Per decenni, i criminali informatici hanno sfruttato con successo difetti e vulnerabilità in Il world wide web... Tuttavia, negli ultimi anni c'è stato un netto aumento del numero di attacchi, nonché un aumento della loro frequenza: gli aggressori stanno diventando più pericolosi e il malware si sta diffondendo a una velocità mai vista prima.
introduzione
Parliamo di ransomware che nel 2017 ha fatto un balzo incredibile causando danni a migliaia di organizzazioni in tutto il mondo. Ad esempio, in Australia, attacchi ransomware come WannaCry e NotPetya hanno persino sollevato preoccupazioni da parte del governo.
Per riassumere i "successi" del ransomware quest'anno, esamineremo i 10 ransomware più pericolosi danno maggiore organizzazioni. Speriamo che l'anno prossimo impareremo lezioni e impediremo a questo tipo di problema di entrare nelle nostre reti.
NonPetya
Questo attacco ransomware è iniziato con programma ucraino dichiarazioni contabili M.E.Doc, che ha sostituito 1C, che era vietato in Ucraina. In pochi giorni, NotPetya ha infettato centinaia di migliaia di computer in oltre 100 paesi. Questo malware è una variante del vecchio ransomware Petya, tranne per il fatto che gli attacchi NotPetya utilizzavano lo stesso exploit degli attacchi WannaCry.
Quando si è diffuso, NotPetya ha colpito diverse organizzazioni in Australia, come la fabbrica di cioccolato Cadbury in Tasmania, che ha dovuto chiudere temporaneamente l'intero sistema IT. Questo ransomware è anche riuscito a infiltrarsi nella nave portacontainer più grande del mondo, di proprietà dell'azienda Maersk, che secondo quanto riferito ha perso fino a $ 300 milioni di entrate.
Voglio piangere
Questo ransomware, di dimensioni terribili, ha praticamente conquistato il mondo intero. I suoi attacchi hanno utilizzato il famigerato exploit EternalBlue, sfruttando una vulnerabilità nel protocollo. Microsoft Server Blocco messaggi (SMB).
WannaCry ha infettato vittime in 150 paesi e oltre 200.000 macchine solo il primo giorno. Abbiamo pubblicato questo malware sensazionale.
Locky
Locky è stato il ransomware più popolare nel 2016, ma ha continuato a funzionare nel 2017. Quest'anno sono emerse nuove varianti di Locky, soprannominate Diablo e Lukitus, che utilizzano lo stesso vettore di phishing per prendere di mira gli exploit.
Locky era dietro lo scandalo delle e-mail dell'Australian Post. Secondo l'Australian Competition and Consumer Protection Commission, i cittadini hanno perso più di $ 80.000 a causa di questa truffa.
Crisi
Questa istanza eccelleva nel suo uso magistrale del Remote Desktop Protocol (RDP). RDP è uno dei più modi popolari la diffusione del ransomware, poiché i criminali informatici possono così compromettere le macchine che controllano intere organizzazioni.
Le vittime di CrySis sono state costrette a pagare tra $ 455 e $ 1.022 per recuperare i propri file.
Nemucod
Nemucod viene diffuso tramite un'e-mail di phishing che sembra una fattura di spedizione. Questo ransomware scarica file dannosi archiviati su siti Web compromessi.
In termini di email di phishing, Nemucod è secondo solo a Locky.
Jaff
Jaff è simile a Locky e usa tecniche simili. Questo ransomware non è eccezionale per i suoi metodi originali di distribuzione o crittografia dei file; al contrario, combina le pratiche di maggior successo.
Gli aggressori dietro di lui hanno chiesto fino a $ 3.700 per l'accesso ai file crittografati.
Spora
Per diffondere questo tipo di ransomware, i criminali informatici hackerano i siti legittimi aggiungendo codice JavaScript... Gli utenti che visitano un sito di questo tipo vedranno un avviso pop-up che chiede loro di aggiornare Browser Chrome per continuare la navigazione nel sito. Dopo aver scaricato il cosiddetto Chrome Font Pack, gli utenti sono stati infettati da Spora.
Cerber
Uno dei tanti vettori di attacco utilizzati da Cerber si chiama RaaS (Ransomware-as-a-Service). Secondo questo schema, i criminali informatici si offrono di pagare per la distribuzione del Trojan, promettendo una percentuale del denaro ricevuto per questo. Questo "servizio" consente ai criminali informatici di inviare ransomware e quindi fornire ad altri aggressori strumenti da distribuire.
Criptomix
Questo è uno dei pochi ransomware che non ha di un certo tipo portale di pagamento disponibile all'interno del darkweb. Gli utenti interessati devono attendere che i criminali informatici inviino loro istruzioni via email.
Le vittime di Cryptomix erano utenti di 29 paesi, sono stati costretti a pagare fino a $ 3.000.
puzzle
Un altro malware dalla lista che ha iniziato la sua attività nel 2016. Jigsaw inserisce l'immagine di un clown della serie di film Saw in email di spam... Non appena l'utente fa clic sull'immagine, il ransomware non solo crittografa, ma elimina anche i file nel caso in cui l'utente impieghi troppo tempo per pagare il riscatto, la cui dimensione è di $ 150.
conclusioni
Come possiamo vedere, le minacce moderne utilizzano exploit sempre più sofisticati contro reti ben protette. Mentre una maggiore consapevolezza dei dipendenti può aiutare a far fronte all'impatto delle infezioni, le aziende devono andare oltre gli standard di sicurezza informatica di base per proteggersi. La difesa dalle minacce odierne richiede approcci proattivi che sfruttino capacità di analisi in tempo reale basate su un motore di apprendimento che includa la comprensione del comportamento e del contesto delle minacce.
