Серія кібератак на об’єкти критичної інфраструктури – KRITIS – схоже не припиняється. На початку лютого хакерська атака підхопила швейцарську компанію Swissport і порушила польоти в Швейцарії, після чого послідувала атака програм-вимагачів на резервуарний парк Oiltanking у Німеччині, атаки на SEA-Invest у Бельгії та Evos у Нідерландах. Деякі експертні коментарі.
«Кібер-зловмисники часто націлюють свої атаки там, де вони можуть найбільше зашкодити бізнесу. Таким чином, жертва може бути більш готовою заплатити викуп, щоб повернути свої системи онлайн. З цієї причини критична інфраструктура, лікарні, транспортні вузли та міські електромережі часто фігурують у новинах про атаки програм-вимагачів. Зловмисники завжди знайдуть способи створити ситуацію тиску, яка їм вигідна.
Зловмисники завжди знаходять нові шляхи
Хендрік Шлесс, старший менеджер із рішень безпеки, Lookout (Зображення: Lookout).
Програмне забезпечення-вимагач не є новою загрозою, але тактика, яку використовують зловмисники, щоб проникнути в корпоративну інфраструктуру та заморозити або викрасти ресурси, швидко розвивається. Багато років тому зловмисники використовували тактику грубої сили, щоб знайти невелику вразливість у компанії, а потім використовувати її для захоплення інфраструктури. Сьогодні для кіберзлочинців існують набагато більш приховані способи проникнення в інфраструктуру. Найчастіше вони з’ясовують, як скомпрометувати обліковий запис співробітника, щоб увійти за допомогою законних облікових даних, які не викликають підозр.
Облікові дані часто викрадають під час фішингових атак на мобільних пристроях. На смартфонах і планшетах зловмисники мають незліченну кількість можливостей для соціальної інженерії за допомогою SMS, сторонніх чат-платформ і програм соціальних мереж. Окрім захисту кінцевої точки, організації також повинні мати можливість динамічно захищати доступ і дії в хмарних і приватних програмах. Саме тут вступають у гру рішення Zero Trust Network Access (ZTNA) і Cloud Access Security Broker (CASB). Розуміючи взаємодію між користувачами, пристроями, мережами та даними, організації можуть виявити ключові індикатори компрометації, які вказують на програмне забезпечення-вимагач або масове викрадання даних. Захист мобільних пристроїв співробітників, а також хмарних і персональних додатків разом допомагає компаніям створити надійну безпеку на основі філософії нульової довіри».
Хендрік Шлесс, старший менеджер із рішень безпеки в постачальнику безпеки пильність
Бізнес-модель програми-вимагача залишається прибутковою
Vectra AI, Фабіан Гентінетта (Зображення: Vectra AI).
«Програми-вимагачі є домінуючою бізнес-моделлю серед груп, які здійснюють кібератаки з метою отримання прибутку. Те, що ми бачимо з нещодавньою хвилею нападів, полягає в тому, що обмежені правоохоронні органи не вирішать проблему і, безумовно, не зроблять це миттєво. Але Swissport, схоже, стримував атаку з мінімальною шкодою для своїх операційних можливостей, що говорить про те, що програми-вимагачі не є схемою «все або нічого» — «успішна, але обмежена атака програм-вимагачів» — це термін, з яким ми знайомі. сподіваюся, ми побачимо більше.
Виявлення та видалення зловмисників з мережі стає щоденним оперативним завданням у багатьох організаціях. Хоча атаку не було зупинено до шифрування, Swissport, схоже, швидко стримав її та успішно обмежив шкоду. Найважливішими, особливо для критичних інфраструктур, є швидкі та функціональні процеси резервного копіювання, як вражаюче продемонстрував Swissport».
Фабіан Гентінетта з Cyber Security Expert Vectra AI
Шкода від програм-вимагачів може бути величезною
«Ми бачили, якої шкоди можуть завдати атаки програм-вимагачів, коли бізнес не працює, що, у свою чергу, впливає на ланцюг поставок і життя громадян. Нещодавні атаки на Oiltanking у Німеччині, SEA-Invest у Бельгії та Evos у Нідерландах та Swissport викликають занепокоєння, але говорити про скоординовані атаки держав передчасно. Найімовірнішим сценарієм є те, що зловмисники працюють із базою даних, яка містить схожі цілі, і своїми зусиллями влучили в ціль.
Хоча для розкриття подробиць атаки можуть знадобитися місяці, перші звіти свідчать про те, що BlackCat, який вважається новим брендом BlackMatter, може бути відповідальним за атаки на паливну промисловість по всій Європі. В іншому випадку цього тижня KP Foods також стала жертвою програм-вимагачів, а Конті звинувачують у збоях. Що ми знаємо про ці дві групи хакерів, так це те, що вони працюють за бізнес-моделлю програм-вимагачів як послуг (RaaS). Це означає, що це організована злочинність з базами даних жертв і численними партнерами. Вони не прив’язуються до певної групи програм-вимагачів, але часто працюють із кількома групами та використовують потужних ботів для автоматизації поширення шкідливих програм.
Бернард Монтел, технічний директор у регіоні EMEA та стратег із безпеки компанії Tenable (Зображення: Tenable).
Боти підсилюють ефект
З точки зору потерпілого фактично неважливо, хто відповідальний, тим паче, що це стане відомо лише через кілька місяців. Однак важливим питанням є те, як відбулися атаки. У більшості випадків, як у випадку з BlackMatter і Conti, це відома вразливість, яка дозволяє зловмисному програмному забезпеченню проникати в інфраструктуру та шифрувати системи. BlackMatter відомий тим, що націлений на програмне забезпечення для віддаленого робочого столу та використовує раніше зламані облікові дані, тоді як Conti відомий тим, що використовує такі вразливості, як Zerologon (CVE-2020-1472), PrintNightmare (CVE-2021-1675, CVE-2021-34527) і EternalBlue (CVE). -2017-0143, CVE-2017-0148). Іншим напрямком атаки є використання неправильних конфігурацій в Active Directory, і Conti, і BlackMatter, як відомо, використовують цю тактику.
Організації повинні знати, що основні принципи безпеки можуть значною мірою блокувати шлях атаки програм-вимагачів. Команди безпеки повинні розгортати рішення, які забезпечують належну видимість, безпеку та контроль над хмарою та конвергентною інфраструктурою. Я закликаю бізнес: визначте критичні системи, від яких залежить його функціонування. Визначте будь-які вразливі місця, що впливають на ці системи, а потім вживіть заходів для виправлення або усунення ризику. Крім того, подбайте про надмірні привілеї в Active Directory, які дозволяють зловмисникам підвищити свої привілеї та ще більше проникнути в інфраструктуру! Якщо не вжити цих основних заходів, компанія стає вразливою та піддається ризику зриву, хто б не атакував».
Бернар Монтел, технічний директор і стратег безпеки в регіоні EMEA Відхильний