Rambler's Top100
Статьи
Николай НОСОВ  10 марта 2021

Хакеры убивают

Главной проблемой кибербезопасности стали программы-шифровальщики. Четверть атакованных компаний платит выкуп.


Первая смерть из-за программы-вымогателя

Кибератака в сентябре 2020 года привела к отказу информационных систем в крупной больнице в Дюссельдорфе – данные оказались зашифрованы вирусом-вымогателем DoppelPaymer. Женщину, поступившую для срочной госпитализации, пришлось отправить в другой город. По дороге она умерла. Немецкие СМИ объявили, что это первая смерть в результате атаки программы-вымогателя.

Информационные системы больницы вышли из строя на неделю. На одном из тридцати зашифрованных серверов осталась записка с требованиями вымогателей, причем она была обращена не к самой больнице, а к университету Генриха Гейне, к которому больница относится. Полиция Дюссельдорфа установила контакт со злоумышленниками и сообщила им, что пострадала больница, а не университет и что их действия поставили под угрозу жизнь пациентов. После этого преступники прекратили вымогательство и предоставили цифровой ключ для расшифровки данных. Прокуратура начала расследование в отношении неизвестных лиц по подозрению в непредумышленном убийстве по неосторожности.

Ключевые киберугрозы

Повышение рисков в сфере здравоохранения, обусловленное пандемией COVID-19, – один из основных трендов развития киберугроз 2020 года, отмечается в отчете Сisco Secure's Defending Against Critical Threats. Участились атаки на медицинские учреждения с требованием выкупа, компьютерные сети организаций, занимающихся исследованиями в области COVID-19, взламываются с целью кражи их секретов.

Снизилось число классических атак на финансовые организации с последующим выводом украденных средств. Работа дропперов, обналичивающих украденные средства, в условиях локдаунов и пандемии сильно усложнилась, да и уровень защиты финансовых организаций значительно вырос.

Главной проблемой кибербезопасности в 2020 году стали шифровальщики. Общее количество атак уменьшилось, но их опасность увеличилась. Вымогатели стали меньше интересоваться рядовыми пользователями – акцент сместился на предприятия. Доходы при атаке на компании на порядок выше, выплата выкупа – не эмоции, а обычные расходы, диктуемые целесообразностью бизнеса, да и потери часто покрывает страхование киберрисков. В результате, по оценке Cisco, 51% компаний пришлось столкнуться с вымогателями и у 97% из них проникновение в корпоративную сеть заняло в среднем 4 часа.

При атаках на корпоративные сети посредством программ-вымогателей начали применяться новые тактики. Например, злоумышленники встраивают в вымогатели таймеры обратного отсчета с угрозой полного уничтожения данных. Пострадавших шантажируют публикацией интеллектуальной собственности, коммерческих тайн и другой конфиденциальной информации. Данные жертв, отказывающихся платить, выкладывают в интернет или продают на черном рынке для запугивания и демонстрации серьезности намерений. Чаще встречаются объявления о продаже доступа к взломанным сетям.

Экономическая эффективность атак шифровальщиками сильно возросла: по данным Cisco, выкуп платит каждая четвертая успешно атакованная компания, средняя сумма выкупа составила $178 тыс. (для малого бизнеса – $5,9 тыс.), а в даркнете стоимость инструментария для атаки снизилась до $50.

Другой тренд – массовый переход на удаленную  работу, который привел к размыванию периметров безопасности предприятий. По данным Cisco, в России в 24% компаний доля удаленных сотрудников составляет 76–100%, в 31% предприятий работают из дома 51–75% специалистов, в 27% предприятий удаленный формат взаимодействия используют 26–50% работников.

Зачастую удаленная работа с информационной системой предприятия ведется с помощью недостаточно защищенных домашних устройств. При успешной атаке на них злоумышленник крадет идентификационные данные, которые могут храниться в памяти, базах данных или в конфигурационных файлах. При помощи легальных паролей хакер получает незаметный доступ к сети организации. Кража – второй по распространенности после фишинга способ завладеть учетными записями, используемыми злоумышленниками для взлома.