Oltre a Interfax, altri due media russi hanno sofferto del virus ransomware, uno dei quali è l'edizione di San Pietroburgo di Fontanka, lo sa Group-IB.
Il caporedattore di Fontanka, Alexander Gorshkov, ha dichiarato a Vedomosti che i server di Fontanka sono stati attaccati da aggressori sconosciuti. Ma Gorshkov assicura che non si parla di attacco ransomware a Fontanka: i computer della redazione sono funzionanti, il server responsabile del sito è stato hackerato.
Le suddivisioni di Interfax in Gran Bretagna, Azerbaigian, Bielorussia e Ucraina, così come il sito web Interfax-Religion, continuano a funzionare, ha detto Pogorely a Vedomosti. Non è chiaro perché il danno non abbia interessato altri reparti, forse questo è dovuto alla topologia della rete Interfax, dove sono geograficamente dislocati i server, e con il sistema operativo che è installato su di essi, dice.
Martedì pomeriggio "Interfax" ucraino ha riferito di un attacco di hacker all'aeroporto internazionale di Odessa. L'aeroporto sulla sua pagina si è scusato con i passeggeri "per l'aumento forzato dei tempi di servizio", ma a giudicare dal suo tabellone online, martedì ha comunque continuato a inviare e ricevere aerei.
Anche la metropolitana di Kiev ha riferito dell'attacco informatico sul suo account Facebook: ci sono stati problemi con il pagamento delle tariffe carte bancarie... Front News ha riferito che la metropolitana è stata attaccata da un virus ransomware.
Il gruppo IB conclude che c'è una nuova epidemia. Negli ultimi mesi, due ondate di attacchi ransomware hanno travolto il mondo: WannaCry virus, e il 27 giugno - virus Petya(alias NotPetya e ExPetr). Si sono infiltrati nei computer della sala operatoria Sistema Windows, dove non sono stati installati aggiornamenti, ha crittografato il contenuto dei dischi rigidi e ha richiesto $ 300 per la decrittazione. Come si è scoperto in seguito, Petya non aveva intenzione di decifrare i computer delle vittime. Il primo attacco ha colpito centinaia di migliaia di computer in più di 150 paesi, il secondo 12.500 computer in 65 paesi. Anche le russe Megafon, Evraz, Gazprom e Rosneft sono state vittime degli attacchi. Più colpiti dal virus centri medici Invitro, che non ha effettuato test sui pazienti per diversi giorni.
In quasi un mese e mezzo, Petya è riuscita a raccogliere solo $ 18.000, ma il danno è stato incomparabilmente maggiore. Una delle sue vittime, il gigante della logistica danese Moller-Maersk, ha stimato in 200-300 milioni di dollari le entrate perse dall'attacco informatico.
Tra le divisioni di Moller-Maersk, il colpo principale è caduto su Maersk Line, che è impegnata nel trasporto marittimo di container (nel 2016, Maersk Line ha guadagnato un totale di $ 20,7 miliardi, la divisione impiega 31.900 persone).
Le aziende si sono rapidamente riprese dall'attacco, ma le aziende e le autorità di regolamentazione sono rimaste in guardia. Così, ad agosto, il Federal società di rete UES (gestisce il tutto russo rete elettrica), e pochi giorni dopo le banche russe hanno ricevuto un'analoga segnalazione da FinCERT (la struttura della Banca Centrale che si occupa di cybersecurity).
Il nuovo attacco ransomware è stato notato anche da Kaspersky Lab, secondo il quale la maggior parte delle vittime dell'attacco si trova in Russia, ma ci sono infezioni in Ucraina, Turchia e Germania. Tutti i segnali indicano che si tratta di un attacco mirato a reti aziendali, afferma Vyacheslav Zakorzhevsky, capo del dipartimento di ricerca antivirus di Kaspersky Lab: vengono utilizzati metodi simili agli strumenti ExPetr, ma non è possibile rintracciare alcuna connessione con questo virus.
E secondo l'opinione azienda di antivirus Eset, il ransomware è ancora un parente di Petya. L'attacco ha utilizzato il malware Diskcoder.D, che è nuova modifica codificatore.
Pogorely ha affermato che l'antivirus Symantec è stato installato sui computer di Interfax. Ieri i rappresentanti di Symantec non hanno risposto alla richiesta di Vedomosti.
15/05/2017, Lun, 13:33, ora di Mosca, Testo: Pavel Pritula
Di recente, in Russia si è verificato uno dei più grandi e "rumorosi" attacchi informatici, a giudicare dalla stampa: le reti di diversi dipartimenti e grandi organizzazioni, tra cui il Ministero degli affari interni, sono state attaccate da criminali informatici. Il virus ha crittografato i dati sui computer dei dipendenti e ha estorto ingenti somme di denaro in modo che potessero continuare il loro lavoro. Questo è un chiaro esempio del fatto che nessuno è immune dal ransomware. Tuttavia, questa minaccia può essere combattuta: mostreremo diversi modi offerti da Microsoft.
