Timp de decenii, infractorii cibernetici au exploatat cu succes defecte și vulnerabilități în World Wide Web... Cu toate acestea, în ultimii ani s-a înregistrat o creștere clară a numărului de atacuri, precum și o creștere a ratei acestora - atacatorii devin din ce în ce mai periculoși, iar malware-ul se răspândește într-un ritm nemaivăzut până acum.
Introducere
Vorbim despre ransomware care a făcut un salt incredibil în 2017, provocând daune mii de organizații din întreaga lume. De exemplu, în Australia, atacurile ransomware precum WannaCry și NotPetya au ridicat chiar îngrijorări guvernamentale.
Pentru a rezuma „succesele” ransomware din acest an, ne vom uita la top 10 cele mai periculoase ransomware paguba cea mai mare organizatii. Sperăm că anul viitor vom învăța lecții și vom preveni ca acest tip de problemă să intre în rețelele noastre.
Nu Petya
Acest atac ransomware a început cu program ucrainean situații contabile M.E.Doc, care a înlocuit 1C, care era interzis în Ucraina. În doar câteva zile, NotPetya a infectat sute de mii de computere în peste 100 de țări. Acest malware este o variantă a vechiului ransomware Petya, cu excepția faptului că atacurile NotPetya au folosit același exploit ca și atacurile WannaCry.
Pe măsură ce s-a răspândit, NotPetya a afectat mai multe organizații din Australia, cum ar fi fabrica de ciocolată Cadbury din Tasmania, care a trebuit să-și închidă temporar întregul sistem IT. Acest ransomware a reușit, de asemenea, să se infiltreze în cea mai mare navă container din lume, deținut de companie Maersk, care se pare că a pierdut până la 300 de milioane de dolari în venituri.
Vreau să plâng
Acest ransomware, îngrozitor la scară, practic a pus stăpânire pe întreaga lume. Atacurile sale au folosit infama exploatare EternalBlue, exploatând o vulnerabilitate din protocol. Microsoft Server Bloc de mesaje (SMB).
WannaCry a infectat victime în 150 de țări și peste 200.000 de mașini doar în prima zi. Am publicat acest malware senzațional.
Locky
Locky a fost cel mai popular ransomware în 2016, dar a continuat să funcționeze în 2017. Noi variante de Locky, numite Diablo și Lukitus, au apărut în acest an, folosind același vector de phishing pentru a viza exploit-urile.
Locky a fost în spatele scandalului de e-mailuri Australian Post. Potrivit Comisiei Australiane pentru Concurență și Protecția Consumatorului, cetățenii au pierdut peste 80.000 de dolari din cauza acestei escrocherii.
CrySis
Această instanță a excelat în utilizarea magistrală a Protocolului Remote Desktop (RDP). RDP este unul dintre cele mai multe moduri populare răspândirea ransomware-ului, deoarece infractorii cibernetici pot compromite astfel mașinile care controlează organizații întregi.
Victimele CrySis au fost forțate să plătească între 455 și 1.022 dolari pentru a-și recupera fișierele.
Nemucod
Nemucod este răspândit folosind un e-mail de phishing care arată ca o factură de transport. Acest ransomware descarcă fișiere rău intenționate stocate pe site-uri web compromise.
În ceea ce privește e-mailurile de phishing, Nemucod este al doilea după Locky.
Jaff
Jaff este similar cu Locky și folosește tehnici similare. Acest ransomware nu este remarcabil pentru metodele sale originale de distribuire sau criptare a fișierelor; dimpotrivă, combină cele mai de succes practici.
Atacatorii din spatele lui au cerut până la 3.700 de dolari pentru acces la fișierele criptate.
Spora
Pentru a răspândi acest tip de ransomware, infractorii cibernetici piratau site-uri legitime prin adăugare Cod JavaScript... Utilizatorii care vizitează un astfel de site vor vedea un avertisment pop-up care îi va cere să actualizeze browser Chrome pentru a continua navigarea pe site. După descărcarea așa-numitului Chrome Font Pack, utilizatorii au fost infectați cu Spora.
Cerber
Unul dintre numeroșii vectori de atac pe care îi folosește Cerber se numește RaaS (Ransomware-as-a-Service). Conform acestei scheme, infractorii cibernetici se oferă să plătească pentru distribuirea troianului, promițând un procent din banii primiți pentru aceasta. Acest „serviciu” permite infractorilor cibernetici să trimită ransomware și apoi să ofere altor atacatori instrumente de distribuit.
Cryptomix
Acesta este unul dintre puținele ransomware care nu au de un anumit tip portal de plată disponibil în darkweb. Utilizatorii afectați trebuie să aștepte ca infractorii cibernetici să le trimită instrucțiuni prin e-mail.
Victimele Cryptomix au fost utilizatori din 29 de țări, au fost obligați să plătească până la 3.000 de dolari.
Jigsaw
Un alt malware din lista care și-a început activitatea în 2016. Jigsaw inserează o imagine a unui clovn din seria de filme Saw în e-mailuri spam... De îndată ce utilizatorul face clic pe imagine, ransomware-ul nu numai că criptează, ci și șterge fișierele în cazul în care utilizatorul durează prea mult să plătească răscumpărarea, a cărei dimensiune este de 150 USD.
concluzii
După cum putem vedea, amenințările moderne folosesc exploit-uri din ce în ce mai sofisticate împotriva rețelelor bine protejate. În timp ce creșterea gradului de conștientizare a angajaților poate ajuta să facă față impactului infecțiilor, companiile trebuie să depășească standardele de bază de securitate cibernetică pentru a se proteja. Apărarea împotriva amenințărilor actuale necesită abordări proactive care să folosească capabilitățile de analiză în timp real bazate pe un motor de învățare care include înțelegerea comportamentului și contextului amenințărilor.
