­­­­

По данным исследователей Sophos, только 8% жертв программ- вымогателей получают обратно все свои данные после уплаты выкупа.

 Исследователи обнаружили, что в среднем жертвы, которые платят выкуп, восстанавливают около 65% своих данных, в то время как 29% респондентов заявили, что они восстановили менее 50% своих данных. 

Исследователи также обнаружили, что средняя стоимость восстановления после атаки программы-вымогателя выросла более чем на 1 миллион долларов по сравнению с прошлым годом, даже если жертва заплатит выкуп. 

«Выплата выкупа - это лишь часть затрат на устранение атаки», - говорит Sophos. «Хотя количество атак программ-вымогателей и процент атак, в которых злоумышленникам удается зашифровать данные, снизились с прошлого года, общая стоимость устранения атаки программ-вымогателей увеличилась. 

Респонденты сообщили, что средняя стоимость устранения последствий последней атаки с использованием программ-вымогателей (с учетом времени простоя, времени сотрудников, стоимости устройства, стоимости сети, упущенной возможности, уплаченного выкупа и т. Д.) Составила 1,85 миллиона долларов США, что более чем вдвое превышает заявленные расходы в 761 106 долларов США. прошлый год." 

Исследователи подозревают, что рост затрат связан со все более изощренными атаками программ-вымогателей. 

Представители CERT-EU заявили, что только 14 учреждений ЕС использовали версию платформы мониторинга ИТ SolarWinds Orion, которая стала проводником атак на цепочку поставок SolarWinds. 

Осенью 2019 года хакеры, действующие от имени Службы внешней разведки России (СВР), взломали техасского поставщика программного обеспечения SolarWinds и добавили вредоносное ПО в версии приложения Orion, которое было отправлено клиентам в период с марта по июнь 2020 года. 

Отравленное обновление достигло примерно 18 000 клиентов SolarWinds, но хакеры SVR только усилили вторжения внутри сетей важных целей. 

Хотя CERT-EU не назвал шесть агентств ЕС, получивших отравленное обновление, и не сказал конкретно, были ли обнаружены полезные нагрузки второго уровня, они заявили, что для некоторых организаций это было «значительное влияние» и что «некоторые утечки личных данных произошел." 

Разоблачения Великобритании и ЕС подтверждают, что правительство США приняло на себя основную тяжесть атак SolarWinds, при этом количество затронутых федеральных агентств и местных органов власти исчисляется десятками. 

Среди наиболее известных жертв пострадали Государственный департамент, Министерство юстиции, Министерство энергетики, Агентство по кибербезопасности и инфраструктуре и Министерство финансов. 

По данным исследователей из подразделения 42 Palo Alto Networks, за последний год количество фишинговых атак с использованием файлов PDF резко возросло. % рост вредоносных файлов PDF - с 411 800 вредоносных файлов до 5 224 056 », - пишут исследователи. «Файлы PDF - привлекательный вектор фишинга, поскольку они кроссплатформенны и позволяют злоумышленникам взаимодействовать с пользователями, делая их схемы более правдоподобными, чем текстовые сообщения электронной почты с простой ссылкой».

Наиболее распространенная форма фишинговых приманок PDF использует изображение поддельной CAPTCHA, чтобы обманом заставить жертв нажать кнопку «Продолжить», что привело к переходу на вредоносный сайт. В другом варианте использовалось изображение, которое якобы было купоном, и жертвам предлагалось щелкнуть изображение, чтобы получить скидку 50% на продукт.

Третий тип фишинг-атаки PDF использовал изображения, которые выглядели как приостановленные видео, но приводили к фишинговому сайту, когда пользователи нажимали на них.

«Эти фишинговые файлы не обязательно несут в себе конкретное сообщение, так как в основном это статические изображения с врезанным в них изображением кнопки воспроизведения», - говорит Unit 42. «Хотя мы наблюдали несколько категорий изображений, значительная часть из них либо использовала наготу, либо следовала определенным денежным темам, таким как биткойны, биржевые диаграммы и т. Д., Чтобы заманить пользователей нажать кнопку воспроизведения». 

Аналитики угроз Microsoft отслеживают активность, когда контактные формы, опубликованные на веб-сайтах, используются для доставки вредоносных ссылок предприятиям с использованием электронных писем с поддельными юридическими угрозами. В электронных письмах получателям предлагается щелкнуть ссылку, чтобы просмотреть предполагаемые доказательства, лежащие в основе их обвинений, но вместо этого они загружают IcedID, вредоносное ПО для кражи информации. Эта угроза примечательна тем, что:

1.Злоумышленники злоупотребляют законной инфраструктурой, такой как контактные формы веб-сайтов, для обхода средств защиты, что делает эту угрозу очень уклончивой. Кроме того, злоумышленники используют законные URL-адреса, в данном случае URL-адреса Google, которые требуют, чтобы цели входили в систему с учетными данными Google.

2.Электронные письма используются для доставки вредоносного ПО IcedID, которое может использоваться для разведки и кражи данных и может привести к дополнительным вредоносным программам, включая программы-вымогатели.

