ФБР зафиксировало новую тревожную тенденцию в атаках вымогателей и призвало организации пересмотреть меры защиты. По данным бюро, в июле 2023 года наблюдались сразу два тренда: злоумышленники стали проводить по нескольку атак на одну и ту же жертву подряд, а также стали активнее применять новые методы уничтожения данных.
Двойной удар вместо одного
Атакующие всё чаще заражают одну и ту же компанию двумя разными штаммами шифровальщиков из следующего списка: AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum и Royal. Комбинации вариантов используются в разных сочетаниях и приводят к шифрованию данных, их краже (эксфильтрации) и, как следствие, к прямым финансовым потерям пострадавших организаций. Повторные атаки на уже скомпрометированные системы наносят особенно серьёзный урон — жертва ещё не успевает восстановиться после первого инцидента, как её поражает вторая волна.
ФБР отмечает, что ещё в начале 2022 года группировки-вымогатели стали активнее применять кастомные инструменты для кражи данных и вайперы (программы для стирания информации), чтобы усилить давление на жертв. В течение 2022 года хакеры также усовершенствовали инструменты для похищения данных, научившись обходить средства обнаружения, а в некоторых случаях внедряли «спящее» вредоносное ПО, которое активировалось по расписанию и целенаправленно повреждало данные.
Как управлять доступом
Бюро рекомендует компаниям пересмотреть подход к идентификации и управлению доступом:
- ввести обязательные стандарты NIST для паролей всех учётных записей — сервисных, административных и доменных;
- внедрить устойчивую к фишингу двухфакторную аутентификацию для всех сервисов, особенно для веб-почты, VPN и доступа к критически важным системам;
- регулярно проверять контроллеры доменов, серверы, рабочие станции и Active Directory на наличие незнакомых учётных записей;
- пересматривать административные аккаунты и применять принцип минимальных привилегий;
- ограничивать административный доступ по времени.
ФБР призывает сообщать о подозрительной или преступной активности в местное отделение бюро или через сайт ic3.gov, указывая дату, время, место, тип активности, задействованное оборудование, название компании и контактные данные. Борьбой с растущей волной атак на критическую инфраструктуру США занимается совместная рабочая группа по вымогательскому ПО (Joint Ransomware Task Force, JRTF), которую возглавляют CISA и ФБР.
Что рекомендуют для защиты
Список мер, которые бюро считает базовыми для снижения риска:
- хранить офлайн-резервные копии данных, шифровать и делать их неизменяемыми (immutable);
- тщательно оценивать безопасность соединений со сторонними поставщиками;
- применять политики разрешённого запуска программ и удалённого доступа;
- отслеживать внешние удалённые подключения, документировать одобренные решения и устранять несанкционированные установки;
- иметь готовый план восстановления и сегментировать сеть;
- использовать мониторинг сети для выявления признаков атак шифровальщиков;
- развернуть, обновлять и держать активным антивирус в режиме реального времени на всех хостах;
- защищать и внимательно контролировать использование RDP;
- своевременно обновлять операционные системы, приложения и прошивки;
- отключать неиспользуемые порты и протоколы;
- добавлять предупреждающий баннер во входящие письма и отключать гиперссылки в них;
- ограничивать возможности командной строки и скриптов;
- корректно настраивать устройства и включать все доступные функции безопасности;
- ограничивать протокол SMB только необходимыми серверами и отключать его устаревшие версии, чтобы затруднить распространение вредоносного ПО по сети.
Источник: Cybersecurity News.