02.11.2021

Александр ГЕРМАН, RuSIEM: «Большая охота» шифровальщиков или как изменились тактики кибервымогателей в 2021 году

Что нового привнесла пандемия в ландшафт киберугроз, специально для NBJ рассказывает Александр Герман, инженер RuSIEM.

Экстренный переход к гибридным форматам работы вызвал беспрецедентный уровень социальных и экономических изменений. Это коснулось и вопросов обеспечения информационной безопасности – организации были вынуждены уделять ей значительно больше внимания. Однако это не остановило киберпреступников, которые усилили свою активность на фоне в целом низкой готовности организаций парировать риски. Что нового привнесла пандемия в ландшафт киберугроз, специально для NBJ рассказывает Александр Герман, инженер RuSIEM.

Новые мишени киберпреступников

В 2021 году мир продолжал бороться с вызовами 2020 года. Пандемия COVID-19 повысила социальную значимость и экономическую роль организаций сектора здравоохранения, что привлекло внимание к ним со стороны киберпреступников, использовавших для атак на этот сегмент вирусы-шифровальщики. Низкая скорость адаптации защищённости не привыкших парировать активность злоумышленников компаний воодушевила их авторов изобретать всё более результативные в финансовом плане тактики, методы и процедуры атак. Чаще всего они приводили к нарушению функционирования учреждений, штрафам от регуляторов или искам от пациентов, персональные данные которых были украдены. Однако есть и реальные жертвы: так, одна из больниц в Германии не смогла оказать помощь пациентке из-за того, что компьютеры учреждения были заражены вирусом. Женщина скончалась по дороге в больницу в другом городе.

Помимо шифровальщиков в 2021 году намного активнее, чем раньше, используются так называемые «атаки на цепочки поставок», когда вредоносный код внедряется в программное обеспечение в процессе его разработки. Так, в конце 2020 года от них пострадали государственный сектор США и смежные отрасли промышленности. Как и упомянутые выше шифровальщики, атаки на цепочки поставок не являются чем-то новым – их число растёт с 2018 года.

В тактике финансово мотивированных злоумышленников и АПТ-группировок есть различия: первые обычно действуют через компрометацию учётных данных для развертывания программ-вымогателей и программных закладок, в то время как целью вторых, в основном, является внедрение шпионского ПО. Учитывая потенциально высокую отдачу от инвестиций в оба этих вида преступной деятельности, ожидается сохранение угрозы атак на цепочки поставок во всех секторах в 2021–2022 годах.

Как атаковали?

Консолидация интереса преступных группировок вокруг крупных, но, как оказалось, недостаточно защищённых игроков рынка, получило название «Большая охота» – Big Game Hunting. Основной инструмент «охотников» – вирусы-шифровальщики – явление не новое, но получившее буквально «второе дыхание» в результате использования наиболее продвинутыми группировками тактики предварительного хищения чувствительных для компаний данных перед их шифровкой с целью получить выкуп под угрозой их дальнейшей перепродажи или публикации.

Успешность таких атак свидетельствует о том, что технические возможности отдельных группировок, позволяющие им из всего массива скомпрометированных данных отфильтровать наиболее чувствительные, сопоставимы с промышленными мощностями жертв или, как минимум, компаний, профессионально занимающихся конкурентной разведкой или иными видами работы с большими массивами разнородных данных. Те злоумышленники, у кого нет возможности фильтровать массивы, всё равно используют эту тактику, попросту блефуя.

По мере совершенствования тактик участников «Большой охоты» наблюдается сокращение времени, необходимого для внедрения вредоносного ПО в инфраструктуру организаций-жертв, а также появление сайтов, где автоматически публикуется информация, похищаемая при использовании определённых семейств шифровальщиков. Эти шифровальщики либо единовременно публикуют часть всего объёма похищенных данных, либо выкладывают пронумерованные части отфильтрованной информации, выбирая время публикации вручную или по таймеру обратного отсчёта. Сравнительно немногие группировки озадачиваются ручным разбором и сортировкой данных по типам (личная информация, финансовая отчётность, коммерческая тайна, ноу-хау), а затем публикуют их с определённым временным интервалом. Для компаний с высокой стоимостью бренда информация о каждой такой публикации быстро появляется в социальных сетях и в СМИ, что делает давление на них более эффективным.

Коллаборация и маркетинг

Преступная коллаборация становится всё более актуальной, как видно из активности группировок, управляющих ботнетами и предлагающих свои услуги операторам шифровальщиков для использования DDoS-атак с целью замаскировать атаку или усилить давление на жертву с целью получения выкупа. Нарушение доступа к критически важным ресурсам является перспективным направлением для участников «Большой охоты». При этом заражение шифровальщиком также иногда предлагается ими как услуга (RaaS).

Маркетинг киберкриминальных услуг становится всё более «прямым»: форумы в даркнете являются площадкой для взаимодействия преимущественно хактивистов – в то время как профессиональные группировки (как финансово мотивированные, так и АРТ) всё чаще используют преимущественно частные каналы и персональные связи участников. Вполне вероятно, что со временем ряд представителей этой категории акторов окончательно исчезнут из даркнета.

Растёт активность преступных групп, действующих из Латинской Америки. Ожидается, что в 2021–2022 годах они начнут совместные операции с европейскими группировками, участники которых владеют испанским и португальским языками.

Общие рекомендации

Нельзя защититься от того, чего не видишь. В современных условиях способность обнаруживать атаки и оперативно реагировать имеет решающее значение. Чтобы успешно обнаруживать атаки, надо понимать, что именно нужно искать, то есть – модель угроз и карта рисков всё-таки нужны. Отталкиваясь от этого, прогнозируются вероятные сценарии реализации угроз ИБ в системах и сетях организации. Затем выстраивается периметр защиты, внедряются необходимые СЗИ, назначаются ответственные сотрудники для оперативного обнаружения атак. В частности, качественная настройка и работа с SIEM позволяет сэкономить время и силы на битье по площадям.

Персональные данные и доступ к ним должны быть максимально защищены. Многофакторная аутентификация на всех общедоступных службах и порталах должна быть обязательной для всех сотрудников без исключения. В дополнение к MФA, выстроенный процесс управления привилегированным доступом ограничит ущерб, который могут нанести злоумышленники. Также для разграничения доступа к данным и уменьшения потенциального ущерба от компрометации конфиденциальной информации следует внедрять решения с нулевым доверием.

Инвестируйте в экспертизу и аналитику. Атаки уже давно интерактивны, атакующие управляют процессом, находясь в сети организации, в режиме реального времени разрабатывая и используя новые методы обхода автоматического мониторинга и обнаружения вторжений. Непрерывный поиск угроз – лучший способ предотвращения развития сложных или длящихся атак. Поведенческая аналитика атакующих позволит понять мотивацию, способности и навыки злоумышленника и использовать эти знания для прогнозирования угроз.

Убедитесь, что действующая политика кибербезопасности включает требования к организации удалённой работы и правила управления доступом для удалённых работников, использования персональных устройств, а также актуальные подходы к обеспечению конфиденциальности данных при организации доступа.

Создайте культуру кибербезопасности. Технологии имеют решающее значение в обнаружении и парировании вторжений, но в предотвращении нарушений важнейшим звеном остаётся пользователь. Инициируйте программы повышения осведомлённости пользователей для борьбы с угрозой фишинга и связанными с ним методами социальной инженерии.

Материал также опубликован в печатной версии Национального Банковского журнала (№10, октябрь 2021).

Источник публикации