в то время как региональное правительство сообщило о том, что оно было атаковано шифровальщиком под названием Ryuk. Эта вредоносная программа зашифровала файлы, хранящиеся более чем на 50 серверах, заставив сотрудников органов власти работать вручную без компьютеров.
В Германии работа ведущего производителя средств автоматизации фактически была парализована на целую неделю в результате инцидента с шифровальщиком BitPaymer, а в городе Йоханнесбург (ЮАР) ИТ-системы были взломаны хакерами, которые запросили выкуп в размере 4 биткоина.
Среди последних жертв шифровальщиков стали несколько испанских компаний, чьи системы были зашифрованы в начале ноября. Panda получила доступ к требованию о выкупе, полученному пострадавшими, и мы увидели, что эти инциденты имеют много общих характеристик с шифровальщиком BitPaymer.
Антивирусная лаборатория PandaLabs пояснила: «Согласно результатам наших предварительных расследований, которые пока еще продолжаются, одна из самых сильных гипотез заключается в том, что жертвами могли стать компании, пострадавшие от некоторых спам-кампаний, которые были запущены в предыдущие недели, а их цель сводилась к тому, чтобы заразить машины вредоносной программой Emotet. Если это так, то шифровальщик будет пока «в тени» до тех пор, пока его сервер управления не отправит ему BitPaymer для начала атаки».
Совсем недавно жертвой стала мексиканская нефтяная компания Pemex. 11 ноября было взломано несколько компьютеров, парализовав работу ряда сотрудников. ИТ-департамент посоветовал сотрудникам компании отключить свои компьютеры.
Главные причины
Хотя эта серия атак совпала по времени и форме, на практике все они использовали разнообразные наборы техник для проникновения в ИТ-системы своих жертв. Главные причины этих атак шифровальщиков:
В инциденте с Norsk Hydro злоумышленники потратили месяцы на предварительное изучение корпоративной системы, осуществляя поиск уязвимостей, которые могли бы использоваться в сочетании со спамом для запуска шифровальщика. И это не единичный случай: на самом деле, причина каждого третьего нарушения безопасности кроется в незакрытых уязвимостях. Одна из самых известных атак шифровальщиков в истории WannaCry использовала известную уязвимость, которая позволила ей проникнуть на более чем 300 000 компьютеров по всему миру.
92% вредоносных программ в мире распространяется с помощью фишинга, и шифровальщики не являются исключением. Они могут быть скрыты во вложениях с макросами или в виде ссылок на вредоносные сайты. Одна из версий того, как шифровальщики заразили ряд испанских компаний в ноябре, заключается в том, что они попали через фишинговое письмо, отправленное ботнетом Emotet.
Атаки на цепочки поставок. Для проведения массированной атаки в Техасе использовалась техника под названием island hopping. Эта техника подразумевает проникновение кибер-преступников в сети небольших компаний (например, маркетинговые компании или агентства по найму персонала), которые предоставляют свои услуги более крупным компаниям, являющимися целями атаки, что позволяет хакерам заполучить доступ к сетям этих крупных организаций. В случае с Техасом техника island hopping стала возможной благодаря тому, что большинство местных органов власти использовали одинаковое ПО и поставщика ИТ-систем.
Вы хотите попробовать решение, которое еще ни разу не пострадало от любых атак такого рода?
Факт остается фактом: шифровальщики – это постоянная угроза, и ее очень трудно сдержать, если у вас нет соответствующей защиты, а вы не следуете определенным рекомендациям. Самое главное – это придерживаться подхода нулевого доверия для обеспечения безопасности: ничему не доверяйте до тех пор, пока вы не сможете быть полностью уверены в том, что это не является вредоносной программой, и все подвергайте сомнению.
Panda Adaptive Defense не основан на сигнатурах или традиционных техниках, а придерживается именно принципа нулевого доверия в отношении любой активности на всех устройствах. Для этого он проводит проактивный мониторинг абсолютно всех активностей на каждом компьютере для классификации каждого процесса на всех устройствах в организации и определения их профилей поведения. Если решение обнаруживает любую подозрительную активность, даже если у нее нет подозрительного профиля, то оно блокирует ее и анализирует с целью принятия решения о том, что делать. Более того, решение оснащено анти-эксплойтной технологией, которая способна обнаруживать вредоносные скрипты и макросы.
99,98% решений принимаются автоматически благодаря процессам искусственного интеллекта, основанным на машинном обучении и глубоком обучении. Принятие оставшихся 0,02% решений делегируется команде экспертов по Threat hunting, которые определяют характер процесса, одновременно обогащая и совершенствуя автоматические алгоритмы.
Более того, вы можете еще больше сократить поверхность атаки с помощью модуля Panda Patch Management. Этот модуль ищет и применяет патчи и обновления для операционных систем и трехсот приложений, чтобы уязвимости не подвергали компании риску вторжения.
Мы можем рассказать вам, как работают эти атаки, какие уязвимости они используют… Мы также можем сказать вам, что они ни в коем случае не будут последними. Единственное, что мы не знаем точно, - это когда будет запущена следующая массированная атака.
Будьте готовы и усильте защиту ваших систем с помощью Panda Adaptive Defense. Благодаря его модели нулевого доверия, решение способно регистрировать и проверять 100% процессов прежде, чем они смогут запуститься на ваших компьютерах. Эти уровни видимости и контроля усиливают ваши возможности по предотвращению, обнаружению и реагированию на атаки. Вот почему ни один пользователь Panda Adaptive Defense не пострадал ни от одной подобной волны атак шифровальщиков.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.