12 мая эксперты «Лаборатории Касперского» опубликовали большой отчет об эволюции атак с шифрованием данных и последующим вымогательством. В статье прежде всего уделяется внимание организации этого криминального бизнеса и рассматриваются атаки на крупные компании. Одним из явных трендов года стала охота преступных группировок за «крупной дичью» — сравнительно большими организациями, способными выплатить серьезный выкуп в цифровой валюте. Отчет публикуется на фоне ежедневных новостей об атаках на бизнес, включая такие громкие события, как атака на компанию Colonial Pipeline.
Самое важное, что нужно знать о таких группировках: они сложно устроены и не работают автономно. От этой угрозы не получится избавиться, даже если найти и арестовать организаторов отдельной кампании. Экосистема перестанет работать, только если лишится доходов, то есть когда пострадавшие перестанут платить выкуп. Исследование приводит примеры набора участников в новые организации и указывает типичные роли: продавцы учетных данных, разработчики вредоносного ПО, аналитики, ответственные за отмывание криптовалюты.
Самый актуальный миф, который опровергается в статье, — это утверждение, что цели атак выбираются заранее. На самом деле их находят случайным образом. Чаще всего владельцы бот-сетей и брокеры, продающие доступ к скомпрометированным компьютерам и серверам, выставляют информацию о потенциальных жертвах, и цели определяются «из наличия». Здесь есть важная рекомендация для IT-безопасников: нужно вовремя обнаруживать отдельные инциденты, связанные с проникновением в защищенный периметр или заражением вредоносным ПО. Между этим «первым звонком» и полномасштабной атакой возможен временной лаг, позволяющий избежать серьезных последствий.
Исследование в подробностях описывает деятельность двух крупных группировок вымогателей, REvil и Babuk. Помимо прочего, отмечается более агрессивное давление на потенциальных жертв, мотивирующее быстрее выплачивать выкуп. Для этого в даркнете создаются веб-сайты с примерами украденных данных, информация об утечках «сливается» в СМИ. И наоборот, для облегчения «клиентского опыта» улучшается поддержка жертв — например, создается отдельный чат для общения с вымогателями. В предыдущей публикации экспертов «Лаборатории Касперского» по теме «пользовательских» вымогателей отмечается снижение количества широкомасштабных атак. Новый отчет показывает, куда переместилось внимание киберпреступников, и подробно описывает превращение криминальных операций в сложный и разветвленный бизнес.
Атака на оператора нефтепровода Colonial Pipeline в США привела к кратковременному прекращению поставки нефтепродуктов на восточном побережье страны, вызвала панику на автозаправках и, судя по всему, в дальнейшем приведет к изменениям в мерах по борьбе с киберпреступностью. На прошлой неделе вышло много публикаций по этой атаке, но далеко не вся информация подтверждена. Вот наиболее интересные статьи:
Локализация отмечена и в отчете «Лаборатории Касперского», но в ином контексте: русскоязычные организаторы атак стараются не работать с англоязычными партнерами, опасаясь контратак или утечки информации. Для теста на знание языка в одном примере предлагается использовать местный фольклор.
Помимо этого инцидента «ИБ-жизнь» идет своим чередом. Большим событием стало исследование об уязвимостях в устройствах и самом протоколе Wi-Fi. Коллекция атак Fragattacks (сайт проекта, обсуждение на Хабре) использует уязвимости, не зависящие от типа шифрования (вплоть до WPA3), и может быть задействована для кражи данных или перенаправления пользователя на вредоносные ресурсы.
Исследователь из Швеции Понтус Джонсон (Pontus Johnson) нашел уязвимость в концепции универсальной машины Тьюринга, предложенной еще в 1967 году (статья The Register, исследовательская работа). В ходе этого исключительно теоретического упражнения был найден способ запуска произвольного кода. Причина: отсутствие валидации ввода.
Предложен способ передачи произвольных данных и получения информации с устройств на базе iOS и MacOS. Используется уязвимость протокола Bluetooth и особенности технологии Find My для поиска потерянных девайсов.
MSI предупреждает о поддельных сайтах, распространяющих вредоносное ПО под видом популярной утилиты Afterburner для разгона видеокарт.
Самое важное, что нужно знать о таких группировках: они сложно устроены и не работают автономно. От этой угрозы не получится избавиться, даже если найти и арестовать организаторов отдельной кампании. Экосистема перестанет работать, только если лишится доходов, то есть когда пострадавшие перестанут платить выкуп. Исследование приводит примеры набора участников в новые организации и указывает типичные роли: продавцы учетных данных, разработчики вредоносного ПО, аналитики, ответственные за отмывание криптовалюты.
