Програми-вимагачі лише сповзли з першої позиції за кількістю атак у другому кварталі. У третьому кварталі звіту Cisco Talos зазначено, що вперше освіта є сектором, який найбільше постраждав від кібератак – програм-вимагачів.
Згідно з аналізом Cisco Talos Incident Response (CTIR), програми-вимагачі повернулися на перше місце серед усіх кібератак у третьому кварталі 2022 року. Як і в першому кварталі, найпоширенішим методом нападу були спроби шантажу. Крім відомих представників програм-вимагачів, таких як Hive і Vice Society, використовувалися нові варіанти, такі як Black Basta. Також відбулися зміни в секторах, які найбільше постраждали: освіта замінила телекомунікаційний сектор.
Список атак: освіта, потім фінанси
Talos, одна з найбільших у світі комерційних організацій розвідки про загрози, опублікувала щоквартальну оцінку загроз за третій квартал 2022 року. Згідно з цим, зловмисники найчастіше націлювалися на освітню сферу, за нею йшли фінанси, уряд та енергетика.
«Вперше у 2022 році телекомунікаційний сектор більше не був найбільш атакуваною галуззю», — сказав Хольгер Унтербрінк, технічний керівник Cisco Talos у Німеччині. «Це може означати, що компанії в усьому світі значно посилили свої захисні заходи і тому є менш прибутковими мішенями для зловмисників. Зараз система освіти, державний сектор і постачальники енергії повинні посилити свій захист, особливо за допомогою багатофакторної автентифікації та рішень для виявлення загроз».
Старі та нові програми-вимагачі
🔎 У 3-му кварталі звіту Talos програми-вимагачі знову є загрозою №1 серед атак (Зображення: Cisco).
У третьому кварталі Talos все частіше спостерігав атаки через відомі сімейства програм-вимагачів Hive і Vice Society. Vive Society непропорційно часто використовувався для кібератак на навчальні заклади, про що свідчить випадок з Австрії. Проаналізувавши журнали подій, дослідники безпеки Talos виявили численні спроби зараженого хоста підключитися до інших частин мережі через протокол віддаленого робочого столу (RDP). Це свідчило про так званий «боковий рух» зловмисників. Мається на увазі спроба хакера зі зламаної системи знайти інформацію користувача з авторизаціями доступу на клієнтських комп’ютерах, за допомогою яких він може потім пересуватися по мережі.
Talos також виявив індикатори використання програмного забезпечення віддаленого доступу AnyDesk і TeamViewer, з більш ніж 50 системами, які отримують доступ до пов’язаних з TeamViewer URL-адрес. При цьому Windows Defender доповнили виключенням для виконання «AnyDesk.exe» через обліковий запис SYSTEM.
Програма-вимагач Black Basta на передовій
Окрім відомих сімейств програм-вимагачів, все частіше використовувався новий варіант Black Basta, який вперше з’явився у квітні 2022 року. Наприклад, їх впровадження було підготовлено діями Qakbot, які використовували викрадення потоків і захищені паролем ZIP-файли. Під час атаки на американську компанію зловмисники, ймовірно, спочатку надіслали фішинговий електронний лист із вкладенням HTML. Під час відкриття він ініціював JavaScript, який потім завантажував шкідливий ZIP-файл. Потім було встановлено троян Qakbot, який зловмисники використали для запуску програми-вимагача Black Basta. Техніка подвійного шантажу, заснована на цьому, є особливо віроломною: якщо жертва не заплатить викуп за свої зашифровані файли, існує ризик того, що зібрана конфіденційна інформація буде опублікована.
Результати Talos чітко показують, що загрозу, яку представляють програми-вимагачі, не вдалося запобігти. У звіті вперше зафіксовано рівну кількість випадків програм-вимагачів і програм-вимагачів, що були перед ними, у третьому кварталі, що разом становить майже 40 відсотків загроз. Діяльність перед програмою-вимагачем готує програму-вимагач для подальшого розгортання, як у випадку Black Basta, описаному вище.
Хоча кожна діяльність, що призводить до загрози програм-вимагачів, унікальна, є спільні риси. До них належать нумерація хостів, збір облікових даних і підвищення привілеїв. Якщо згодом не використати програми-вимагачі, можливо, зловмисник вкрав достатньо даних, щоб завдати значної шкоди.
Більше на Cisco.com
Про Cisco
Cisco є провідною світовою технологічною компанією, яка робить Інтернет можливим. Cisco відкриває нові можливості для додатків, безпеки даних, трансформації інфраструктури та розширення можливостей команд для глобального та інклюзивного майбутнього.