Pe lângă Interfax, alte două instituții media ruse au suferit de virusul ransomware, dintre care unul este ediția Fontanka din Sankt Petersburg, știe Group-IB.
Editorul-șef al lui Fontanka, Alexander Gorshkov, i-a spus lui Vedomosti că serverele lui Fontanka au fost atacate de atacatori necunoscuți. Dar Gorshkov asigură că nu se vorbește despre un atac ransomware asupra Fontanka: computerele redacției funcționează, serverul responsabil de site a fost spart.
Subdiviziunile Interfax din Marea Britanie, Azerbaidjan, Belarus și Ucraina, precum și site-ul web Interfax-Religion, continuă să funcționeze, a declarat Pogorely pentru Vedomosti. Nu este clar de ce prejudiciul nu a afectat alte departamente, poate acest lucru se datorează topologiei rețelei Interfax, unde serverele sunt amplasate geografic, și cu sistemul de operare care este instalat pe acestea, spune el.
„Interfax” ucrainean a raportat marți după-amiază un atac de hacker pe aeroportul internațional Odesa. Aeroportul de pe pagina sa și-a cerut scuze pasagerilor „pentru creșterea forțată a timpului de serviciu”, dar, judecând după tabloul de bord online, marți a continuat să trimită și să primească avioane.
Metroul din Kiev a raportat și despre atacul cibernetic pe contul său de Facebook - au existat probleme cu plata tarifelor carduri bancare... Front News a raportat că metroul a fost atacat de un virus ransomware.
Grupul-IB concluzionează că există o nouă epidemie. În ultimele luni, două valuri de atacuri ransomware au măturat lumea: Virusul WannaCry, iar pe 27 iunie - Virusul Petya(alias NotPetya și ExPetr). S-au infiltrat în calculatoare din sala de operație sistem Windows, unde nu au fost instalate actualizări, a criptat conținutul hard disk-urilor și a cerut 300 USD pentru decriptare. După cum sa dovedit mai târziu, Petya nu avea nicio intenție să decripteze computerele victimelor. Primul atac a afectat sute de mii de computere în peste 150 de țări, al doilea - 12.500 de computere în 65 de țări. Victimele atacurilor au fost și ele Megafonul rusesc, Evraz, Gazprom și Rosneft. Mai afectat de virus centre medicale Invitro, care nu a făcut teste la pacienți timp de câteva zile.
În aproape o lună și jumătate, Petya a reușit să strângă doar 18 000 de dolari, dar prejudiciul a fost incomparabil mai mare. Una dintre victimele sale, gigantul danez al logisticii Moller-Maersk, a estimat veniturile pierdute din atacul cibernetic la 200-300 de milioane de dolari.
Printre diviziile Moller-Maersk, lovitura principală a căzut pe Maersk Line, care este angajată în transportul maritim de containere (în 2016, Maersk Line a câștigat un total de 20,7 miliarde de dolari, divizia are 31.900 de angajați).
Afacerile și-au revenit rapid după atac, dar companiile și autoritățile de reglementare au rămas în garda lor. Deci, în august, Federal companie de rețea UES (gestionează programul integral rusesc reteaua electrica), iar câteva zile mai târziu băncile rusești au primit un avertisment similar de la FinCERT (structura Băncii Centrale care se ocupă de securitatea cibernetică).
Noul atac ransomware a fost observat și de Kaspersky Lab, conform căruia majoritatea victimelor atacului se află în Rusia, dar există infecții în Ucraina, Turcia și Germania. Toate semnele indică faptul că acesta este un atac țintit asupra rețele corporative, spune Vyacheslav Zakorzhevsky, șeful departamentului de cercetare antivirus de la Kaspersky Lab: se folosesc metode similare instrumentelor ExPetr, dar nu poate fi urmărită nicio legătură cu acest virus.
Și în opinia companie de antivirus Eset, ransomware-ul este încă o rudă cu Petya. Atacul a folosit malware Diskcoder.D, adică noua modificare codificator.
Pogorely a spus că antivirusul Symantec a fost instalat pe computerele lui Interfax. Reprezentanții Symantec nu au răspuns ieri solicitării lui Vedomosți.
15.05.2017, Luni, 13:33, ora Moscovei, Text: Pavel Pritula
Recent, unul dintre cele mai mari și mai „zgomotoase” atacuri cibernetice, judecând după presă, a avut loc în Rusia: rețelele mai multor departamente și organizații importante, inclusiv Ministerul Afacerilor Interne, au fost atacate de infractorii cibernetici. Virusul a criptat datele de pe computerele angajaților și a extorcat sume mari de bani pentru ca aceștia să își poată continua munca. Acesta este un exemplu clar al faptului că nimeni nu este imun la ransomware. Cu toate acestea, această amenințare poate fi combatetă - vom arăta mai multe modalități pe care Microsoft le oferă.
Ce știm despre ransomware? Se pare că aceștia sunt criminali care îți cer bani sau lucruri sub amenințarea unor consecințe negative. În afaceri, acest lucru se întâmplă din când în când, toată lumea are o idee aproximativă despre cum să acționeze în astfel de situații. Dar ce se întâmplă dacă un virus ransomware s-a instalat pe computerele tale de lucru, blochează accesul la datele tale și îți solicită să transferi bani către anumite persoane în schimbul unui cod de deblocare? Trebuie să contactați specialiști în securitatea informațiilor. Și cel mai bine este să faceți acest lucru din timp pentru a evita problemele.
