Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Угрозы кибербезопасности, затронувшие бизнес в августе 2023 года
Угрозы кибербезопасности быстро растут. В результате руководителям компаний необходимо лучше осознавать потенциальные недостатки их общей стратегии кибербезопасности. Запросы поиска угроз, предлагаемые в рамках услуг SOC компании Marcum Technology, являются ключом к выявлению потенциальных угроз в среде организации.
Ниже приведены четыре основные угрозы, возникшие за последний месяц.
Атаки программ-вымогателей являются растущей проблемой для организаций во всем мире, как по масштабу, так и по серьезности. Группа реагирования на инциденты Microsoft расследовала недавние атаки с использованием программы-вымогателя BlackByte 2.0 и выявила тревожную скорость и разрушительный характер этих кибератак. Результаты показывают, что хакеры могут выполнить весь процесс атаки, от получения первоначального доступа до нанесения значительного ущерба, всего за пять дней. Они быстро проникают в системы, шифруют важные данные и требуют выкуп за их раскрытие. Этот сжатый график представляет собой серьезную проблему для организаций, стремящихся защититься от этих вредоносных операций.
Программа-вымогатель BlackByte используется на заключительном этапе атаки, используя 8-значный цифровой ключ для шифрования данных. Злоумышленники используют мощную комбинацию инструментов и методов, используя неисправленные серверы Microsoft Exchange, чтобы получить доступ и заложить основу для своей вредоносной деятельности. Удаление процессов, стратегии обхода антивирусов, веб-оболочки для удаленного доступа и маяки Cobalt Strike для операций управления и контроля еще больше расширяют их возможности, усложняя защиту организаций от них. Кроме того, киберпреступники используют инструменты «живого за счет земли», чтобы замаскировать свою деятельность и избежать обнаружения. Они модифицируют теневые копии томов на зараженных машинах, чтобы предотвратить восстановление данных через точки восстановления системы, и развертывают специальные бэкдоры для постоянного доступа даже после первоначального взлома.
Поскольку атаки программ-вымогателей становятся все более частыми и изощренными, злоумышленники могут быстро нарушить работу бизнеса, если организации не будут должным образом подготовлены. Серьезность этих атак требует немедленных действий со стороны организаций по всему миру, и в ответ на эти выводы Microsoft предоставляет практические рекомендации. Он поощряет внедрение надежных процедур управления исправлениями для раннего применения критических обновлений безопасности. Включение защиты от несанкционированного доступа также имеет решающее значение, поскольку оно укрепляет решения безопасности против злонамеренных попыток их отключить или обойти. Следуя передовым практикам, таким как поддержание актуальности систем и ограничение административных привилегий, организации могут значительно снизить риск атак программ-вымогателей BlackByte и других подобных угроз.
В ходе недавней кампании, получившей название «Азот», было замечено, что неопубликованная загрузка DLL используется для связи C2. Вместо обычного вектора фишинга атака началась с загрузки со взломанного веб-сайта WordPress. Этот файл представляет собой ISO-образ и содержит установочный файл, который конечный пользователь должен выполнить вручную. Затем установщик приступает к загрузке файла msi.dll и расшифровывает прилагаемый файл данных. Встроенный дистрибутив Python и DLL удаляются для загрузки в путь пользователя C:\Users\Public\Music\python.
Затем вредоносная программа создает запланированное задание: «OneDrive Security Task-S-1-5-21-5678566754-9123742832-2638705499-2003», которое запускает pythonw.exe. Это обеспечивает устойчивость вредоносного ПО. Задание активируется при запуске системы и истекает в полночь 1 декабря 2029 года.
После установления персистенции вредоносное ПО может выполнять свои обязанности. Было замечено, что он использует загрузку неопубликованных DLL для поддержания постоянного соединения с серверами C2 и доходит до того, что извлекает сжатые/закодированные данные, а затем выполняет их локально.
В какой-то момент Cobalt Strike рассматривался как выбранная полезная нагрузка, и похоже, что другие также могут быть реализованы. Это вредоносное ПО, безусловно, может нанести большой вред, но в этой кампании утешением является то, что пользователю приходится вручную запускать файл, загруженный с помощью попутной загрузки со взломанного веб-сайта. Однако это всегда можно осуществить с помощью фишинга, который остается одним из наиболее распространенных способов благодаря своей простоте и эффективности.