ФБР предупредило о новой тенденции в атаках с использованием программ-вымогателей, когда в сети жертв внедряются несколько штаммов, которые шифруют системы менее чем за два дня.
Предупреждение ФБР выпущено в форме частного отраслевого уведомления, вызванного тенденциями, наблюдаемыми с июля 2023 года.
Федеральное правоохранительное ведомство поясняет, что аффилированные лица и операторы программ-вымогателей используют два различных варианта, нацеленных на организации-жертвы. К числу вариантов, используемых для атак с использованием двух вариантов вымогательского ПО, относятся AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum и Royal.
"Использование двух вариантов ransomware приводило к шифрованию, эксфильтрации данных и финансовым потерям в результате выплаты выкупа", - заявили в ФБР.
"Повторные атаки ransomware на уже скомпрометированную систему могут нанести значительный ущерб компаниям-жертвам".
48 часов между атаками ransomware
В отличие от прошлых лет, когда для осуществления подобных атак группам разработчиков ransomware обычно требовалось не менее 10 дней, сейчас, по данным ФБР, подавляющее большинство атак ransomware на одну и ту же жертву происходит в течение всего 48 часов.
Генеральный директор и соучредитель компании Coveware Билл Сигел также рассказал Герман Геншин, что двойное шифрование существует уже много лет, и некоторые компании сталкиваются с повторным вымогательством, поскольку угрожающий субъект не предоставляет дешифраторы для обеих атак с выкупом.
"Есть группы угроз, которые намеренно используют два разных варианта в каждой атаке. Например, мы регулярно видим, как один и тот же участник атаки на одну жертву одновременно использует MedusaLocker и Globemposter", - говорит Сигел.
"Ситуации, когда первоначальный брокер доступа продает доступ к сети двум различным филиалам, использующим различные марки ransomware. Затем оба филиала оказываются в сети, поражая машины, находящиеся в непосредственной близости друг от друга".
Кроме того, ФБР утверждает, что с начала 2022 года многочисленные банды, занимающиеся вымогательством, начали добавлять новый код в свои пользовательские инструменты для кражи данных, программы-чистильщики и вредоносные программы, чтобы избежать обнаружения.
В других случаях вредоносные программы, содержащие функции стирания данных, были настроены таким образом, чтобы оставаться в спящем режиме на скомпрометированных системах до определенного времени. После этого вредоносная программа с периодическими интервалами запускалась на уничтожение данных в сети объекта атаки.
Три взлома за два месяца
По данным специалистов Sophos X-Ops, одна из таких атак, начавшаяся в апреле прошлого года, в течение всего двух месяцев трижды подверглась взлому со стороны аффилированных лиц LockBit, Hive и ALPHV/BlackCat.
Пока пострадавшая организация занималась восстановлением систем, зашифрованных программами LockBit и Hive после первого взлома, филиал ALPHV/BlackCat подключился к ранее взломанным устройствам, чтобы похитить данные и снова заблокировать файлы своим шифровальщиком.
Что еще более усугубило ситуацию, специалисты по реагированию на инциденты обнаружили, что некоторые файлы жертв были зашифрованы до пяти раз.
"Поскольку атака Hive началась через 2 часа после атаки Lockbit, программа-вымогатель Lockbit все еще была запущена - поэтому обе группы продолжали находить файлы без расширения, указывающего на то, что они были зашифрованы", - заявили специалисты Sophos.
Как защититься от атак ransomware
ФБР рекомендует организациям поддерживать тесные связи с полевыми офисами ФБР в своем регионе. Такие связи позволят ФБР оказывать помощь в выявлении уязвимых мест и снижении потенциальных угроз.
Защитникам сетей также рекомендуется применять меры, включенные в опубликованное в четверг уведомление ФБР для частных компаний, чтобы ограничить использование злоумышленниками распространенных методов обнаружения систем и сетей и снизить риск атак с использованием выкупа.
Защитникам рекомендуется поддерживать все системы в актуальном состоянии и проводить тщательное сканирование своих инфраструктур для выявления потенциальных бэкдоров или уязвимостей, введенных злоумышленниками в качестве защитных средств, которые позволят им восстановить доступ к сети в случае блокирования доступа.
Защитники также должны обеспечить безопасность таких сервисов, как VNC, RDP и других решений удаленного доступа, доступных из внешних источников. Доступ должен быть ограничен исключительно через VPN и предоставляться только учетным записям с надежными паролями и усиленной многофакторной аутентификацией (MFA).
Еще одна рекомендуемая практика - сегментация сети, когда критически важные серверы изолируются в виртуальных локальных сетях для повышения уровня безопасности. Кроме того, для выявления устройств, уязвимых к эксплуатации из-за отсутствия необходимых исправлений, важно проводить комплексное сканирование и аудит всей сети.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