Numărul infracțiunilor cibernetice a crescut cu un ordin de mărime în ultimii ani. Potrivit cercetării SentinelOne, jumătate dintre companii sunt cele mai mari tari europene a fost atacat de viruși ransomware, peste 80% dintre aceștia fiind victime de trei sau mai multe ori. O imagine similară este observată în întreaga lume. Compania de securitate a informațiilor Clearswift numește un fel de țări „de top” cele mai afectate de ransomware - ransomware: Statele Unite ale Americii, Rusia, Germania, Japonia, Marea Britanie și Italia. De interes deosebit pentru atacatori sunt mici și afaceri medii pentru că au mai mulți bani și mai multe date sensibile decât persoanele fizice și nu au serviciile de securitate puternice pe care le au marile companii.
Ce să faci și, cel mai important, cum să previi un atac ransomware? În primul rând, să evaluăm amenințarea în sine. Atacul poate fi efectuat în mai multe moduri. Una dintre cele mai comune - E-mail... Infractorii folosesc în mod activ metodele Inginerie sociala, a cărui eficacitate nu a scăzut deloc de atunci hacker celebru Secolul XX de Kevin Mitnick. Aceștia pot suna un angajat al companiei victimă în numele unei contrapărți reale și, după conversație, pot trimite o scrisoare cu un atașament care conține un fișier rău intenționat. Angajatul îl va deschide desigur pentru că tocmai a vorbit la telefon cu expeditorul. Sau contabilul poate primi o scrisoare presupus de la serviciul executorului judecătoresc sau de la banca care îi deservește compania. Nimeni nu este asigurat, iar nici Ministerul Afacerilor Interne suferă nu pentru prima dată: în urmă cu câteva luni, hackerii au trimis o factură falsă de la Rostelecom la departamentul de contabilitate al Direcției Lineare Kazan din Ministerul Afacerilor Interne cu un virus ransomware care a blocat sistemul contabil.
Sursa de infectare poate fi un site de phishing, la care utilizatorul a accesat printr-un link înșelător, sau o unitate flash „uitată accidental” de unul dintre vizitatorii biroului. Din ce în ce mai des, infectarea are loc prin dispozitivele mobile neprotejate ale angajaților, de pe care aceștia au acces la resursele corporative. Și este posibil ca antivirusul să nu funcționeze: se cunosc sute malware ocolind programele antivirus, ca să nu mai vorbim de atacurile zero-day care exploatează găurile nou deschise software.
Ce este ransomware?
Un program cunoscut sub numele de ransomware, ransomware, ransomware blochează accesul utilizatorilor la sistemul de operare și, de obicei, criptează toate datele de pe hard disk. Pe ecran este afișat un mesaj că computerul este blocat și proprietarul este obligat să transfere o sumă mare de bani atacatorului dacă dorește să recâștige controlul asupra datelor. Cel mai adesea, pe ecran este activată o numărătoare inversă de 2-3 zile, astfel încât utilizatorul să se grăbească, altfel conținutul discului va fi distrus. În funcție de apetitul infractorilor și de dimensiunea companiei, sumele de răscumpărare în Rusia variază de la câteva zeci la câteva sute de mii de ruble.
Tipuri de ransomware
Sursa: Microsoft, 2017
Aceste programe rău intenționate sunt cunoscute de mulți ani, dar în ultimii doi-trei ani au cunoscut o adevărată înflorire. De ce? În primul rând, pentru că oamenii plătesc infractorii cibernetici. Potrivit Kaspersky Lab, 15% dintre companiile ruse atacate în acest fel preferă să plătească răscumpărarea, iar 2/3 dintre companiile din lume supuse unui astfel de atac și-au pierdut datele corporative în totalitate sau în parte.
În al doilea rând, instrumentele infractorilor cibernetici au devenit mai sofisticate și mai accesibile. Iar a treia - încercările independente ale victimei de a „ghici parola” nu se termină bine, iar poliția poate găsi rareori criminali, mai ales în timpul numărătorii inverse.
Apropo. Nu toți hackerii își petrec timpul încercând să ofere o parolă unei victime care le-a transferat suma necesară.
Care este problema afacerii
Principala problemă în domeniul securității informațiilor pentru întreprinderile mici și mijlocii din Rusia este că acestea nu au bani pentru instrumente puternice specializate de securitate a informațiilor și nu au sisteme IT și angajați cu care să poată tipuri diferite incidentele sunt mai mult decât suficiente. Pentru a combate ransomware, nu este suficient să aveți doar firewall-uri configurate, antivirus și politici de securitate. Trebuie să folosești totul fonduri disponibile, furnizat în primul rând de furnizorul sistemului de operare, deoarece este ieftin (sau inclus în costul sistemului de operare) și este 100% compatibil cu propriul software.
Majoritate covârșitoare calculatoare client iar o parte semnificativă a serverelor rulează sistemul de operare Microsoft Windows... Toată lumea cunoaște funcțiile de securitate încorporate, cum ar fi „ Windows defender„Și „Windows Firewall”, care, împreună cu cele mai recente actualizări ale sistemului de operare și drepturi limitate de utilizator, oferă un nivel adecvat de securitate pentru un angajat obișnuit în absența instrumentelor specializate.