Cosa sappiamo del ransomware? Sembra che questi siano criminali che richiedono denaro o cose da te sotto la minaccia di conseguenze negative. Negli affari, questo accade di volta in volta, tutti hanno un'idea approssimativa di come agire in tali situazioni. Ma cosa succede se un virus ransomware si è insediato sui tuoi computer di lavoro, blocca l'accesso ai tuoi dati e ti richiede di trasferire denaro a determinate persone in cambio di un codice di sblocco? È necessario contattare gli specialisti della sicurezza delle informazioni. Ed è meglio farlo in anticipo per evitare problemi.
Il numero di crimini informatici è cresciuto di un ordine di grandezza negli ultimi anni. Secondo la ricerca SentinelOne, la metà delle aziende più grandi paesi europeiè stato attaccato da virus ransomware, di cui oltre l'80% è stato vittima tre o più volte. Un quadro simile si osserva in tutto il mondo. La società di sicurezza delle informazioni Clearswift nomina una sorta di paesi "principali" più colpiti dal ransomware: il ransomware: Stati Uniti, Russia, Germania, Giappone, Gran Bretagna e Italia. Di particolare interesse per gli attaccanti sono piccoli e media impresa perché hanno più soldi e più dati sensibili degli individui e non hanno i potenti servizi di sicurezza che fanno le grandi aziende.
Cosa fare e, soprattutto, come prevenire un attacco ransomware? Innanzitutto, valutiamo la minaccia stessa. L'attacco può essere effettuato in diversi modi. Uno dei più comuni - E-mail... I criminali usano attivamente i metodi Ingegneria sociale, la cui efficacia non è affatto diminuita da allora famoso hacker XX secolo di Kevin Mitnick. Possono chiamare un dipendente dell'azienda vittima per conto di una controparte reale e, dopo la conversazione, inviare una lettera con un allegato contenente un file dannoso. Il dipendente ovviamente lo aprirà perché ha appena parlato con il mittente al telefono. Oppure il commercialista può ricevere una lettera presumibilmente dal servizio di ufficiale giudiziario o dalla banca che serve la sua azienda. Nessuno è assicurato, e nemmeno il Ministero degli Interni soffre per la prima volta: alcuni mesi fa, gli hacker hanno inviato una fattura falsa di Rostelecom al dipartimento contabilità della Direzione lineare del Ministero degli affari interni di Kazan con un virus ransomware che bloccato il sistema contabile.
La fonte dell'infezione può essere un sito di phishing, a cui l'utente ha avuto accesso tramite un collegamento ingannevole, o un'unità flash "dimenticata accidentalmente" da uno dei visitatori dell'ufficio. Sempre più spesso, l'infezione avviene attraverso i dispositivi mobili non protetti dei dipendenti, dai quali accedono alle risorse aziendali. E l'antivirus potrebbe non funzionare: se ne conoscono centinaia malware aggirando i programmi antivirus, per non parlare degli attacchi zero-day che sfruttano i buchi appena aperti in Software.
Che cos'è il ransomware?
Un programma noto come ransomware, ransomware, ransomware blocca l'accesso dell'utente al sistema operativo e di solito crittografa tutti i dati sul disco rigido. Sullo schermo viene visualizzato un messaggio che informa che il computer è bloccato e che il proprietario è obbligato a trasferire una grande quantità di denaro all'attaccante se vuole riprendere il controllo dei dati. Molto spesso, sullo schermo viene attivato un conto alla rovescia di 2-3 giorni in modo che l'utente si sbrighi, altrimenti il contenuto del disco verrà distrutto. A seconda degli appetiti dei criminali e delle dimensioni dell'azienda, gli importi del riscatto in Russia vanno da alcune decine a diverse centinaia di migliaia di rubli.
Tipi di ransomware
Fonte: Microsoft, 2017
Questi programmi dannosi sono noti da molti anni, ma negli ultimi due o tre anni hanno registrato un vero e proprio fiorire. Come mai? Primo, perché le persone pagano i criminali informatici. Secondo Kaspersky Lab, il 15% delle aziende russe attaccate in questo modo preferisce pagare il riscatto, e 2/3 delle aziende nel mondo sottoposte a tale attacco hanno perso in tutto o in parte i propri dati aziendali.
In secondo luogo, gli strumenti dei criminali informatici sono diventati più sofisticati e accessibili. E il terzo: i tentativi indipendenti della vittima di "indovinare la password" non finiscono bene e la polizia raramente riesce a trovare criminali, specialmente durante il conto alla rovescia.
A proposito. Non tutti gli hacker passano il loro tempo a cercare di fornire una password a una vittima che ha trasferito loro l'importo richiesto.
Qual è il problema aziendale?
Il problema principale nel campo della sicurezza delle informazioni per le piccole e medie imprese in Russia è che non hanno soldi per potenti strumenti specializzati di sicurezza delle informazioni e non hanno sistemi IT e dipendenti con cui poter diversi tipi gli incidenti sono più che sufficienti. Per combattere il ransomware non basta avere solo firewall, antivirus e policy di sicurezza configurati. Devi usare tutto fondi disponibili, fornito principalmente dal fornitore del sistema operativo, perché è economico (o incluso nel costo del sistema operativo) ed è compatibile al 100% con il proprio software.
Maggioranza schiacciante computer client e una parte significativa dei server esegue il sistema operativo Microsoft Windows... Tutti conoscono le funzionalità di sicurezza integrate come " Windows defender"E" Windows Firewall ", che, insieme agli ultimi aggiornamenti del sistema operativo e ai diritti utente limitati, fornisce un livello di sicurezza adeguato per un normale dipendente in assenza di strumenti specializzati.
