Всеобщая самоизоляция и удаленная работа повлияли на активность киберпреступников. Но хотя частота и методы атак изменились, сегодня угрозой №1 для бизнеса по-прежнему остается Ransomware. Этот тезис подтвердил отчет, подготовленный на базе информации из сети операционных центров киберзащиты Acronis (CPOC). Под катом — прогнозы на 2021, данные исследований, а также статистика и выводы.

Итоги 2020 года показывают, что злоумышленники тоже начали адаптироваться к новой реальности и часто у них это получается лучше, чем у реального бизнеса. По мере того, как персонал по всему миру хотя бы частично остается в режиме удаленной работы, киберпреступники начали таргетировать свои атаки на самих работников, а также на провайдеров, обеспечивающих им доступ (MSP).

По итогам исследования наши аналитики сделали несколько выводов. Здесь мы решили привести самые интересные из них. 

  • Удаленные сотрудники станут более частой мишенью атак, потому что защита систем вне корпоративной сети легче взломать, и злоумышленники уже убедились в этом;

  • Атаки с применением программ-вымогателей будут автоматизированы еще сильнее, и благодаря этому хакеры смогут атаковать конкретные компании и пользователей. При этом стоит ждать одновременного шифрования и кражи данных;

  • Опасность для малого бизнеса возрастает, так как дополнительным каналом угроз становятся атаки на MSP и ПО для удаленной работы.

  • Старая защита уже не работает, потому что для создания вредоносных программ используется ИИ и количество штаммов вредоносного ПО будет только увеличиваться. Учитывая, что новые версии только Ransomware появляются каждые 3-4 дня, а злоумышленники становятся все более изобретательными, для борьбы с ними нужны более гибкие подходы. 

Ransomware

По данным Coalition (однин из крупнейших поставщиков услуг в сфере киберстрахования), 41% исков в уходящем году пришелся на долю атак с использованием программ-вымогателей. 

Цитата:

«Программы-вымогатели не делают различий между отраслями. Увеличение количество атак с их использованием фиксируется практически во всех отраслях, которые мы обслуживаем», – говорится в докладе Coalition.

Мы в Acronis за последние девять месяцев обнаружили около 50 новых семейств программ-вымогателей. И что характерно для новой реальности, некоторые из них ориентируются на обычного пользователя, работающего из дома. Но такие группы, как Avaddon, Mount Locker и Suncrypt, нацелены на заражение более прибыльных корпоративных клиентов. При этом все чаще вредоносное ПО предоставляется как услуга. Из-за этого количество атак становится намного больше. А жизненный цикл экземпляра вредоносного ПО составляет всего 3-4 дня. 

В марте, когда в большинстве стран был впервые объявлен карантин, центры Acronis CPOC наблюдали пиковое значение количества новых программ-вымогателей в глобальном масштабе. Активность Ransomware с того момента остается повышенной. При этом нет никакого распределения по вертикалям или географическим регионам — атаки охватывают все отрасли и регионы.  то здесь выраженных предпочтений у злоумышленников нет. 

Интересно, что почти половина атак с применением Ransomware в 2020 году была осуществлена за счет вредоносного ПО Maze. При этом киберпреступники не останавливаются на достигнутом и ищут способы увеличить прибыль. Вместе с шифрованием происходит кража конфиденциальной, а иногда и компрометирующей информации для шантажа и публикации украденных данных.

Предположительно, именно с помощью Maze 30 июля 2020 года была проведена атака на Canon, в результате которой был выведен из строя сервис облачного хранения image.canon. При этом злоумышленник, взявший на себя ответственность за атаку,заявил о краже 10 ТБ личных данных. Кстати, это вполне вероятно, потому что операторы Maze уже опубликовали данные Xerox и LG, отказавшихся платить выкуп. Эта информация была украдена во время успешной атаки в июне 2020 года. 