Dar particularitatea relației dintre afaceri și infractorii cibernetici este că primii nu sunt adesea conștienți că sunt atacați de cei din urmă. Ei cred că sunt protejați, dar, de fapt, malware-ul a pătruns deja în perimetrul rețelei și își face treaba în liniște - la urma urmei, nu toți se comportă la fel de neclar ca troienii ransomware.
Microsoft și-a schimbat abordarea în ceea ce privește asigurarea securității: acum și-a extins linia de produse de securitate a informațiilor și, de asemenea, se concentrează nu numai pe a face compania cât mai sigură posibil de atacurile moderne, ci și pe a face posibilă investigarea acestora dacă o infecție se întâmplă. apar.
Protecția e-mailului
Sistemul de mail ca canalul principal pătrunderea amenințărilor în rețeaua corporativă trebuie protejată suplimentar. Pentru a face acest lucru, Microsoft a dezvoltat sistemul Exchange ATP (Advanced Treat Protection), care analizează atașamentele de e-mail sau legăturile de internet și răspunde în timp util la atacurile detectate. Acest produs separat, se integrează cu Microsoft Exchange și nu trebuie să fie implementat pe fiecare computer client.
Exchange ATP poate detecta chiar și atacuri zero-day, deoarece lansează toate atașamentele într-un sandbox special fără a le elibera în sistemul de operare și le analizează comportamentul. Dacă nu conține semne de atac, atunci atașamentul este considerat sigur și utilizatorul îl poate deschide. Un fișier potențial rău intenționat este trimis în carantină și administratorul este notificat despre acesta.
În ceea ce privește legăturile din scrisori, acestea sunt și ele verificate. Exchange ATP înlocuiește toate legăturile intermediare. Utilizatorul face clic pe linkul din scrisoare, ajunge la linkul intermediar, iar în acest moment sistemul verifică adresa pentru siguranță. Verificarea este atât de rapidă încât utilizatorul nu observă întârzierea. Dacă linkul duce la un site sau fișier infectat, următoarele sunt interzise.
Cum funcționează Exchange ATP
Sursa: Microsoft, 2017
De ce verificarea are loc în momentul clicului și nu atunci când este primită scrisoarea - la urma urmei, atunci există mai mult timp pentru cercetare și, prin urmare, va fi necesară mai puțină putere de calcul? Acest lucru este făcut special pentru a proteja împotriva trucului infractorilor cibernetici de a înlocui conținutul link-urilor. Exemplu tipic: scrisoare către cutie poștală vine noaptea, sistemul verifică și nu găsește nimic, iar până dimineața site-ul a postat deja acest link, de exemplu, un fișier cu un troian pe care utilizatorul îl descarcă în siguranță.
Și a treia parte a serviciului Exchange ATP este sistemul de raportare încorporat. Vă permite să investigați incidentele care au avut loc și oferă date pentru a răspunde la întrebări: când a avut loc infecția, cum și unde s-a întâmplat. Acest lucru vă permite să găsiți sursa, să determinați daunele și să înțelegeți ce a fost: o lovitură accidentală sau un atac țintit împotriva acestei companii.
Acest sistem este util și pentru prevenire. De exemplu, un administrator poate ridica statistici despre câte clicuri au fost pe linkurile marcate ca periculoase și cine dintre utilizatori a făcut-o. Chiar dacă infecția nu a avut loc, este totuși necesar să se efectueze o muncă explicativă cu acești angajați.
Adevărat, există categorii de angajați care sunt forțați de responsabilitățile locului de muncă să viziteze o varietate de site-uri - de exemplu, marketeri care cercetează piața. Pentru ei, tehnologiile Microsoft vă permit să configurați politica astfel încât orice fișiere descărcate să fie scanate în „sandbox” înainte de a fi salvate pe computer. În plus, regulile sunt stabilite în doar câteva clicuri.
Protecția acreditării
Una dintre ținta atacurilor rău intenționate este acreditările utilizatorului. Există o mulțime de tehnologii de furt de nume de utilizator și parole ale utilizatorilor și trebuie să li se reziste printr-o protecție puternică. Există puține speranțe pentru angajații înșiși: ei vin cu parole simple, utilizați o singură parolă pentru a accesa toate resursele și notați-le pe un autocolant care este lipit de monitor. Poți lupta cu asta măsuri administrativeși stabilirea unor cerințe programatice pentru parole, dar tot nu va exista niciun efect garantat.
Dacă unei companii îi pasă de securitate, drepturile de acces sunt diferențiate în ea și, de exemplu, un inginer sau un manager de vânzări nu se poate conecta la serverul de contabilitate. Dar hackerii mai au un truc în rezervă: pot trimite o scrisoare din contul capturat al unui angajat obișnuit specialistului țintă care deține informațiile necesare (date financiare sau secrete comerciale). După ce a primit o scrisoare de la un „coleg”, destinatarul o va deschide sută la sută și va lansa atașamentul. Și ransomware-ul va avea acces la date valoroase pentru companie, pentru returnarea cărora compania poate plăti mulți bani.
Pentru a fi capturat Cont nu le-a oferit atacatorilor posibilitatea de a pătrunde sistem corporativ Microsoft sugerează să-l protejați cu Azure Multifactor Authentication. Adică, pentru a intra, trebuie să introduceți nu doar o pereche nume de utilizator/parolă, ci și un cod PIN trimis prin SMS, notificare Push, generat de o aplicație mobilă sau să răspundeți la un apel telefonic către robot. Deosebit de util autentificare multifactor atunci când lucrați cu angajați la distanță care se pot conecta la sistemul corporativ din diferite părți ale lumii.
