Оскільки програмне забезпечення-вимагач є однією з найбільших проблем для команд безпеки підприємств, група аналізу безпеки Cisco Talos проаналізувала програми-вимагачі, щоб визначити загальні методи та надати рекомендації, які допоможуть командам безпеки краще захистити свій бізнес. Про це повідомляє Network World.
Фахівці Cisco Talos проаналізували 14 відомих груп програм-вимагачів у період із 2023 до 2024 року й вивчили кількість атак, вплив на клієнтів і нетипову поведінку учасників загрози.
Дослідження включало дані з публічних сайтів витоку програм-вимагачів, Cisco Talos Incident Response (Talos IR), зусилля внутрішнього відстеження Talos і звіти з відкритим кодом.
«Найактивніші учасники програм-вимагачів надають пріоритет отриманню початкового доступу до цільових мереж. Причому дійсні облікові записи є найпоширенішим механізмом. Фішинг облікових даних часто передує цим атакам. Вказана тенденція спостерігається в усіх заходах із реагування на інциденти. Протягом останнього року багато груп все частіше використовували відомі вразливості та вразливості нульового дня в загальнодоступних програмах, роблячи це поширеним вектором початкового доступу», — написав аналітик Cisco Talos Джеймс Натленд у блозі про дослідження.
У Talos помітили деякі серйозні зміни у сфері програм-вимагачів за останній рік. Зокрема, появу кількох нових груп програм-вимагачів, кожна з яких має унікальні цілі, операційні структури та віктимологію.
Диверсифікація підкреслює зрушення в бік кіберзлочинної діяльності, націленої на бутики, оскільки такі групи, як Hunters International, Cactus та Akira, зосереджуються на чітких операційних цілях і стилістичних виборах.
Поширені методи для гравців програм-вимагачів включають відключення та модифікацію програмного забезпечення безпеки, наприклад антивірусних програм, рішень для виявлення кінцевих точок або функцій безпеки в операційній системі, щоб запобігти виявленню програм-вимагачів.
Щоб уникнути виявлення, учасники програм-вимагачів використовують методи ухилення від захисту.
Наприклад, відключення або зміну програмного забезпечення безпеки, включно з антивірусними програмами та рішеннями для виявлення кінцевих точок. Також вони часто намагаються вимкнути функції безпеки в операційній системі, щоб запобігти виявленню програм-вимагачів.
«Зловмисники часто маскують шкідливе програмне забезпечення, пакуючи та стискаючи код, зрештою розпаковуючи його в пам’яті під час виконання. Також вони змінюють системний реєстр, щоб вимкнути сповіщення системи безпеки, налаштувати програмне забезпечення на виконання під час запуску або заблокувати певні параметри відновлення для користувачів», — написав Натленд.
Додаткові тенденції програм-вимагачів:
- Експлойти MFA. Зловмисники можуть надсилати електронні листи, що містять шкідливі вкладення або URL-посилання, які запускатимуть шкідливий код у цільовій системі, розгортаючи інструменти акторів і зловмисне програмне забезпечення та використовуючи багатофакторну автентифікацію (MFA). Є багато способів, якими зловмисники сподіваються обійти MFA. Зокрема, спостерігається збільшення кількості афілійованих програм-вимагачів, які намагаються використати вразливості або неправильні конфігурації в системах, що підключаються до Інтернету, наприклад, у застарілому чи невиправленому програмному забезпеченні.
- Прагнення довгострокового доступу. Зловмисники часто використовують автоматичні механізми збереження шкідливого програмного забезпечення, такі як виконання AutoStart під час завантаження системи або зміна записів реєстру. Програмні інструменти віддаленого доступу і створення локальних, доменних і/або хмарних облікових записів також можуть бути розгорнуті для встановлення вторинного доступу з обліковими даними.
- Перерахування цільових середовищ. Після встановлення постійного доступу суб’єкти загрози спробують перерахувати цільове середовище, щоб зрозуміти структуру мережі, знайти ресурси, які можуть підтримувати атаку, та ідентифікувати цінні дані, які можна вкрасти у результаті подвійного вимагання. Використовуючи різні локальні утиліти та законні служби, вони використовують слабкі засоби контролю доступу та підвищують привілеї до рівня адміністратора, щоб просуватися далі по ланцюжку атак.
- Використання утиліт мережевих сканерів. Популярним є використання багатьох утиліт мережевих сканерів у поєднанні з інструментами й утилітами локальної операційної системи, як-от Certutil, Wevtutil, Net, Nltes і Netsh, для поєднання з ними типових функцій операційної системи, використання довірених програм і процесів, допомога в доставці зловмисного програмного забезпечення.
- Подвійне вимагання. З переходом на модель подвійного вимагання багато зловмисників збирають конфіденційну інформацію для надсилання на зовнішній контрольований зловмисником ресурс або через певний механізм C2. Утиліти стиснення та шифрування файлів WinRAR і 7-Zip використовувалися для приховування файлів для несанкціонованої передачі даних, тоді як зловмисники часто викрадають файли за допомогою згаданих раніше законних інструментів RMM. Спеціальні інструменти викрадання даних були розроблені та використовуються більш зрілими операціями RaaS, пропонуючи спеціальні інструменти, такі як Exbyte (BlackByte) і StealBit (LockBit), щоб полегшити крадіжку даних.
Раніше Talos повідомляв, що зловмисники, які вчиняють атаки з розширеною постійною загрозою (APT), не просто прагнуть отримати доступ до вашої мережі. Вони хочуть проникнути туди, щоб зібрати цінні дані або скласти плани майбутніх атак.
Посткомпрометовані загрози зростають. Здебільшого вони спрямовані на застарілу мережеву інфраструктуру та периферійні пристрої, які давно вийшли з ладу й можуть мати критичні невиправлені вразливості.
Деякі з дій, які компанії можуть здійснювати для боротьби з атаками програм-вимагачів, включають регулярне й послідовне застосування виправлень та оновлень до всіх систем і програмного забезпечення для швидкого усунення вразливостей і зниження ризику експлуатації.
«Впроваджуйте політики надійних паролів, які вимагають складних унікальних паролів для кожного облікового запису. Крім того, застосовуйте багатофакторну автентифікацію, щоб створити додатковий рівень безпеки», — наголосив Натленд.
Також фахівці рекомендують впровадити систему управління інформацією та подіями безпеки (SIEM) для постійного моніторингу й аналізу подій безпеки на додаток до розгортання рішень EDR/XDR на всіх клієнтах і серверах, щоб забезпечити розширені можливості для виявлення загроз, дослідження та реагування.
Раніше ми повідомляли, що Cisco представила помічника з генеративним штучним інтелектом для платформи спостереження Cisco AppDynamics разом з інтеграцією до платформи IT Service Intelligence (ITSI) від Splunk і Splunk Log Observer Connect.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!