Ma la particolarità del rapporto tra business e cybercriminali è che spesso i primi non sono consapevoli di essere attaccati dai secondi. Pensano di essere protetti, ma in realtà il malware è già penetrato nel perimetro della rete e sta tranquillamente facendo il suo lavoro - dopotutto, non tutti si comportano sfacciatamente come i Trojan ransomware.
Microsoft ha cambiato l'approccio per garantire la sicurezza: ora ha ampliato la sua linea di prodotti per la sicurezza delle informazioni e si concentra non solo sul rendere l'azienda il più sicura possibile dagli attacchi moderni, ma anche sulla possibilità di indagare su di essi in caso di infezione si verificano.
Protezione della posta
Sistema di posta come canale principale la penetrazione delle minacce nella rete aziendale deve essere ulteriormente protetta. Per fare ciò, Microsoft ha sviluppato il sistema Exchange ATP (Advanced Treat Protection), che analizza gli allegati di posta elettronica oi collegamenti Internet e risponde in modo tempestivo agli attacchi rilevati. Questo prodotto separato, si integra con Microsoft Exchange e non ha bisogno di essere distribuito su ogni macchina client.
Exchange ATP può persino rilevare gli attacchi zero-day perché avvia tutti gli allegati in una sandbox speciale senza rilasciarli nel sistema operativo e ne analizza il comportamento. Se non contiene segni di attacco, l'allegato è considerato sicuro e l'utente può aprirlo. Un file potenzialmente dannoso viene inviato in quarantena e l'amministratore ne riceve una notifica.
Per quanto riguarda i collegamenti nelle lettere, sono anche controllati. Exchange ATP sostituisce tutti i collegamenti intermedi. L'utente fa clic sul collegamento nella lettera, accede al collegamento intermedio e in questo momento il sistema controlla l'indirizzo per sicurezza. Il controllo è così veloce che l'utente non si accorge del ritardo. Se il collegamento conduce a un sito o file infetto, è vietato quanto segue.
Come funziona Exchange ATP
Fonte: Microsoft, 2017
Perché il controllo avviene al momento del clic e non alla ricezione della lettera - dopotutto, c'è più tempo per la ricerca e, quindi, sarà necessaria meno potenza di calcolo? Questo viene fatto specificamente per proteggersi dal trucco dei criminali informatici di sostituire il contenuto del collegamento. Esempio tipico: lettera a cassetta postale arriva di notte, il sistema controlla e non rileva nulla, e al mattino il sito ha già pubblicato questo link, ad esempio un file con un trojan che l'utente scarica in sicurezza.
E la terza parte del servizio Exchange ATP è il sistema di reporting integrato. Consente di indagare sugli incidenti che si sono verificati e fornisce i dati per rispondere alle domande: quando si è verificata l'infezione, come e dove si è verificata. Ciò consente di trovare la fonte, determinare il danno e capire di cosa si trattava: un colpo accidentale o un attacco mirato e mirato contro questa azienda.
Questo sistema è utile anche per la prevenzione. Ad esempio, un amministratore può aumentare le statistiche su quanti clic sono stati effettuati su collegamenti contrassegnati come pericolosi e chi degli utenti lo ha fatto. Anche se l'infezione non si è verificata, è comunque necessario svolgere un lavoro esplicativo con questi dipendenti.
È vero, ci sono categorie di dipendenti che sono costretti dalle responsabilità lavorative a visitare una varietà di siti, ad esempio gli esperti di marketing che effettuano ricerche di mercato. Per loro, le tecnologie Microsoft consentono di configurare la politica in modo che tutti i file scaricati vengano scansionati nella "sandbox" prima di essere salvati sul computer. Inoltre, le regole si impostano in pochi clic.
Protezione delle credenziali
Uno degli obiettivi degli attacchi dannosi sono le credenziali dell'utente. Esistono molte tecnologie per rubare nomi utente e password degli utenti e devono essere contrastate da una protezione forte. C'è poca speranza per i dipendenti stessi: se ne escono password semplici, usa una password per accedere a tutte le risorse e annotale su un adesivo incollato al monitor. Puoi combatterlo misure amministrative e l'impostazione di requisiti per le password a livello di codice, ma non ci sarà comunque alcun effetto garantito.
Se un'azienda si preoccupa della sicurezza, i diritti di accesso sono differenziati in essa e, ad esempio, un ingegnere o un responsabile delle vendite non può accedere al server di contabilità. Ma gli hacker hanno un altro trucco in serbo: possono inviare una lettera dal conto catturato di un normale dipendente allo specialista di destinazione che possiede le informazioni necessarie (dati finanziari o segreti commerciali). Dopo aver ricevuto una lettera da un "collega", il destinatario la aprirà al cento per cento e avvierà l'allegato. E il ransomware avrà accesso a dati preziosi per l'azienda, per i quali l'azienda può pagare molti soldi.
da catturare Account non ha dato agli aggressori l'opportunità di penetrare in sistema aziendale Microsoft suggerisce di proteggerlo con Azure Multifactor Authentication. Cioè, per entrare, devi inserire non solo una coppia nome utente / password, ma anche un codice PIN inviato in SMS, notifica push, generato da un'applicazione mobile o rispondere a una telefonata al robot. Particolarmente utile autenticazione a più fattori quando si lavora con dipendenti remoti che possono accedere al sistema aziendale da diverse parti del mondo.