Autentificare multifactor Azure
Acest articol a fost pregătit în legătură cu atac al hackerilor caracter de masă la scară globală care te poate afecta și pe tine. Consecințele sunt cu adevărat grave. Mai jos veți găsi scurta descriere probleme și o descriere a principalelor măsuri care trebuie luate pentru a proteja împotriva ransomware-ului familiei WannaCry.
Virusul ransomware WannaCry exploatează vulnerabilitatea Microsoft Windows MS17-010 a executa cod rău intenționatși rulați programul de criptare pe computere vulnerabile, apoi virusul se oferă să plătească infractorilor cibernetici aproximativ 300 de dolari pentru a decripta datele. Virusul s-a răspândit pe scară largă la scară globală, primind acoperire activă în mass-media - Fontanka.ru, Gazeta.ru, RBK.
Această vulnerabilitate afectează computerele care rulează Windows de la XP la Windows 10 și Server 2016, puteți citi informațiile oficiale despre vulnerabilitate de la Microsoft și.
Această vulnerabilitate aparține clasei Executarea codului de la distanță, ceea ce înseamnă că infecția poate fi efectuată de pe un computer deja infectat printr-o rețea cu nivel scăzut siguranță fără segmentare ME - rețelele locale, rețele publice, rețele de invitați, precum și prin lansarea de programe malware primite prin poștă sau sub forma unui link.
Masuri de securitate
Ce măsuri trebuie identificate ca fiind eficiente pentru combaterea acestui virus:
- Asigurați-vă că aveți cele mai recente actualizări Microsoft Windows care abordează vulnerabilitatea MS17-010. Puteți găsi link-uri către actualizări și, de asemenea, rețineți că, din cauza gravității fără precedent a acestei vulnerabilități - actualizările pentru sistemul de operare neacceptat (windowsXP, server 2003, server 2008) au fost lansate pe 13 mai, le puteți descărca.
- Folosind soluții pentru a oferi securitatea retelei Clasa IPS, asigurați-vă că aveți actualizări care includ detectarea și compensarea vulnerabilitatea rețelei... Această vulnerabilitate este descrisă în baza de cunoștințe Check Point și este inclusă în actualizarea IPS din 14 martie 2017 pentru Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). De asemenea, vă recomandăm să configurați scanarea IPS a traficului intern al segmentelor cheie de rețea, cel puțin pentru o perioadă scurtă de timp, până când probabilitatea de infecție scade.
- Datorită probabilității de a schimba codul virusului, vă recomandăm să activați sistemele AntiBot & Antivirus și să emulați lansarea fișierelor provenind din surse externe prin poștă sau pe internet. Dacă sunteți utilizator Check Point Security Gateway, atunci acest sistem este Threat Emulation. În special pentru companiile care nu au acest abonament, oferim să-l eliberăm rapid într-o perioadă de probă de 30 de zile. Pentru a solicita o cheie de activare a unui abonament cu funcții complete pentru poarta dvs. Check Point - scrieți la e-mail [email protected] Puteți citi mai multe despre sistemele de emulare de fișiere și.
Și mai multe recomandări și un exemplu de raport privind blocarea activității ransomware-ului wannacry.
Dragi colegi, pe baza experienței de lucru cu atacuri masive anterioare, cum ar fi Heart Bleed, vulnerabilitatea Microsoft Windows MS17-010 va fi exploatată activ în următoarele 30-40 de zile, nu întârziați contramăsurile! Pentru orice eventualitate, verificați ca sistemul dvs. de backup să funcționeze.
Riscul este chiar mare!
UPD. Joi, 18 mai, la ora 10:00 ora Moscovei, vă invităm la un webinar despre ransomware și metode de protecție.
Webinarul este găzduit de TS Solution și Sergey Nevstruev, Manager de vânzări Check Point Threat Prevention Europa de Est.
Vom acoperi următoarele aspecte:
- Atacul #WannaCry
- Scara și starea curentă
- Particularități
- Factori de masă
Cum să stai cu un pas înainte și să dormi bine
- IPS + AM
- SandBlast: Emularea amenințărilor și Extracția amenințărilor
- Agent SandBlast: Anti-Ransomware
- Agent SandBlast: criminalistică
- Agent SandBlast: Anti-Bot
Atacuri ale virușilor ransomware, scurgeri de instrumente de hacker ale serviciilor speciale americane, testarea puterii instalațiilor energetice, atacuri asupra ICO-urilor și primul furt de bani de la banca ruseasca cu sistemul SWIFT - anul 2017 a fost plin de surprize neplăcute. Nu toată lumea era pregătită pentru ei. Mai degrabă, opusul este adevărat. Criminalitatea cibernetică devine din ce în ce mai rapidă și mai mare. Hackerii pro-guvernamentali nu mai sunt doar spioni, ei fură bani și organizează sabotaj cibernetic.
Orice contracarare la amenințările cibernetice este întotdeauna o competiție între armură și proiectil. Și evenimentele din acest an au arătat că multe companii și chiar state sunt inferioare infractorilor cibernetici. Pentru că nu știu cine este inamicul, cum acționează și unde să aștepte următoarea lovitură... Majoritatea atacurilor trebuie prevenite în stadiul pregătirii lor, folosind tehnologiile de avertizare timpurie Threat Intelligence. A fi cu câțiva pași înaintea infractorilor cibernetici înseamnă economisirea banilor, a informațiilor și a reputației.