Каналы распространения

Как и прежде, основным каналом распространения зловредного ПО являются электронные письма. Но в последнее время их роль снизилась, поскольку общение стало смещаться в мессенджеры и социальные сети. Зато с переходом на удаленную работу резко возросло число атак через протокол RDP (Remote Desktop Protocol), причем этот канал доставки зловредов вышел на второе место. 

На третьей позиции находятся классические атаки drive-by download, когда человек, не понимая последствий, загружает программное обеспечение из интернета. 

Получила дальнейшее развитие специализация злоумышленников. Одни осуществляют проникновение в сеть жертвы, другие – непосредственно атаку, в том числе с помощью программ-вымогателей по сервисной модели (Ransomware-as-a-Service), платя комиссию с полученного выкупа предоставившим доступ злоумышленникам.

Сохранили свое значение и традиционные способы реализации киберугроз: использование слабых паролей и уязвимостей, USB-устройств и машинных носителей, вредоносной рекламы и сетевых червей.

В связи с нашумевшим делом SolarWinds отдельного упоминания заслуживает способ проникновения через цепочку поставок (supply chain). Отвечая на вопрос нашего издания, бизнес-консультант по безопасности Cisco Алексей Лукацкий сообщил, что и в России есть компании, пострадавшие от атаки  на SolarWinds, во всяком случае выявившие у себя после обновления программного обеспечения упоминавшуюся в прессе уязвимость.

Российские компании уже сталкивались с атаками через цепочку поставок. Например, заражались шифровальщиком NotPetya, распространявшимся через обновление бухгалтерской программы M.E.Doc. Российские пользователи популярного приложения CCleaner пострадали после взлома сайта чешской компании Avast, с которого загружалось средство для оптимизации и «чистки» ОС семейства Windows. 

«Атака через цепочку поставок – один из трендов. Но такой путь пока нельзя назвать массовым. Это специфические атаки через множество промежуточных звеньев, не всегда до конца изученные. Компании, в продукцию которых внедрен зловредный код, стремятся как можно быстрее устранить последствия, далеко не во всех случаях проводя полноценное расследование. Например, в инциденте с SolarWinds известны не все факты», – пояснил Алексей Лукацкий. 

Что делать?

Для борьбы с программами-вымогателями Cisco советует осуществлять своевременное обновление и интеграцию используемых ИБ-технологий. Не стоит забывать о регулярном резервном копировании и защите резервных копий от шифровальщиков.
Важно соблюдать принцип нулевого доверия – устройства и приложения подлежат проверке каждый раз, когда требуют доступ к какому-либо корпоративному ресурсу. И следует систематически проводить тщательную инвентаризация активов.

При работе через RDP рекомендуется принимать дополнительные меры защиты: использовать RDP через VPN-соединение, применять многофакторную идентификацию, блокировать доступ после разумного числа неудачных попыток. Удаленным пользователям следует регулярно устанавливать обновления приложений и операционных систем и не прибегать к административному доступу.

Чтобы предотвратить кражу паролей и идентификационных данных, целесообразно вести мониторинг доступа к базам данных сервиса проверки подлинности локальной системы безопасности (Local Security Authority Subsystem Service) и системы управления средой хранения (Storage Area Management), отслеживать аргументы командной строки, используемые в атаках со сбросом учетных данных (credential dumping). Важно анализировать журналы для выявления незапланированной активности на контроллерах домена и выявлять неожиданные и неназначенные соединения с IP-адресов к известным контроллерам доменов.

Одной из основных проблем обеспечения информационной безопасности в России и мире Сisco считает отсутствие целостного взгляда на архитектуру, неполный мониторинг и недостаточную реакцию на инциденты. 

Важный совет – не экономить на информационной безопасности. Согласно отчету Cisco 2021 Data Privacy Benchmark Study, средние годовые расходы на защиту данных в российских организациях, участвовавших в опросе, составили порядка $1,4 млн. При этом выгоды, которые компании получили вследствие усиления защиты данных, российские респонденты оценили в $2,1 млн в год.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!