Програмне забезпечення-вимагач еволюціонувало з часом. Наскільки це добре видно на прикладі атаки програм-вимагачів Colonial Pipeline, яка є лише частиною нової хвилі атак на високопоставлених жертв. Коментар Джона Клея, директора з глобальних комунікацій із загрозами, Trend Micro.
Після кібератаки на один з найбільших бензопроводів у США роботу тимчасово призупинили. Зловмисники прагнуть якомога вищої винагороди за здирництво, тому вони націлюються на організації, які готові заплатити більше, якщо вони порушать їхні операції. Раніше це спостерігалося у жертв з державного та освітнього секторів. Чим більше страждань злочинці можуть заподіяти організації, тим більша ймовірність, що жертва заплатить. Що можуть зробити компанії?
Атаки програм-вимагачів пройшли багато етапів, і зараз ми спостерігаємо фазу 4:
1 фаза: Просто програма-вимагач, файли шифруються, потім створюється повідомлення про викуп... і потім очікується платіж у біткойнах.
2 фаза: Подвійне вимагання. Фаза 1 + викрадання даних і загроза розголошення. Maze був першим програмним забезпеченням-вимагачем, яке зробило це, і інші групи учасників наслідували його приклад.
3 фаза: Потрійне вимагання. Фаза 1 + Фаза 2 і загроза DDoS. Аваддон був першим задокументованим випадком.
4 фаза: Чотириразовий шантаж. Фаза 1 + (можливо, фаза 2 або фаза 3) + пряма розсилка клієнтській базі жертви. Cl0p вперше використовувався таким чином, описав Браян Кребс.
Сьогодні це здебільшого подвійне вимагання, але ми бачимо зсув у бік націлювання на критично важливі бізнес-системи. У цьому нещодавньому випадку в США жодна OT-система, здається, не постраждала, але ІТ-системи, підключені до мережі, ймовірно, були ціллю. Однак це може змінитися, оскільки багато організацій мають мережу OT, яка має вирішальне значення для їхніх операцій і тому може стати мішенню. Ми вже описували, як сучасні програми-вимагачі атакують виробничі компанії та який це вплив.
наслідки для компаній
Збій систем, які контролюють повсякденну роботу компанії, може завдати фінансової та репутаційної шкоди. Але атака також може мати непередбачені наслідки, якщо націлитися надто помітно, і атака Colonial Pipeline може бути прикладом. Знищення важливої частини критично важливої інфраструктури країни, навіть якщо мотивом є «тільки» фінансова вигода, може призвести до серйозних заходів проти тих, хто стоїть за нападом. Тож у майбутньому зловмисникам може знадобитися оцінити потенційний вплив атаки на їхню ціль і вирішити, чи доцільно запускати атаку.
Відповідні контрзаходи
Програми-вимагачі продовжуватимуть використовуватися в майбутньому. Таким чином, організації повинні витратити час на створення плану реагування на інциденти, який стосується нової моделі атак програм-вимагачів. Слід врахувати кілька речей:
- Прийміть те, що ваш бізнес може стати жертвою. Будь-яка організація потенційно може опинитися на радарі зловмисників, але ті, хто працює в критичній інфраструктурі, тепер повинні оцінити ймовірність атаки.
- Access-as-a-Service тепер використовується регулярно. У цьому випадку інша група зазвичай здійснює перший доступ і продає його іншій групі. Рішучі зловмисники завжди знайдуть шлях до вашої мережі, будь то через фішинг, вразливу систему, піддану Інтернету, або атаку на ланцюг постачання.
- Зловмисне використання законних інструментів є однією з найпопулярніших тактик у циклі атаки.
- Цільовими є облікові дані ваших важливих адміністраторів і програм.
- Актори програм-вимагачів намагаються викачати дані, які, здається, піддаються подвійному шантажу.
- Компонент програми-вимагача буде останнім варіантом у зловмисній діяльності, оскільки він є найбільш помітною частиною циклу атаки та показує жертві, що систему було зламано.
Компанії, які експлуатують мережі OT, повинні подумати про наступні моменти:
- Зрозумійте ризики, якщо ваша мережа OT вийде з ладу.
- Налаштуйте модель безпеки для пристроїв у мережі OT, особливо тих, які не підтримують агента безпеки.
- Сегментація мережі має вирішальне значення.
- Якщо вашу мережу OT необхідно вимкнути через компрометацію ІТ-мережі, вам слід подумати, як подолати це обмеження.
Ця остання атака є ще одним тривожним сигналом для всіх організацій, щоб захистити свої мережі від атак і покращити свою обізнаність, коли зловмисники знаходяться в їхній мережі. У нас є багаторівнева платформа кібербезпеки Trend Micro Vision One, яка може допомогти покращити виявлення та реагувати на останні атаки програм-вимагачів і підвищити видимість.