Autenticazione a più fattori di Azure
Questo articolo è stato preparato in relazione a attacco hacker carattere di massa su scala globale che può interessare anche te. Le conseguenze sono davvero gravi. Di seguito troverai breve descrizione problemi e una descrizione delle principali misure da adottare per proteggersi dal ransomware della famiglia WannaCry.
Il virus ransomware WannaCry sfrutta la vulnerabilità Microsoft Windows MS17-010 eseguire Codice malevolo ed eseguire il programma di crittografia su PC vulnerabili, quindi il virus si offre di pagare ai criminali informatici circa $ 300 per decrittografare i dati. Il virus si è diffuso ampiamente su scala globale, ricevendo una copertura attiva nei media: Fontanka.ru, Gazeta.ru, RBK.
Questa vulnerabilità interessa i PC che eseguono Windows da XP a Windows 10 e Server 2016, puoi leggere le informazioni ufficiali sulla vulnerabilità da Microsoft e.
Questa vulnerabilità appartiene alla classe Esecuzione del codice remoto, il che significa che l'infezione può essere eseguita da un PC già infetto tramite una rete con basso livello sicurezza senza segmentazione ME - reti locali, reti pubbliche, reti ospiti, nonché lanciando malware ricevuto per posta o sotto forma di collegamento.
Misure di sicurezza
Quali misure devono essere identificate come efficaci per combattere questo virus:
- Assicurati di disporre degli ultimi aggiornamenti di Microsoft Windows che risolvono la vulnerabilità MS17-010. È possibile trovare collegamenti agli aggiornamenti e notare anche che, a causa della gravità senza precedenti di questa vulnerabilità, gli aggiornamenti per il sistema operativo non supportato (windowsXP, server 2003, server 2008) sono stati rilasciati il 13 maggio, è possibile scaricarli.
- Utilizzo di soluzioni per fornire sicurezza della rete Classe IPS, assicurati di avere aggiornamenti che includano rilevamento e compensazione vulnerabilità della rete... Questa vulnerabilità è descritta nella Knowledge Base di Check Point ed è inclusa nell'aggiornamento IPS del 14 marzo 2017 per Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Si consiglia inoltre di configurare la scansione IPS del traffico interno dei principali segmenti di rete, almeno per un breve periodo, fino a quando la probabilità di infezione non diminuisce.
- A causa della probabilità di modificare il codice del virus, si consiglia di attivare i sistemi AntiBot e Antivirus ed emulare l'avvio dei file provenienti da fonti esterne per posta o Internet. Se sei un utente Check Point Security Gateway, questo sistema è Threat Emulation. Soprattutto per le aziende che non dispongono di questo abbonamento, offriamo di emetterlo rapidamente entro un periodo di prova di 30 giorni. Per richiedere una chiave attivando un abbonamento completo per il tuo gateway Check Point - scrivi alla mail [e-mail protetta] Puoi leggere di più sui sistemi di emulazione di file e.
Ancora più consigli e un esempio di un rapporto sul blocco del lavoro del ransomware wannacry.
Cari colleghi, in base all'esperienza di lavoro con precedenti attacchi massicci, come Heart Bleed, la vulnerabilità di Microsoft Windows MS17-010 verrà sfruttata attivamente nei prossimi 30-40 giorni, non ritardare le contromisure! Per ogni evenienza, controlla il funzionamento del tuo sistema di backup.
Il rischio è davvero grande!
UPD. Giovedì 18 maggio, alle 10:00 ora di Mosca, ti invitiamo a un webinar su ransomware e metodi di protezione.
Il webinar è ospitato da TS Solution e Sergey Nevstruev, responsabile delle vendite di Check Point Threat Prevention per l'Europa orientale.
Tratteremo le seguenti questioni:
- #WannaCry attacco
- Bilancia e stato attuale
- Peculiarità
- Fattori di massa
Come stare un passo avanti e dormire bene
- IPS + AM
- SandBlast: emulazione ed estrazione delle minacce
- Agente SandBlast: Anti-ransomware
- Agente SandBlast: Forensics
- Agente SandBlast: Anti-Bot
Attacchi di virus ransomware, fughe di strumenti di hacker dei servizi speciali americani, test di forza degli impianti energetici, scioperi alle ICO e il primo furto di denaro riuscito da banca russa con il sistema SWIFT - il 2017 in uscita è stato ricco di spiacevoli sorprese. Non tutti erano pronti per loro. Piuttosto, è vero il contrario. Il crimine informatico sta diventando sempre più veloce e più grande. Gli hacker filo-governativi non sono più solo spie, rubano denaro e organizzano sabotaggi informatici.
Qualsiasi reazione alle minacce informatiche è sempre una competizione tra un'armatura e un proiettile. E gli eventi di quest'anno hanno dimostrato che molte aziende e persino stati sono inferiori ai criminali informatici. Perché non sanno chi è il nemico, come agisce e dove aspettare prossimo colpo... La maggior parte degli attacchi deve essere prevenuta nella fase di preparazione utilizzando tecnologie di allerta precoce di Threat Intelligence. Essere un passo avanti ai criminali informatici significa risparmiare denaro, informazioni e reputazione.
Virus ransomware
I più diffusi, sia in termini di distribuzione che di danni nel 2017, sono stati gli attacchi informatici con virus ransomware. Dietro di loro ci sono hacker filo-governativi. Ricordiamoli per nome.
Conseguenze dell'attacco WonnaCry: supermercato Rost, Kharkiv, Ucraina.