Факты о Maze

  • Не только шифрует, но и крадет данные, чтобы опубликовать их, если выкуп не будет выплачен

  • Крупнейшими жертвами Maze стали Canon, Xerox и LG

  • Использует методы противодействия разборке и отладке

  • Не шифрует системы, в которых по умолчанию установлен регион Россия

  • блокируется вызов wmic.exe для удаления теневых копий

  • Отправляет запрос HTTP на сервер C&C в сети ‘91.218.114.0’ которая зарегистрирована в Москве, Россия

  • Для распространения использует инструменты Mimikatz, Procdump и Cobalt Strike

Конечно, Maze обходит стороной российские компании, но не стоит расслабляться — другие шифровальщики перенимают эту модель и тоже начинают красть данные пользователей. По нашим данным в 2020 году более 1 000 компаний стали жертвами утечки информации после атак с применением программ-вымогателей, и в следующем году эта тенденция только усилится, потеснив шифрование данных.

Удаленные сотрудники под прицелом

Но вернемся к проблеме удаленных рабочих мест. Чуть ранее мы публиковали отчет Acronis Cyber Readiness Report (ссылка), который показал, что ИТ-менеджеры столкнулись с очень неприятной ковид-проблемой при массовом переходе сотрудников на удаленку. Лидером списка сложностей стала проблема инструктажа пользователей, а уже на втором месте идут технические меры их поддержки. Таким образом, сами сотрудники оказались под ударом.

При этом атаки на пользователей происходят через различное ПО, необходимое при удаленной работе. Мы уже сообщали о взломах Zoom, но аналогичным атакам подверглись также Microsoft Teams и Webex. Например, 50 000 пользователей Microsoft 365 были атакованы в течение недели фишинговыми письмами, из которых работники попадали на фиктивную страницу входа в систему Microsoft 365.

Атакам подверглись файлообменники Microsoft, такие как Sway, SharePoint и OneNote. Например, атака  PerSwaysion (как можно догадаться, нацеленная на сервисы Sway), начинается с рассылки фишинговых писем с вредоносным вложением PDF. Пользователи думают, что получают уведомление от файлообменника Microsoft 365 с гиперссылкой «Read Now». При переходе по ссылке открывается еще один обманный документ файлообменника Microsoft Sway. И если снова пройти по ссылке, вы попадаете на фальшивую страницу входа в систему Microsoft, чтобы поделиться своими учетными данными с мошенниками.

Разумеется, уязвимости существуют не только у продуктов Microsoft. В 2020 году мы регистрировали критические уязвимости для целого спектра различных продуктов, включая те самые VPN, которые должны обеспечить безопасный доступ для удаленных сотрудников. Например,  в Citrix VPN уязвимость позволяла запускать произвольный код (CVE-2019-19781), а на серверах Pulse Secure VPN уязвимость CVE-2019-11510 позволяет читать произвольные файлы.

Атаки на MSP

К тому же злоумышленники прекрасно понимают, что компании СМБ в своем большинстве пользуются сервисами провайдеров управляемых услуг (MSP). И вместо того, чтобы взламывать 100 разных компаний, хакеры стали чаще обращать внимание именно на сети MSP. 2020 год показал,  что взломать MSP можно разными способами. Например, для этого все чаще используются уязвимости и недостаточная защита ПО удаленного доступа. Компании, которые не устанавливали патчи, не использовали двухфакторную аутентификацию, а также не боролись с фишингом получили максимум ущерба. 

Например, транснациональный поставщик IT-сервисов  DXC Technology сообщила об атаке на ИТ-системы своей дочерней компании Xchanging. Сервисами этой компании пользуются организации из сферы страхования, финансовых услуг, аэрокосмическая промышленность, оборонные компании, автомобильная промышленность, организации из сферы образования, производители потребительских товаров, организации здравоохранения и обрабатывающая промышленность. Еще один пример – канадская Pivot Technology Solutions, которая также сообщила о кибератаке на свою IT-инфраструктуру. В сообщении компании говорится, что атака могла затронуть и персональные данные пользователей клиентов компании и их сотрудников. Так что в 2021 году стоит ждать продолжения подобных атак, ведь с точки зрения злоумышленников они полностью оправдали себя. 

Уязвимости, затраты и примеры атак

Наши аналитики провели более детальный анализ киберугроз и атак, совершенных в 2020 году. Поэтому в следующем посте мы расскажем о том, как изменились затраты компаний на безопасность, насколько выросло количество уязвимостей в различном ПО, а также о популярности различных типов кибератак.

Если вам хочется почитать отчет целиком, полную версию Acronis Cyber Threats Report можно прочитать здесь.