ФБР предупреждает: хакеры атакуют жертв сразу двумя шифровальщиками

ФБР зафиксировало новую тревожную тенденцию в атаках вымогателей и призвало организации пересмотреть меры защиты. По данным бюро, в июле 2023 года наблюдались сразу два тренда: злоумышленники стали проводить по нескольку атак на одну и ту же жертву подряд, а также стали активнее применять новые методы уничтожения данных.

Двойной удар вместо одного

Атакующие всё чаще заражают одну и ту же компанию двумя разными штаммами шифровальщиков из следующего списка: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum и Royal. Комбинации вариантов используются в разных сочетаниях и приводят к шифрованию данных, их краже (эксфильтрации) и, как следствие, к прямым финансовым потерям пострадавших организаций. Повторные атаки на уже скомпрометированные системы наносят особенно серьёзный урон — жертва ещё не успевает восстановиться после первого инцидента, как её поражает вторая волна.

ФБР отмечает, что ещё в начале 2022 года группировки-вымогатели стали активнее применять кастомные инструменты для кражи данных и вайперы (программы для стирания информации), чтобы усилить давление на жертв. В течение 2022 года хакеры также усовершенствовали инструменты для похищения данных, научившись обходить средства обнаружения, а в некоторых случаях внедряли «спящее» вредоносное ПО, которое активировалось по расписанию и целенаправленно повреждало данные.

Как управлять доступом

Бюро рекомендует компаниям пересмотреть подход к идентификации и управлению доступом:

  • ввести обязательные стандарты NIST для паролей всех учётных записей — сервисных, административных и доменных;
  • внедрить устойчивую к фишингу двухфакторную аутентификацию для всех сервисов, особенно для веб-почты, VPN и доступа к критически важным системам;
  • регулярно проверять контроллеры доменов, серверы, рабочие станции и Active Directory на наличие незнакомых учётных записей;
  • пересматривать административные аккаунты и применять принцип минимальных привилегий;
  • ограничивать административный доступ по времени.

ФБР призывает сообщать о подозрительной или преступной активности в местное отделение бюро или через сайт ic3.gov, указывая дату, время, место, тип активности, задействованное оборудование, название компании и контактные данные. Борьбой с растущей волной атак на критическую инфраструктуру США занимается совместная рабочая группа по вымогательскому ПО (Joint Ransomware Task Force, JRTF), которую возглавляют CISA и ФБР.

Что рекомендуют для защиты

Список мер, которые бюро считает базовыми для снижения риска:

  • хранить офлайн-резервные копии данных, шифровать и делать их неизменяемыми (immutable);
  • тщательно оценивать безопасность соединений со сторонними поставщиками;
  • применять политики разрешённого запуска программ и удалённого доступа;
  • отслеживать внешние удалённые подключения, документировать одобренные решения и устранять несанкционированные установки;
  • иметь готовый план восстановления и сегментировать сеть;
  • использовать мониторинг сети для выявления признаков атак шифровальщиков;
  • развернуть, обновлять и держать активным антивирус в режиме реального времени на всех хостах;
  • защищать и внимательно контролировать использование RDP;
  • своевременно обновлять операционные системы, приложения и прошивки;
  • отключать неиспользуемые порты и протоколы;
  • добавлять предупреждающий баннер во входящие письма и отключать гиперссылки в них;
  • ограничивать возможности командной строки и скриптов;
  • корректно настраивать устройства и включать все доступные функции безопасности;
  • ограничивать протокол SMB только необходимыми серверами и отключать его устаревшие версии, чтобы затруднить распространение вредоносного ПО по сети.

Источник: Cybersecurity News.