Кричащие новости на рынке кибербезопасности, о которых поведала Cisco Talos

Прошлый год оказался для Cisco Talos Incident Response (CTIR) (группа, которая борется с киберугрозами) довольно тяжелым. Пока пандемия распространяется и наносит новые удары, круг злоумышленников также растет. Это сказывается определенными проблемами с ИБ (информационной безопасностью).

Злоумышленники усилили атаки по компаниям всего мира посредством специальных программ-вымогателей. Всем привычный квартальный отчёт Cisco Talos был заменен на сообщение о популярном в сфере ИБ за весь прошлый год.

• Именно здравоохранение стало мишенью для злоумышленников больше всех по статистике 2021 года.
• Отмечена ключевая угроза 2021 года – программы-вымогатели или, как их еще называют, шифровальщики.
• Регулярно атаковать злоумышленники начинали с компрометации приложений, которые имеют выход во всемирную сеть, и фишинга.

Также стоит отметить, что CTIR сражалось с 4-мя крупными инцидентами ИБ:

1. были атакованы поставки SolarWinds;
2. слишком частое эксплуатирование слабых точек Microsoft Exchange Server;
3. был атакован поставщик IT-решений Kaseya хакерской группой REvil;
4. были обнаружены слабые точки Log4J.

Из всех вышеперечисленных атак, более значимыми стали для клиентов CTIR те, которые давили на слабые точки Microsoft Exchange. Так как по сей день эти атаки продолжают происходить.

Преследуемые цели.

Главным объектом взломщиков являлось здравоохранение. Атаки длились почти весь прошлый год. Однако к осени в лидеры вышли атаки на локальные администрации. В 2020 году были потоки кибер нападений на мед.учреждения, поэтому Cisco Talos полагает, что атаки на здравоохранения будут продолжаться и в следующем году.

По большей части это обусловлено тем, что медицинские учреждения тратят мало средств на защиту информационной безопасности. Также причиной могут быть жесткие требования к отсутствию простоев (из-за пандемии ситуация лишь ужесточается).

Топ вымогателей.

В прошлом году было зафиксировано множество злоумышленников, но лидировали все же программы-вымогатели. Можно выделить два направления: рост количества кибермошенников и участившееся использование коммерчески доступных продуктов и программ, которые имели открытый код. CTIR пришлось изрядно поработать из-за того, что множество изначальных уязвимостей Microsoft Exchange Server обнародовали.

Последние два года на глаза попадался шифровальщик Ryuk. Однако он начал со временем уходить на дно, а ближе к концу прошлого года и вовсе пропал. Этот шифровальщик был не один, чья деятельность бесследно притихла в прошлом году.

Можно смело отметить некоторые наименования, которые либо скрылись, либо сменили свой стиль и названия: Darkside, BlackMatter, REvil и Maze. Есть предположение, что темп атак известных вымогателей был увеличен из-за снижения активности самых крупных вымогателей. Стоит отметить, что ни одно из названий не фигурировало более одного раза.

В то же время, как начал увеличиваться темп атак и рост численности кибермошенников, стали чаще применяться коммерческие продукты, программы, имеющие открытый код и легитимные программы с компонентами ОС (living-off-the-land binaries, LOLBINS). Среди таковых отмечаются следующие: Cobalt Strike, ADFind, ADRecon, GMER, Bloodhound/Sharphound, PowerShell, PCHunter, 7-Zip, WinRAR, Windows Management Instrumentation, RDP, Rubeus, TeamViewer.

Как все начиналось.

Последние годы во многих учреждениях регистрация действий велась таким образом, что зачастую просчитать точную дату начала кибератак было сложно и даже невозможно. И все же, как только удалось вычислить более точный начальный отрезок, в лидеры выбились фишинг и приложения, которые имели выход во всемирную сеть.

Темп и численность кибератак связывают с тем, что было раскрыто множество огромных уязвимостей ПО, которое эксплуатировали практически все учреждения. Под удар попали и некоторые из уязвимостей Microsoft Exchange. Это стало основанием, чтобы привести в действия меры по реагированию на случаи в различных компаниях.

Также стоит отметить ещё одно предположение. На увеличение количества фишинговых атак мог повлиять следующий фактор – такие атака вошли в традицию, когда требуется заражение во время работы шифровальщиков. Именно такие атаки лидировали в прошлом году. Помимо этого, в 2021 году был отмечен рост численности компрометаций корпоративной электронной почты. Это значительно повлияло на начальный отрезок кибератак.

Самые громкие случаи ИБ.

Несмотря на ухудшение условий работы из-за пандемии, шифровальщики стали атаковать чаще и точнее. Группа CTIR отмечает четыре крупных инцидента, затронувшие мировые компании.

1. Зимой, в декабре 2020 года была отмечена атака на поставки. Кибермошенникам удалось заполучить доступы к сетям своих целей благодаря приему «троянский конь», который был внедрён в обновление программного обеспечения SolarWinds Orion. Мишенями стали многие организации и даже государственные структуры Соединённых Штатов Америки.
2. Весной, в марте 2021 года начался поток кибератак, которые были связаны с множеством не исправленных уязвимостей Microsoft Exchange Server.
3. Летом, в июле того же года группировка хакеров REvil атаковали организацию Kaseya, занимающуюся разработками IT решениями для поставщиков управляемых услуг. Выбранная цель привела к тому, что было поражено не менее полутора тысяч учреждений.
4. Зимой, в декабре 2021 года пострадала всем известная библиотека Apache Foundation Log4j. Кибермошенники вычислили все слабые точки удалённого исполнения кода.

Как избежать атаки кибермошенников.

С тех пор, когда увеличился темп кибератак посредством различных программ, CTIR заявили, что отсутствует многофакторная аутентификация, а это и есть основная преграда, мешающая обеспечивать ИБ. Если включать МФА на самых важных сервисах, то множество случаев можно было бы предупредить заранее. Рекомендуется внедрение МФА во всех организациях для информационной безопасности.