Федеральное бюро расследований США забило тревогу: злоумышленники всё чаще атакуют одну и ту же жертву не одним, а сразу двумя разными семействами шифровальщиков. По данным ведомства, тенденция прослеживается как минимум с июля 2023 года.
Что происходит
В официальном предупреждении ФБР сообщается, что киберпреступники разворачивают в сети скомпрометированной компании две разные версии вымогательского ПО из следующего списка: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum и Royal. Комбинации варьируются — атакующие используют разные пары штаммов в зависимости от ситуации.
Точных данных о масштабе явления пока нет, но известно, что вторая атака обычно происходит вскоре после первой — с разницей от 48 часов до 10 дней.
Ещё одна заметная перемена в тактике вымогателей — более активное применение кастомных инструментов кражи данных и вайперов (программ для уничтожения информации), которые используются для дополнительного давления на жертву.
«Использование двух вариантов шифровальщиков одновременно приводит к сочетанию шифрования данных, эксфильтрации и финансовых потерь от выплаты выкупа, — говорится в предупреждении ФБР. — Повторная атака на уже скомпрометированную систему может нанести жертве значительно больший ущерб».
Не новое явление
Двойные атаки шифровальщиками — не изобретение 2023 года: подобные случаи фиксировались ещё в мае 2021-го. В прошлом году компания Sophos рассказывала о тройной атаке на неназванного автопроизводителя-поставщика: за две недели, с апреля по май 2022 года, компанию последовательно атаковали операторы Lockbit, Hive и BlackCat.
Ранее в этом же месяце Symantec подробно описала атаку шифровальщика 3AM на неназванную жертву — она случилась после того, как у атакующих не получилось развернуть в сети компании LockBit.
Почему так происходит
Смена тактики связана с несколькими факторами: злоумышленники активнее эксплуатируют уязвимости нулевого дня, а на рынке киберпреступности растёт число брокеров первоначального доступа и партнёрских программ. Такие брокеры перепродают доступ к взломанным системам сразу нескольким группировкам, которые затем поочерёдно разворачивают в сети свои штаммы вредоносного ПО.
Рекомендации ФБР
Ведомство советует компаниям укреплять защиту следующим образом:
- хранить резервные копии в офлайне;
- контролировать внешние удалённые подключения и использование RDP (протокола удалённого рабочего стола);
- внедрить многофакторную аутентификацию, устойчивую к фишингу;
- регулярно проводить аудит учётных записей пользователей;
- сегментировать сеть, чтобы ограничить распространение шифровальщика в случае взлома.
Источник: The Hacker News.