3.Эта угроза показывает, что злоумышленники всегда ищут пути атаки для проникновения в сети, и они часто нацелены на службы, доступные в Интернете. Организации должны обеспечить защиту от таких угроз.

 В то время как эта конкретная кампания доставляет вредоносное ПО IcedID, этот метод доставки может использоваться для распространения широкого спектра других вредоносных программ, которые, в свою очередь, могут представлять другие угрозы для предприятия. Сам IcedID - это банковский троян, который превратился в точку входа для более сложных угроз, включая программы-вымогатели, управляемые человеком. Он подключается к серверу управления и контроля и загружает дополнительные имплантаты и инструменты, которые позволяют злоумышленникам выполнять атаки с клавиатуры, красть учетные данные и перемещаться по пораженным сетям для доставки дополнительных полезных нагрузок.

Веб-сайты обычно содержат страницы контактной формы, позволяющие посетителям общаться с владельцами сайтов, устраняя необходимость раскрывать свой адрес электронной почты потенциальным спамерам.Однако в ходе этой кампании мы наблюдали приток электронных писем с контактными формами, нацеленных на предприятия, из-за злоупотребления контактными формами компаний. Это указывает на то, что злоумышленники могли использовать инструмент, автоматизирующий этот процесс, в обход защиты CAPTCHA.

В этой кампании мы отслеживали, что вредоносное электронное письмо, которое поступает в почтовый ящик получателя из запроса контактной формы, выглядит заслуживающим доверия, поскольку оно было отправлено из надежных систем электронного маркетинга, что дополнительно подтверждает его легитимность, избегая обнаружения. Поскольку электронные письма исходят из собственной контактной формы получателя на его веб-сайте, шаблоны электронной почты соответствуют тому, что они ожидают от реального взаимодействия с клиентом или запроса.

По мере того как злоумышленники заполняют и отправляют веб-форму, соответствующему получателю контактной формы или целевому предприятию создается сообщение электронной почты, содержащее созданное злоумышленником сообщение. В сообщении используется строгий и неотложный язык («Загрузите его прямо сейчас и проверьте это сами») и заставляет получателя действовать немедленно, в конечном итоге вынуждая получателей щелкать ссылки, чтобы избежать предполагаемого судебного иска. 

(8 апреля и 9, 2021) 

 Две исследователя безопасности из Нидерландов продемонстрировали эксплойт недостатков в клиенте Zoom Desktop, который позволил им взять на себя управление компьютером пользователя. Цепи эксплуатации - три уязвимости в зуме, позволяют удаленному выполнению кода без взаимодействия пользователя. Эксплуатация работает на клиенте Zoom Desktop для ПК и для Mac.

Примечание 

 Версия Browser Zoom не пострадала - хорошая работа, пока патч не будет доступен. Приятно видеть, что зум был одним из спонсоров конкурса PWN2OWN, который нашел эти уязвимости  

(6 апреля и 7, 2021) 

 Некоторые гигасетные смартфоны Android заражаются вредоносными программами через «отравленное» обновление. Вредоносное ПО может открыть Windows Browser, загружать другие вредоносные программы и отправлять текстовые сообщения в попытке. Gigaset говорит, что проблема влияет на «старые устройства», и что они «ожидают, чтобы иметь возможность предоставить дополнительную информацию» в ближайшее время. 

Примечание 

 Тревожная деталь заключается в том, что обновление произошло из серверов обновлений Gigaset. Gigaset опубликовал техническое решение для удаления вредоносных программ; Существует некоторое разногласие о полноте исправления. Лучший план может быть к власти пораженных устройств и удалить как батарею, так и SIM. В то время как GigaseT надеется в ближайшее время иметь лучшее восстановление информации, так как это влияет на более старые устройства, тем более целесообразным и полным разрешением может быть замените ваше устройство. 

Мы не можем иметь дело с цепочкой поставок, размещая всю ответственность на конечный пользователь. Мы должны держать тех, кто не отвечает вредоносному коду.

Ми всі знаємо, що основна увага ІТ під час пандемії полягала в тому, щоб насамперед вести бізнес віддалено. Інші ініціативи - такі, як дотримання вимог та кібербезпека - відійшли на другий план. Я писав у середині пандемії про те, як віддалена робоча сила була чим завгодно, але не безпечною.

Тепер нові дані від постачальника послуг безпеки Mimecast у їх звіті «Рік соціального віддалення: виклики безпеці нового цифрового робочого простору» чітко показують, що з початку пандемії та переходу до віддаленої робочої сили позиція організації з питань кібербезпеки пішла вперед:

•Обсяг загроз збільшився на 48% 

•60% працівників США відкрили підозрілі електронні листи 

•Кількість небезпечних кліків на користувача зросла на 300% 

•Зросло на 60% особисте використання корпоративного пристрою 

Враховуючи атаки та відчуття кібербезпеки користувача на найнижчому рівні, надзвичайно важливо, щоб організації усвідомили ймовірний струм власної робочої сили та шукали шляхи вдосконалення захисту. Три із чотирьох наведених вище статистичних даних мають усе спільне з відсутністю у користувача кібербезпеки та відсутністю культури організації.