Lazarus (noto anche come Dark Seoul Gang) è il nome di un gruppo di hacker nordcoreani presumibilmente dietro il Bureau 121, una delle unità della direzione dell'intelligence del KPA General Staff (RPDC) responsabile della conduzione di operazioni informatiche. Per molti anni, gli hacker del gruppo nordcoreano Lazarus hanno spiato i nemici ideologici del regime: agenzie governative e società private negli Stati Uniti e nella Corea del Sud. Ora Lazarus sta attaccando banche e istituzioni finanziarie di tutto il mondo: nel loro conto un tentativo di sottrarre quasi 1 miliardo di dollari alla banca centrale del Bangladesh nel febbraio 2016, attacchi alle banche polacche, nonché ai dipendenti della Banca centrale russa Federazione, Banca centrale del Venezuela, Banca centrale del Brasile, Banca centrale del Cile e un tentativo di prelevare dalla Far Eastern International Bank $ 60 milioni (vedi la sezione "Attacchi mirati alle banche"). Alla fine del 2017, gli hacker nordcoreani sono stati individuati in attacchi a servizi di criptovaluta e attacchi tramite Trojan mobili.
Tendenza dell'anno
Il 24 ottobre si è verificato un attacco informatico su larga scala con l'uso del virus di crittografia BadRabbit in Ucraina e Russia. Il virus ha attaccato computer e server della metropolitana di Kiev, del ministero delle Infrastrutture, Aeroporto internazionale"Odessa". Diverse vittime sono finite anche in Russia: a seguito dell'attentato sono rimaste ferite le redazioni dei media federali e sono stati registrati anche i fatti di tentativi di infettare le infrastrutture bancarie. Dietro l'attacco c'è il gruppo Black Energy, come stabilito dal gruppo IB.
Attacchi mirati alle banche
I gruppi criminali che hanno attaccato le banche russe nella primavera e nell'estate del 2017 hanno rivolto la loro attenzione ad altri paesi e regioni: Stati Uniti, Europa, America Latina, Asia e Medio Oriente. Alla fine dell'anno hanno ricominciato a lavorare in Russia.
Nel 2017, gli hacker pro-governativi hanno cambiato i loro obiettivi: hanno iniziato a compiere sabotaggi informatici nel settore finanziario. Per spiare o rubare denaro, i cracker cercano di accedere a SWIFT, elaborazione delle carte. Nella primavera di quest'anno, il gruppo BlackEnergy ha hackerato un integratore in Ucraina e ha ottenuto l'accesso a una rete di banche ucraine. Un paio di mesi dopo, iniziò l'epidemia di WannyCry e NotPetya, dietro la quale ci sono i gruppi Lazarus e BlackEnergy.
Tuttavia, all'inizio di ottobre, quando il team Group-IB ha presentato la sua relazione annuale, eravamo pieni di un moderato ottimismo: gli attacchi mirati alle banche in Russia sono diminuiti del 33%. Tutti i gruppi criminali che hanno attaccato le banche russe hanno gradualmente rivolto la loro attenzione ad altri paesi e regioni: Stati Uniti, Europa, America Latina, Asia e Medio Oriente. La fine dell'anno ha rovinato le statistiche: abbiamo registrato una serie di attacchi informatici alle banche, a dicembre c'è stato il primo attacco riuscito a banca russa con SWIFT eseguito dal gruppo Cobalt.
Attacchi a SWIFT
A ottobre, la Far Eastern International Bank di Taiwan è stata rapinata. Raggiunto il sistema dei bonifici interbancari internazionali (SWIFT), a cui era collegata la banca, gli hacker sono riusciti a prelevare quasi 60 milioni di dollari su conti in Sri Lanka, Cambogia e Stati Uniti. Il gruppo di Lazarus è dietro l'attacco. A novembre, la più grande banca non statale del Nepal, la NIC Asia Bank, è stata presa di mira dai criminali informatici che hanno avuto accesso al sistema SWIFT e hanno prelevato 4,4 milioni di dollari su conti negli Stati Uniti, in Gran Bretagna, in Giappone e a Singapore.
A metà dicembre, si è saputo di un attacco riuscito a una banca russa utilizzando SWIFT (sistema internazionale di trasferimento di informazioni finanziarie). Ricordiamo che in precedenza in Russia sono stati effettuati attacchi mirati utilizzando sistemi di elaborazione delle carte, bancomat e AWP KBR (workstation automatizzata per un cliente di una Banca di Russia).
Il gruppo Cobalt era probabilmente coinvolto nell'attacco. L'infiltrazione nella banca è avvenuta tramite malware che è stato inviato alle banche dal gruppo poche settimane fa - un metodo di attacco tipico di Cobalt. I media hanno riferito che i criminali hanno cercato di rubare circa $ 1 milione, ma sono riusciti a prelevare circa il 10%. FinCERT, una divisione strutturale della Banca centrale per la sicurezza delle informazioni, nel suo rapporto ha definito il gruppo Cobalt la principale minaccia per gli istituti di credito.
Secondo Group-IB, il gruppo ha almeno 50 attacchi riusciti a banche in tutto il mondo: in Russia, Gran Bretagna, Paesi Bassi, Spagna, Romania, Bielorussia, Polonia, Estonia, Bulgaria, Georgia, Moldavia, Kirghizistan, Armenia, Taiwan e Malesia... Per tutta l'estate e l'autunno hanno attaccato banche di tutto il mondo, testato nuovi strumenti e schemi e alla fine dell'anno non hanno ridotto il loro fatturato: quasi ogni settimana registriamo i loro messaggi con malware all'interno.
