Новые старые угрозы требуют бдительности

Несколько громких инцидентов, связанных с заражением троянцами-шифровальщиками, был отмечен уже в середине марта. Так, по некоторым данным, именно такой зловред привел к сбою в работе маркетплейса Wildberries, который продолжался несколько дней (см. новость ComNews от 17 марта 2022 г.). По схожей схеме, по оценке руководителя группы инженеров информационной безопасности "Крок" Антона Голубкова, была проведена атака на один из крупнейших российских агрохолдингов, в итоге было нарушено его взаимодействие с регулятором. Также таким атакам подвергаются многие российские компании, учреждения и организации, в том числе такие, которые никогда раньше не подвергались посягательствам киберпреступников. При этом финансовая мотивация, которая была основным мотивом для действий группировок, которые осуществляли такого рода атаки, отошла на второй план. Руководитель Лаборатории цифровой криминалистики Group-IB Олег Скулкин оценил рост атак с использованием шифровальщиков на российские компании после 24 февраля в 200%, при этом мотив злоумышленников не является финансовым: "Нужно различать атаки с использованием программ-вымогателей, где основная мотивация - финансовая выгода, и атаки с целью уничтожения компьютерной информации, где мотивацией является саботаж. Иногда различить такие атаки бывает сложно, но разница в мотивации очень велика. Рост внимания к таким атаках в западных странах был связан с тем, что многие группы с 2019 года начали публиковать данные о жертвах на так называемых DLS (Dedicated Leak Site, сайт для публикации выгруженных данных), поэтому получить данные о жертвах было довольно легко всем желающим. Группы, атаковавшие организации в России такой подход не использовали, поэтому в публичное поле информация о них зачастую не попадала". Руководитель группы исследования угроз Positive Technologies Денис Кувшинов, однако, не видит в сложившейся ситуации ничего принципиально нового: "Российские компании и раньше подвергались атакам шифровальщиков. Нельзя говорить, что это что-то новое. Сейчас нужно предусмотреть все возможные сценарии атак на организации. И атаки с использованием шифровальщиков входит в их число". Меры, которые рекомендует предпринять НКЦКИ, делятся на первоочередные и жесткие. В первую очередь рекомендуется проводить регулярное резервное копирование и убедиться в том, что данные корректно восстанавливаются, а также ограничить доступ к резервным копиям нескольким выделенным сотрудникам. Другой рекомендацией из разряда первоочередных является ограничение сетевой связности на уровне подразделений, усилить защиту систем централизованного управления ИТ-инфраструктурой, провести аудит систем периметровой защиты, устранить известные уязвимости, провести обучение сотрудников, актуализировать используемые средства защиты, включая антивирусные средства, межсетевые экраны, песочницы. Меры из разряда жестких НКЦКИ предлагает использовать с осторожностью, поскольку их внедрение, как предупреждают авторы бюллетеня, ведет к заметному снижению удобства работы. Они включают, например, полный запрет на открытие ссылок и вложений в сообщениях электронной почты, отключить гостевой доступ к беспроводной сети, ограничить использование личных устройств сотрудников, прежде всего, в качестве точек доступа, ограничить перечень разрешенных внешних ресурсов исключительно теми, которые внесены в "белый список", сменить пароли всех учетных записей. Полную версию данного документа можно найти по адресу https://safe-surf.ru/upload/ALRT/ALRT-20220325.2.pdf . Денис Кувшинов также предупреждает, что шифровальщик может попасть на компьютер несколькими путями, которые необходимо перекрыть: "Возможно заражение через фишинговые сообщения, через взломанный сервер на периметре организации, через зараженное ПО В случае с почтой хорошим средством защиты станет песочница. На конечных устройствах пользователей будет полезен EDR (Endpoint Detection and Response) или антивирус. В общих рекомендациях стоит добавить использование систем для обнаружения киберугроз и реагирования на них (XDR, Extended Detection and Response), хранение актуальных бэкапов критичных узлов на отдельном сервере, для того чтобы в случае успешной работы шифровальщика можно было оперативно восстановить информацию". Со-основатель и генеральный директор компании "Антифишинг" Сергей Волдохин в ходе вебинара, посвященного результатам очередного исследования, посвященного борьбе с фишинговыми атакам, обратил внимание на важность мероприятий по обучению пользователей. Только таким образом можно избегать того, что сотрудники пойдут на поводу у организаторов фишинговых атак, которые используются в том числе и для того, чтобы запустить программный зловред. По итогам 2021 года, по данным исследования компании "Антифишинг", именно фишинг использовался в ходе 42% атак. По данным Solar JSOC, доля фишинга в общем объеме атак достигает 60% (см. новость ComNews от 17 марта 2022 г.). Руководитель направления аналитики внешних угроз Solar JSOC Александр Ненахов на вебинаре "Кто и как угрожает российским финансовым компаниям в киберпространстве?" обратил внимание на то, что организаторы фишинговых атак все более тщательно планируют свои акции, активно эксплуатируя актуальную повестку аудитории в каждой стране или даже отдельной компании. А в последний месяц, как подчеркнул Сергей Волдохин, соответствующие методы используются и для политически мотивированных веерных атак на российские компании, в том числе из разряда тех, которые никогда раньше не попадали в поле зрения киберпреступников. Ссылка на источник