Viruși ransomware
Cele mai răspândite, atât în ceea ce privește distribuția, cât și daunele în 2017, au fost atacurile cibernetice folosind viruși ransomware. Hackerii pro-guvernamentali sunt în spatele lor. Să le amintim pe nume.
Consecințele atacului WonnaCry: supermarketul Rost, Harkiv, Ucraina.
Lazarus (cunoscut și sub denumirea de Dark Seoul Gang) este numele unui grup de hackeri din Coreea de Nord care se presupune că în spatele Biroului 121, una dintre unitățile Direcției de Informații ale Statului Major General al KPA (RPDC) responsabile cu desfășurarea operațiunilor cibernetice. De mulți ani, hackeri din grupul nord-coreean Lazarus au spionat inamicii ideologici ai regimului - agenții guvernamentale și corporații private din Statele Unite și Coreea de Sud. Acum, Lazăr atacă băncile și instituțiile financiare din întreaga lume: în contul lor o încercare de a fura aproape 1 miliard de dolari de la banca centrală din Bangladesh în februarie 2016, atacuri asupra băncilor din Polonia, precum și a angajaților Băncii Centrale a Rusiei. Federația, Banca Centrală a Venezuelei, Banca Centrală a Braziliei, Banca Centrală a Chile și o încercare de a retrage de la Far Eastern International Bank 60 de milioane de dolari (a se vedea secțiunea „Atacuri direcționate asupra băncilor”). La sfârșitul anului 2017, hackerii nord-coreeni au fost depistați în atacuri asupra serviciilor de criptomonede și atacuri folosind troieni mobile.
Tendința anului
Pe 24 octombrie, a avut loc un atac cibernetic la scară largă cu utilizarea virusului de criptare BadRabbit în Ucraina și Rusia. Virusul a atacat computerele și serverele Metroului din Kiev, Ministerul Infrastructurii, Aeroport internațional"Odesa". Mai multe victime au ajuns și în Rusia - în urma atacului au fost rănite redacțiile presei federale, fiind înregistrate și faptele de tentative de infectare a infrastructurilor bancare. Grupul Black Energy se află în spatele atacului, așa cum a stabilit Group-IB.
Atacurile vizate asupra băncilor
Grupurile criminale care au atacat băncile rusești în primăvara și vara lui 2017 și-au îndreptat atenția către alte țări și regiuni: Statele Unite, Europa, America Latină, Asia și Orientul Mijlociu. La sfârșitul anului, au început să lucreze din nou în Rusia.
În 2017, hackerii pro-guvernamentali și-au schimbat obiectivele - au început să efectueze sabotaj cibernetic asupra sectorului financiar. Pentru a spiona sau a fura bani, crackerii încearcă să aibă acces la SWIFT, procesarea cardurilor. În primăvara acestui an, grupul BlackEnergy a spart un integrator din Ucraina și a obținut acces la o rețea de bănci ucrainene. Câteva luni mai târziu, a început epidemia WannyCry și NotPetya, în spatele căreia se află grupurile Lazarus și BlackEnergy.
Cu toate acestea, până la începutul lunii octombrie, când echipa Group-IB și-a prezentat raportul anual, eram plini de optimism reținut: atacurile vizate asupra băncilor din Rusia au scăzut cu 33%. Toate grupurile criminale care au atacat băncile rusești și-au îndreptat treptat atenția către alte țări și regiuni: SUA, Europa, America Latină, Asia și Orientul Mijlociu. Sfârșitul anului a stricat statisticile - am înregistrat o serie de atacuri cibernetice asupra băncilor, în decembrie a avut loc primul atac de succes asupra banca ruseasca cu SWIFT realizat de grupul Cobalt.
Atacurile asupra SWIFT
Banca Internațională a Taiwanului din Orientul Îndepărtat a fost jefuită în octombrie. Ajunși la sistemul de transferuri internaționale interbancare (SWIFT), la care banca era conectată, hackerii au reușit să retragă aproape 60 de milioane de dolari în conturi din Sri Lanka, Cambodgia și Statele Unite. Grupul Lazăr este în spatele atacului. În noiembrie, cea mai mare bancă non-statală din Nepal, NIC Asia Bank, a fost vizată de infractorii cibernetici care au obținut acces la sistemul SWIFT și au retras 4,4 milioane de dolari în conturi din Statele Unite, Marea Britanie, Japonia și Singapore.
La mijlocul lunii decembrie, s-a aflat despre un atac de succes asupra unei bănci rusești folosind SWIFT (sistem internațional de transfer de informații financiare). Reamintim că mai devreme, în Rusia, atacurile țintite au fost efectuate folosind sisteme de procesare a cardurilor, bancomate și AWP KBR (stație de lucru automată pentru un client al unei bănci a Rusiei).
Grupul Cobalt a fost probabil implicat în atac. Infiltrarea băncii a avut loc prin malware care a fost trimis băncilor de către grup în urmă cu câteva săptămâni - o metodă de atac tipică pentru Cobalt. Presa a relatat că infractorii au încercat să fure aproximativ 1 milion de dolari, dar au reușit să retragă aproximativ 10%. FinCERT, o divizie structurală a Băncii Centrale pentru securitatea informațiilor, în raportul său a numit grupul Cobalt principala amenințare la adresa instituțiilor de credit.