Лише завдяки навчанню про підвищення рівня обізнаності користувачі можуть почати вбудовувати кібер-пильність у свою повсякденну роботу та особисту діяльність, що має практичні наслідки, такі як не відкриття підозрілих електронних листів або клацання небезпечних посилань, що призводить до ризику організації.

Плохие парни делают все возможное, чтобы заработать деньги. В рамках его Вымогатели его-услуга, Revil в настоящее время расширяет свои услуги для оказания помощи в фазе вымогательства.

 REvil / Sodinkibi был крупным игроком на рынке RWaaS, предоставляя своим аффилированным «плохим парням» функциональные вредоносные программы-вымогатели и платежный сайт. Они полагаются на партнера для атаки, проникновения и компрометации сетей жертвы с целью развертывания программы-вымогателя. Такое разделение обязанностей приносит REvil где-то между 20-30% выкупа, а аффилиат забирает оставшуюся часть домой. Таким образом, обеим сторонам выгодно, чтобы выкуп, во-первых, был уплачен, а во-вторых, был как можно больше. Кража данных и вымогательство у организации-жертвы для оплаты или публикации украденных данных росли за последний год с тех пор, как Maze впервые увидел их в использовании. Но новый поворот в саге о вымогательстве - запуск службы звонков, где REvil будет звонить жертвам организаций, деловым партнерам, местным СМИ и т. Д., Чтобы выявить атаку и заставить организацию заплатить, чтобы возобновить свою деятельность.

Новые данные показывают, что теперь стало ясно, что самая большая проблема с программами- вымогателями (сразу после прекращения вашей операции) - это все необходимые затраты, понесенные на попытки устранить беспорядок после атаки. Если ваша организация не была поражена программой-вымогателем, считайте, что вам повезло. Поверьте мне, когда я говорю, что это не то, что бизнес хочет испытать. Согласно подразделению безопасности Palo Alto Network, Unit42, в их последнем отчете об угрозах вымогателей за 2021 год подробно говорится, что злоумышленники больше не удовлетворены методом спрея и молитвы для проникновения в большую часть сети жертвы. Вместо этого они «[не торопятся], чтобы изучить жертв и их сети, следуя более традиционному подходу к проникновению в сеть».

Согласно отчету, требования выкупа в 2020 году достигли почти 850000 долларов, при этом средний размер выкупа в 2020 году увеличился почти втрое до 312000 долларов по сравнению со средним показателем 2019 года, составляющим всего 115000 долларов. Кроме того, Unit42 выделил дополнительные затраты на криминалистику после атаки, чтобы помочь организациям-жертвам разработать стратегию реагирования и план выполнения. Средние затраты на судебную экспертизу составили 40 719 долларов для малого и среднего бизнеса и 207 875 долларов для более крупных предприятий. И это в дополнение к выплаченному выкупу. Мы также видели, что общая стоимость удваивается, когда выкуп не выплачивается . Итак, здесь нет хорошего ответа, кроме как полностью не стать жертвой. RDP и фишинговые атаки остаются наиболее распространенными начальными векторами атак для программ-вымогателей, что ставит обучение осведомленности о безопасности на первое место в списке приоритетов как средство уменьшения поверхности угрозы фишинговых атак. 

(24 марта 2021) 

 Ранее на этой неделе Microsoft говорит, что 92 процента уязвимых локальных обменных серверов применили смягчения или исправлены против критических недостатков проксилогена. Организации следует отметить, что установка патчей не устраняет инфекцию, если серверы были скомпрометированы на серверах до исправления. ИТ-администраторы должны проверить системы для показателей компромисса (МОК). Microsoft выпустила исправления для четырех уязвимостей 2 марта. 

Примечание редактора 

 Примечание 

Температура смягчения последствий 92% действительно впечатляет, если она не связана с злоумышленниками, смягчающимися уязвимостью, чтобы удерживать на серверах, которые они скомпрометировали. Опять же: очень важно расследовать серверы Exchange подробно при исправлении. Компромисс предварительного патча очень вероятно. 

[Neely]

 Директива по чрезвычайным ситуациям DHS (ED 21-02) требует криминалистики и анализа системы до исправления, чтобы избежать этого сценария. Настолько легко попасть в жару момента и забыть проверить на компромисс, прежде чем исправить уязвимость. Если вы пропустили чек, запустите инструменты от CISA или Microsoft, чтобы убедиться, что вы чистые, затем пересекайте проверку со своим SIEM. Также убедитесь, что защита вашей конечной точки наблюдает за эксплуатацией в режиме реального времени. Примечание Windows Defender включает в себя эту возможность, если ваше текущее решение не делает. 

[Пескаторе] 

Это уже давно является ведущим показателем по безопасности процессов / программ безопасности по сравнению с соблюдением. После обнаружения уязвимости вы проверяете, был ли его эксплуатации, прежде чем вы обнаружить и смягчить уязвимость? Старый пример: шлюз веб-безопасности обновляется с большим количеством URL-адресов вредоносных и / или скомпрометированных веб-сайтов - проверил ли вы, если какие-либо внутренние машины сообщаются с недавно обнаруженными злыми местами?