ФБР предупреждает: компании всё чаще атакуют двумя шифровальщиками подряд

Федеральное бюро расследований США забило тревогу: злоумышленники всё чаще атакуют одну и ту же жертву не одним, а сразу двумя разными семействами шифровальщиков. По данным ведомства, тенденция прослеживается как минимум с июля 2023 года.

Что происходит

В официальном предупреждении ФБР сообщается, что киберпреступники разворачивают в сети скомпрометированной компании две разные версии вымогательского ПО из следующего списка: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum и Royal. Комбинации варьируются — атакующие используют разные пары штаммов в зависимости от ситуации.

Точных данных о масштабе явления пока нет, но известно, что вторая атака обычно происходит вскоре после первой — с разницей от 48 часов до 10 дней.

Ещё одна заметная перемена в тактике вымогателей — более активное применение кастомных инструментов кражи данных и вайперов (программ для уничтожения информации), которые используются для дополнительного давления на жертву.

«Использование двух вариантов шифровальщиков одновременно приводит к сочетанию шифрования данных, эксфильтрации и финансовых потерь от выплаты выкупа, — говорится в предупреждении ФБР. — Повторная атака на уже скомпрометированную систему может нанести жертве значительно больший ущерб».

Не новое явление

Двойные атаки шифровальщиками — не изобретение 2023 года: подобные случаи фиксировались ещё в мае 2021-го. В прошлом году компания Sophos рассказывала о тройной атаке на неназванного автопроизводителя-поставщика: за две недели, с апреля по май 2022 года, компанию последовательно атаковали операторы Lockbit, Hive и BlackCat.

Ранее в этом же месяце Symantec подробно описала атаку шифровальщика 3AM на неназванную жертву — она случилась после того, как у атакующих не получилось развернуть в сети компании LockBit.

Почему так происходит

Смена тактики связана с несколькими факторами: злоумышленники активнее эксплуатируют уязвимости нулевого дня, а на рынке киберпреступности растёт число брокеров первоначального доступа и партнёрских программ. Такие брокеры перепродают доступ к взломанным системам сразу нескольким группировкам, которые затем поочерёдно разворачивают в сети свои штаммы вредоносного ПО.

Рекомендации ФБР

Ведомство советует компаниям укреплять защиту следующим образом:

  • хранить резервные копии в офлайне;
  • контролировать внешние удалённые подключения и использование RDP (протокола удалённого рабочего стола);
  • внедрить многофакторную аутентификацию, устойчивую к фишингу;
  • регулярно проводить аудит учётных записей пользователей;
  • сегментировать сеть, чтобы ограничить распространение шифровальщика в случае взлома.

Источник: The Hacker News.