Potrivit Group-IB, grupul are cel puțin 50 de atacuri reușite asupra băncilor din întreaga lume: în Rusia, Marea Britanie, Țările de Jos, Spania, România, Belarus, Polonia, Estonia, Bulgaria, Georgia, Moldova, Kârgâzstan, Armenia, Taiwan si Malaezia... Pe tot parcursul verii și toamnei, au atacat bănci din întreaga lume, au testat noi instrumente și scheme, iar la sfârșitul anului nu și-au redus cifra de afaceri - aproape în fiecare săptămână le înregistrăm mailingurile cu malware în interior.
Insensibilitatea și scripturile rău intenționate sunt un nou (și acum principalul) principiu al atacurilor. Hackerii încearcă să rămână neobservați și pentru asta folosesc programe „incorporale” care funcționează doar în RAM și sunt distruse după un reboot. În plus, scripturile din PowerShell, VBS, PHP îi ajută să asigure persistența (pinning) în sistem, precum și să automatizeze unele etape ale atacului. De asemenea, observăm că hackerii nu atacă băncile frontal, ci prin parteneri de încredere - integratori, contractori. Aceștia atacă angajații când sunt acasă, își verifică corespondența personală, rețelele sociale
Tendința anului
Descoperirea anului: MoneyTaker
10 fapte interesante despre MoneyTaker
- Victimele lor au fost bănci mici - în Rusia, regionale, în Statele Unite - bănci comunitare cu un nivel scăzut de protecție. Hackerii au intrat într-una dintre băncile rusești prin computerul de acasă al administratorului de sistem.
- Una dintre băncile americane a fost deja piratată de două ori.
- După ce au finalizat un atac cu succes, au continuat să spioneze angajații băncii, trimițând scrisorile primite către Yandex și Mail.ru.
- Acest grup a distrus întotdeauna urme după un atac.
- Au încercat să retragă bani de la o bancă rusă prin ATM-uri, dar nu au funcționat - cu puțin timp înainte, Banca Centrală a luat licența proprietarului lor. Bani retrasi prin AWS KBR.
- Au furat nu numai bani, ci și documente interne, instrucțiuni, regulamente, jurnalele de tranzacții. Judecând după documentele furate legate de activitatea SWIFT, hackerii pregătesc atacuri asupra obiectelor din America Latină.
- În unele cazuri, hackerii au făcut modificări la codul programului „din zbor” - chiar în timpul atacului.
- Atacatorii au folosit fișierul SLRSideChannelAttack.exe., care a fost postat în acces public cercetători.
- MoneyTaker a folosit instrumente disponibile public, a ascuns intenționat orice elemente de atribuire, preferând să rămână în umbră. Autorul programelor este unul - acest lucru poate fi văzut din greșeli tipice, care rătăcesc de la un program auto-scris la altul.
Scurgeri de instrumente de hacking pentru servicii speciale
Exploaturile din scurgeri de informații ale NSA și CIA au început să fie utilizate în mod activ pentru a efectua atacuri țintite. Aceștia sunt deja incluși în principalele instrumente pentru efectuarea testelor de penetrare a hackerilor motivați financiar și a unor hackeri pro-guvernamentali.
WikiLeaks și Vault7
Pe tot parcursul anului, WikiLeaks a dezvăluit metodic secretele CIA, publicând informații despre instrumentele de hacker ale serviciilor speciale în cadrul proiectului Vault 7. Una dintre ele - CherryBlossom ("Cherry Blossom") vă permite să urmăriți locația și activitatea pe Internet a utilizatorilor conectați la router wireless Wifi. Aceste dispozitive sunt utilizate în mod obișnuit în case, birouri, restaurante, baruri, hoteluri, aeroporturi și agenții guvernamentale. WikiLeaks a dezvăluit chiar tehnologia de spionaj a CIA asupra colegilor din FBI, BIV, NSA. Control servicii tehnice(OTS) de la CIA a dezvoltat programul spion ExpressLane pentru a extrage în secret date dintr-un sistem de colectare a datelor biometrice pe care CIA îl distribuie colegilor săi din comunitatea de informații din SUA. Puțin mai devreme, WikiLeaks a dezvăluit informații despre malware-ul Pandemic conceput pentru a pirata computerele din foldere partajate, și ELSA, care urmărește, de asemenea, localizarea geografică a dispozitivelor compatibile cu Wi-Fi și vă permite să urmăriți obiceiurile utilizatorilor. Wikileaks a început seria Vault-7 în februarie 2017. Scurgerile au conținut informații care descriu vulnerabilitățile software, mostre de malware și tehnici de conducere atacuri informatice.
Instrumentele de hacking dintr-o altă sursă la fel de populară - scurgerile NSA publicate de grupul Shadow Brokers - au fost nu numai la mare căutare, ci au fost și îmbunătățite și perfecționate. Pe forumurile underground a apărut un script pentru a automatiza căutarea mașinilor cu o vulnerabilitate în protocolul SMB, bazat pe utilitățile serviciilor speciale americane publicate de grupul Shadow Brokers în aprilie anul acesta. Ca urmare a scurgerii, utilitatea fuzzbunch și exploit-ul ETERNALBLUE au ajuns în acces deschis, dar după finalizarea revizuirii, produsul complet finit simplifică procesul de atac pentru infractorii cibernetici.
Amintiți-vă că protocolul SMB a fost folosit de ransomware-ul WannaCry pentru a infecta sute de mii de computere din 150 de țări ale lumii. Acum o lună, creatorul motorului de căutare Sisteme Shodan John Matherly a spus că 2.306.820 de dispozitive cu porturi deschise pentru acces prin protocolul SMB. 42% (aproximativ 970 mii) dintre acestea oferă acces oaspeților, adică oricui dorește să folosească Protocolul SMB poate accesa datele fără autorizație.