L'insensibilità e gli script dannosi sono un nuovo (e ora il principale) principio degli attacchi. Gli hacker cercano di passare inosservati e per questo utilizzano programmi "incorporei" che funzionano solo in RAM e vengono distrutti dopo un riavvio. Inoltre, gli script in PowerShell, VBS, PHP li aiutano a garantire la persistenza (pinning) nel sistema, oltre ad automatizzare alcune fasi dell'attacco. Notiamo anche che gli hacker non attaccano le banche frontalmente, ma attraverso partner fidati: integratori, appaltatori. Attaccano i dipendenti quando sono a casa, controllano la posta personale, i social network
Tendenza dell'anno
Scoperta dell'anno: MoneyTaker
10 fatti interessanti su MoneyTaker
- Le loro vittime erano piccole banche - in Russia, regionali, negli Stati Uniti - banche comunitarie con un basso livello di protezione. Gli hacker sono entrati in una delle banche russe attraverso il computer di casa dell'amministratore di sistema.
- Una delle banche americane è già stata hackerata due volte.
- Dopo aver completato con successo un attacco, hanno continuato a spiare i dipendenti della banca inoltrando le lettere in arrivo a Yandex e Mail.ru.
- Questo gruppo ha sempre distrutto le tracce dopo un attacco.
- Hanno provato a prelevare denaro da una banca russa tramite bancomat, ma non hanno funzionato: poco prima la banca centrale ha ritirato la licenza al loro proprietario. Denaro prelevato tramite AWS KBR.
- Hanno rubato non solo denaro, ma anche documenti interni, istruzioni, regolamenti, registri delle transazioni. A giudicare dai documenti rubati relativi al lavoro di SWIFT, gli hacker stanno preparando attacchi agli oggetti in America Latina.
- In alcuni casi, gli hacker hanno apportato modifiche al codice del programma "al volo", proprio durante l'attacco.
- Gli aggressori hanno utilizzato il file SLRSideChannelAttack.exe., che è stato pubblicato in accesso pubblico ricercatori.
- MoneyTaker ha utilizzato strumenti pubblicamente disponibili, nascondendo di proposito qualsiasi elemento di attribuzione, preferendo rimanere nell'ombra. L'autore dei programmi è uno - questo può essere visto da errori tipici, che vagano da un programma autoscritto a un altro.
Perdite di strumenti di hacking di servizi speciali
Gli exploit delle fughe di notizie da parte della NSA e della CIA iniziarono ad essere utilizzati attivamente per eseguire attacchi mirati. Sono già inclusi nei principali strumenti per condurre test di penetrazione di hacker finanziariamente motivati e alcuni filo-governativi.
WikiLeaks e Vault7
Nel corso dell'anno WikiLeaks ha rivelato metodicamente i segreti della CIA, pubblicando informazioni sugli strumenti hacker dei servizi speciali nell'ambito del progetto Vault 7. Uno di questi: CherryBlossom ("Cherry Blossom") ti consente di monitorare la posizione e l'attività su Internet degli utenti collegati a router senza fili Wi-Fi. Questi dispositivi sono comunemente usati in case, uffici, ristoranti, bar, hotel, aeroporti e agenzie governative. WikiLeaks ha persino rivelato la tecnologia di spionaggio della CIA sui colleghi dell'FBI, BIV, NSA. Controllo servizi tecnici(OTS) della CIA ha sviluppato lo spyware ExpressLane per estrarre segretamente dati da un sistema di raccolta di dati biometrici che la CIA distribuisce ai suoi colleghi della comunità dell'intelligence statunitense. Poco prima, WikiLeaks ha rivelato informazioni sul malware Pandemic progettato per hackerare i computer da cartelle condivise e ELSA, che tiene traccia anche della geolocalizzazione dei dispositivi abilitati Wi-Fi e consente di tenere traccia delle abitudini degli utenti. Wikileaks ha iniziato la serie Vault-7 nel febbraio 2017. Le fughe contenevano informazioni che descrivono vulnerabilità del software, campioni di malware e tecniche per condurre attacchi informatici.
Gli strumenti di hacking provenienti da un'altra fonte altrettanto popolare - i leak della NSA pubblicati dal gruppo Shadow Brokers - non erano solo molto richiesti, ma sono stati anche migliorati e perfezionati. Sui forum sotterranei è apparso uno script per automatizzare la ricerca di macchine con una vulnerabilità nel protocollo SMB, basato sulle utility dei servizi di intelligence americani pubblicate dal gruppo Shadow Brokers nell'aprile di quest'anno. A seguito della fuga di notizie, l'utilità fuzzbunch e l'exploit ETERNALBLUE sono finiti in accesso libero, ma dopo il completamento della revisione, il prodotto completamente finito semplifica il processo di attacco per i criminali informatici.
Ricordiamo che era il protocollo SMB utilizzato dal ransomware WannaCry per infettare centinaia di migliaia di computer in 150 paesi del mondo. Un mese fa, il creatore del motore di ricerca Sistemi Shodan John Matherly ha detto che 2.306.820 dispositivi con porte aperte per l'accesso tramite protocollo SMB. Il 42% (circa 970mila) di loro fornisce l'accesso ospite, cioè chiunque voglia utilizzare Protocollo PMI può accedere ai dati senza autorizzazione.