Самый актуальный миф, который опровергается в статье, — это утверждение, что цели атак выбираются заранее. На самом деле их находят случайным образом. Чаще всего владельцы бот-сетей и брокеры, продающие доступ к скомпрометированным компьютерам и серверам, выставляют информацию о потенциальных жертвах, и цели определяются «из наличия». Здесь есть важная рекомендация для IT-безопасников: нужно вовремя обнаруживать отдельные инциденты, связанные с проникновением в защищенный периметр или заражением вредоносным ПО. Между этим «первым звонком» и полномасштабной атакой возможен временной лаг, позволяющий избежать серьезных последствий.
Исследование в подробностях описывает деятельность двух крупных группировок вымогателей, REvil и Babuk. Помимо прочего, отмечается более агрессивное давление на потенциальных жертв, мотивирующее быстрее выплачивать выкуп. Для этого в даркнете создаются веб-сайты с примерами украденных данных, информация об утечках «сливается» в СМИ. И наоборот, для облегчения «клиентского опыта» улучшается поддержка жертв — например, создается отдельный чат для общения с вымогателями. В предыдущей публикации экспертов «Лаборатории Касперского» по теме «пользовательских» вымогателей отмечается снижение количества широкомасштабных атак. Новый отчет показывает, куда переместилось внимание киберпреступников, и подробно описывает превращение криминальных операций в сложный и разветвленный бизнес.
Что еще произошло
Атака на оператора нефтепровода Colonial Pipeline в США привела к кратковременному прекращению поставки нефтепродуктов на восточном побережье страны, вызвала панику на автозаправках и, судя по всему, в дальнейшем приведет к изменениям в мерах по борьбе с киберпреступностью. На прошлой неделе вышло много публикаций по этой атаке, но далеко не вся информация подтверждена. Вот наиболее интересные статьи:
- Анализ деятельности группировки DarkSide, взявшей на себя ответственность за атаку, от Брайана Кребса (Brian Krebs). Ранее в Твиттере он то ли в шутку, то ли всерьез указывал на очевидный факт относительно вредоносных программ-шифровальщиков с русскоязычными корнями: они избегают системы с кириллической раскладкой.
Локализация отмечена и в отчете «Лаборатории Касперского», но в ином контексте: русскоязычные организаторы атак стараются не работать с англоязычными партнерами, опасаясь контратак или утечки информации. Для теста на знание языка в одном примере предлагается использовать местный фольклор.
- Разбор технических особенностей вредоносного ПО, используемого DarkSide в предыдущих атаках.
- Неподтвержденная официально информация, согласно которой Colonial Pipeline заплатила вымогателям пять миллионов долларов. Здесь утверждается, что организаторы атаки потеряли доступ к своей инфраструктуре, а также к криптокошелькам.
- Анализ движения средств в Bitcoin-кошельках, предположительно принадлежащих DarkSide.
Помимо этого инцидента «ИБ-жизнь» идет своим чередом. Большим событием стало исследование об уязвимостях в устройствах и самом протоколе Wi-Fi. Коллекция атак Fragattacks (сайт проекта, обсуждение на Хабре) использует уязвимости, не зависящие от типа шифрования (вплоть до WPA3), и может быть задействована для кражи данных или перенаправления пользователя на вредоносные ресурсы.
Исследователь из Швеции Понтус Джонсон (Pontus Johnson) нашел уязвимость в концепции универсальной машины Тьюринга, предложенной еще в 1967 году (статья The Register, исследовательская работа). В ходе этого исключительно теоретического упражнения был найден способ запуска произвольного кода. Причина: отсутствие валидации ввода.
Предложен способ передачи произвольных данных и получения информации с устройств на базе iOS и MacOS. Используется уязвимость протокола Bluetooth и особенности технологии Find My для поиска потерянных девайсов.
MSI предупреждает о поддельных сайтах, распространяющих вредоносное ПО под видом популярной утилиты Afterburner для разгона видеокарт.
Bavun
У нас в компании на большинстве рабочих мест два монитора. Зачастую можно наблюдать у сотрудника на левом мониторе Ютуб, а на правом работу с конфиденциальными документами. Или сотрудник сидит на совещании, а под столом крутит фейсбушную ленту. Я так понимаю, везде так. О какой безопасности можно говорить, если компьютеры постоянно подключены к интернету и у каждого в кармане потенциальное устройство для снятия информации?
Только после выплаты пары миллиончиков хакерам, та же нефтекомпания задумается как ей так настроить коммуникации, чтобы Вася, Сунь-Хунь или Кумар не могли через свой веб браузер включать и выключать насосы в Америке.
Squoworode
Было бы странным ожидать на левом мониторе правый контент…