Внешние сервисы удаленного доступа по-прежнему являются основным вектором для групп вымогателей, взламывающих корпоративные сети. Более того, наблюдается заметный всплеск использования фишинга и уязвимостей в общедоступном приложении для кражи данных и вымогательства.
По данным компании Group-IB, злоумышленники нацелены на серверы удаленных рабочих столов (Remote Desktop Protocol, RDP) для первоначального доступа в сеть. Также злоумышленники часто используют скомпрометированные учетные данные для атаки на инфраструктуру изнутри.
Согласно отчету Group-IB , в прошлом году банды вымогателей разработали эксплойты для недавно обнаруженных проблем безопасности в общедоступных приложениях. Среди наиболее используемых уязвимостей являются:
CVE-2021-20016
(SonicWall SMA100 SSL VPN);
CVE-2021-26084 (Atlassian Confluence);
CVE-2021-26855
(Microsoft Exchange);
CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 и CVE-2021-27104 (Accellion FTA);
CVE-2021-30116 (Kaseya VSA);
CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207 (Microsoft Exchange);
CVE-2021-35211
(SolarWinds).
Согласно недавнему совместному отчету Cyber Security Works, Securin, Cyware и Ivanti, количество уязвимостей, связанных с атаками программ-вымогателей, выросло до 310 в первом квартале 2022 года. Однако, не все ошибки являются новыми. Половина уязвимостей были обнаружены ещё в 2019 году. Для многих из них существуют общедоступные эксплойты, которые значительно облегчают работу злоумышленников.
По сообщениям Group-IB группировки опубликовали информацию 3500 жертв, 1655 жертв оказались из США. Самыми агрессивными кампаниями в 2021 году были LockBit (670 жертв), Conti (640 жертв) и Pysa (186 жертв).
Согласно исследованию компании по цифровой криминалистике и реагированию на инциденты (Digital Forensics and Incident Response, DFIR) из 700 кибератак в прошлом году в 63% случаев произошла утечка данных. В прошлом году средняя сумма выкупа составила $247 тыс. Эксфильтрация данных остается мощной тактикой хакеров, некоторые группировки даже создали собственные инструменты для продажи своим партнерам.
Среди методов злоумышленников находится использование интерпретаторов команд и сценариев, а также удаленных служб, которые являются частью всех атак. Кроме того, киберпреступники также использовали различные методы для обнаружения удаленных систем, кражи учетных данных и отключения средств безопасности.
Из самых используемых инструментов самым популярным является SoftPerfect Network Scanner. На втором месте распространенный инструмент для этапов пост-эксплуатации Cobalt Strike Beacon с широким спектром действий (выполнение скрипта, кейлоггинг, загрузка файлов).
По словам главы группы DFIR Олега Скулкина, слияние тактик, методов и процедур (Tactics, Techniques, and Procedures, TTP) из-за перехода аффилированных лиц от одной операции к другой затрудняет специалистам по безопасности отслеживать методы злоумышленника. Однако, определение основных тенденций с помощью матрицы MITRE ATT@CK должно упростить подготовку к инцидентам с программами-вымогателями.
Источник: SecurityLab