În vară, grupul Shadow Brokers a promis să publice noi exploit-uri pentru abonații lor în fiecare lună, inclusiv pentru routere, browsere, dispozitive mobile, date compromise din rețelele bancare și SWIFT, informații despre programele nucleare și de rachete. Inspirat de atenție, Shadow Brokers a crescut prețul inițial al abonamentului de la 100 de monede Zcash (aproximativ 30.000 USD) la 200 de monede Zcash (aproximativ 60.000 USD). Statutul de abonat VIP costă 400 de monede Zcash și vă permite să primiți exploit-uri la comandă.
Atacurile la infrastructura critică
Sectorul energetic a devenit un teren de testare pentru cercetarea noilor arme cibernetice. Gruparea criminală BlackEnergy continuă să atace companiile financiare și energetice. Instrumentele pe care le au la dispoziție permit controlul de la distanță al unităților terminale de la distanță (RTU), care sunt responsabile de deschiderea/închiderea fizică a rețelei electrice.
Primul virus care a dezactivat efectiv hardware-ul a fost Stuxnet, folosit de Equation Group (Five Eyes / Tilded Team). În 2010, virusul a intrat în sistemul uzinei iraniene de îmbogățire a uraniului din Nathan și a infectat controlerele SIMATIC S7 Siemens, care au rotit centrifugele umplute cu uraniu la o frecvență de 1000 de rotații pe secundă. Stuxnet a rotit rotoarele centrifugelor până la 1400 de rotații, astfel încât acestea au început să vibreze și să se prăbușească. Din 5.000 de centrifuge instalate în hală, aproximativ 1.000 au fost scoase din funcțiune. Programul nuclear iranian a revenit cu câțiva ani.
După acest atac, a fost o pauză de câțiva ani. S-a dovedit că în tot acest timp hackerii căutau o oportunitate de a influența ICS și de a le dezactiva atunci când era necesar. Grupul Black Energy, cunoscut și sub numele de Sandworm, a avansat mai departe în această direcție.
Atacul lor de testare asupra unei substații ucrainene la sfârșitul anului trecut a arătat de ce este capabil un nou set de instrumente numit Industroyer sau CRASHOVERRIDE. La conferința Black Hat, software-ul Industroyer a fost numit „cea mai mare amenințare la adresa sistemelor de control industrial de la Stuxnet”. De exemplu, instrumentele BlackEnergy vă permit să controlați de la distanță unitățile terminale la distanță (RTU), care sunt responsabile pentru deschiderea/închiderea fizică a rețelei. Înarmați cu astfel de instrumente, hackerii o pot transforma într-o armă cibernetică formidabilă care va lăsa orașe întregi fără lumină și apă.
Probleme pot apărea nu numai în Ucraina: noi atacuri asupra sistemelor energetice în iulie au fost înregistrate în Marea Britanie și Irlanda. Nu au existat întreruperi în funcționarea rețelelor electrice, dar experții cred că hackerii ar putea fura parolele sistemelor de securitate. În Statele Unite, după ce a trimis e-mailuri rău intenționate angajaților companiilor energetice, FBI a avertizat companiile cu privire la posibile atacuri cibernetice.
Atacurile ICO
Pentru mult timp băncile și clienții lor au fost scopul principal criminali cibernetici. Dar acum au concurenți puterniciîn fața ICO-urilor și a startup-urilor blockchain - tot ce ține de criptomonede atrage atenția hackerilor.
ICO (Initial Coin Offering) este visul oricărui hacker. Un atac fulgerător, adesea destul de simplu, asupra serviciilor de criptomonedă și a startup-urilor blockchain generează profit de milioane de dolari cu risc minim pentru criminali. Potrivit Chainalysis, hackerii au reușit să fure 10% din toate fondurile investite în proiecte ICO în 2017 în Ethereum. Prejudiciul total s-a ridicat la aproape 225 de milioane de dolari, 30.000 de investitori au pierdut în medie 7.500 de dolari.
Am analizat aproximativ o sută de atacuri asupra proiectelor blockchain (burse, schimbătoare, portofele, fonduri) și am ajuns la concluzia că cea mai mare parte a problemelor constă în vulnerabilitatea criptoserviciilor în sine care folosesc tehnologia blockchain. În cazul Ethereum, s-au observat probleme nu cu platforma în sine, ci cu serviciile cripto: s-au confruntat cu vulnerabilități în propriile contracte inteligente, deface, conturi de administrator compromise (Slack, Telegram), site-uri de phishing care copiau conținutul site-urilor companiilor. intrând în ICO.
Există mai multe vulnerabilități:
- Site-urile de phishing sunt clone ale resursei oficiale
- Vulnerabilitatea site-ului/aplicației web
- Atacuri prin angajatii companiei
- Atacurile la infrastructura IT
Furarea de bani folosind troienii Android
Piața troienilor bancar Android s-a dovedit a fi cea mai dinamică și în creștere. Daune de la troieni bancare pentru Android în Rusia a crescut cu 136% - s-a ridicat la 13,7 milioane de dolari - și a acoperit daunele cauzate de troieni pentru computerele personale cu 30%.
Am prezis această creștere anul trecut, deoarece infecțiile cu malware devin mai puțin vizibile, iar furturile sunt automatizate folosind metoda de completare automată. Potrivit estimărilor noastre, pagubele cauzate de acest tip de atac în Rusia în ultimul an s-au ridicat la 13,7 milioane de dolari.
Reținerea membrilor grupului criminal Cron