In estate, il gruppo Shadow Brokers ha promesso di pubblicare ogni mese nuovi exploit per i propri abbonati, inclusi router, browser, dispositivi mobili, dati compromessi da reti bancarie e SWIFT, informazioni su programmi nucleari e missilistici. Ispirato dall'attenzione, Shadow Brokers ha aumentato il prezzo di sottoscrizione iniziale da 100 monete Zcash (circa $ 30.000) a 200 monete Zcash (circa $ 60.000). Lo stato di abbonato VIP costa 400 monete Zcash e ti consente di ricevere exploit su ordinazione.
Attacchi alle infrastrutture critiche
Il settore energetico è diventato un banco di prova per la ricerca di nuove armi informatiche. Il gruppo criminale BlackEnergy continua ad attaccare società finanziarie ed energetiche. Con gli strumenti a loro disposizione, possono controllare da remoto le Unità terminali remote (RTU), responsabili dell'apertura/chiusura fisica della rete.
Il primo virus a disabilitare effettivamente l'hardware è stato Stuxnet, utilizzato dall'Equation Group (Five Eyes / Tilded Team). Nel 2010, il virus è entrato nel sistema dell'impianto di arricchimento dell'uranio iraniano a Nathan e ha infettato i controller SIMATIC S7 Siemens, che hanno fatto ruotare le centrifughe riempite di uranio a una frequenza di 1000 giri al secondo. Stuxnet ha girato i rotori della centrifuga fino a 1400 giri, in modo che iniziassero a vibrare e collassare. Delle 5.000 centrifughe installate nella sala, circa 1.000 sono state messe fuori servizio. Il programma nucleare iraniano è tornato indietro di un paio d'anni.
Dopo questo attacco, ci fu una tregua per diversi anni. Si è scoperto che per tutto questo tempo gli hacker cercavano un'opportunità per influenzare ICS e disabilitarli quando necessario. Il gruppo Black Energy, noto anche come Sandworm, è avanzato ulteriormente in questa direzione.
Il loro attacco di prova su una sottostazione ucraina alla fine dello scorso anno ha mostrato di cosa è capace un nuovo set di strumenti chiamato Industroyer o CRASHOVERRIDE. Alla conferenza Black Hat, il software di Industroyer è stato definito "la più grande minaccia per i sistemi di controllo industriale dai tempi di Stuxnet". Ad esempio, gli strumenti BlackEnergy consentono di controllare da remoto le Remote Terminal Unit (RTU), responsabili dell'apertura/chiusura fisica della rete. Armati di tali strumenti, gli hacker possono trasformarlo in una formidabile arma cibernetica che lascerà intere città senza luce e acqua.
Potrebbero sorgere problemi non solo in Ucraina: nuovi attacchi ai sistemi energetici a luglio sono stati registrati nel Regno Unito e in Irlanda. Non ci sono state interruzioni nel funzionamento delle reti elettriche, ma gli esperti ritengono che gli hacker potrebbero rubare le password ai sistemi di sicurezza. Negli Stati Uniti, dopo aver inviato e-mail dannose ai dipendenti delle società energetiche, l'FBI ha avvertito le aziende di possibili attacchi informatici.
Attacchi ICO
Per molto tempo le banche e i loro clienti erano obiettivo principale criminali informatici. Ma ora hanno forti concorrenti di fronte a ICO e startup blockchain - tutto ciò che riguarda le criptovalute attira l'attenzione degli hacker.
ICO (Initial Coin Offering) è il sogno di ogni hacker. Un attacco fulmineo, spesso abbastanza semplice, a servizi di criptovaluta e startup blockchain genera milioni di dollari di profitto con un rischio minimo per i criminali. Secondo Chainalysis, gli hacker sono riusciti a rubare il 10% di tutti i fondi investiti in progetti ICO nel 2017 in Ethereum. Il danno totale è stato di quasi 225 milioni di dollari, 30.000 investitori hanno perso una media di 7.500 dollari.
Abbiamo analizzato un centinaio di attacchi a progetti blockchain (exchange, exchanger, wallet, fondi) e siamo giunti alla conclusione che la maggior parte dei problemi risiede nella vulnerabilità degli stessi criptoservizi che utilizzano la tecnologia blockchain. Nel caso di Ethereum, sono stati osservati problemi non con la piattaforma stessa, ma con i servizi di crittografia: hanno affrontato vulnerabilità nei propri contratti intelligenti, deface, account admin compromessi (Slack, Telegram), siti di phishing che copiano il contenuto dei siti Web delle aziende entrare nell'ICO.
Ci sono diverse vulnerabilità:
- I siti di phishing sono cloni della risorsa ufficiale
- Vulnerabilità di siti/applicazioni web
- Attacchi tramite dipendenti dell'azienda
- Attacchi all'infrastruttura IT
Rubare denaro usando i trojan Android
Il mercato dei trojan bancari per Android si è dimostrato il più dinamico e in crescita. Danni da Trojan bancari per Android in Russia è cresciuto del 136% - ammontava a 13,7 milioni di dollari - e ha coperto del 30% i danni dei trojan per personal computer.
Abbiamo previsto questa crescita l'anno scorso poiché le infezioni da malware diventano meno visibili e i furti sono automatizzati con la compilazione automatica. Secondo le nostre stime, il danno di questo tipo di attacco in Russia nell'ultimo anno è stato di 13,7 milioni di dollari.
Detenzione di membri del gruppo criminale Cron
