Атаките с рансъмуер са сериозен проблем за организациите навсякъде по света, а сериозността на този проблем продължава да се засилва.
Неотдавна екипът за реагиране при инциденти на Microsoft разследва атаките с рансъмуер BlackByte 2.0 и разкри ужасяващата скорост и разрушителния характер на тези кибератаки.
Констатациите показват, че хакерите могат да завършат целия процес на атаката – от получаването на първоначален достъп до нанасянето на значителни щети – само за пет дни. Те не губят време, за да проникнат в системите, да криптират важни данни и да поискат откуп, за да ги освободят.
Този съкратен срок представлява сериозно предизвикателство за организациите, които се опитват да се защитят от тези вредни операции.
BlackByte ransomware се използва в последния етап на атаката, като за криптиране на данните се използва 8-цифрен ключ.
За да извършат тези атаки, хакерите използват мощна комбинация от инструменти и техники. Разследването разкри, че те се възползват от непоправени Microsoft Exchange сървъри – подход, който се оказа изключително успешен. Като използват тази уязвимост, те получават първоначален достъп до целевите мрежи и подготвят почвата за своите злонамерени действия.
Освен това рансъмуерът използва стратегии за издълбаване на процеси и избягване на антивирусни програми, за да гарантира успешно криптиране и заобикаляне на откриването.
Освен това уеб обвивките им осигуряват отдалечен достъп и контрол, което им позволява да поддържат присъствие в компрометираните системи.
В доклада се изтъква и внедряването на елементи от Cobalt Strike, които улесняват операциите по командване и контрол. Тези усъвършенствани инструменти дават на нападателите широк набор от умения, което затруднява защитата на организациите срещу тях.
Наред с тези тактики разследването разкри няколко други обезпокоителни практики, които киберпрестъпниците използват. Те използват инструменти за „живеене на земята“, за да се смесят с легитимни процеси и да избегнат откриване.
Софтуерът за изнудване променя сенчестите копия на томовете на заразените машини, за да предотврати възстановяването на данни чрез точки за възстановяване на системата. Нападателите разполагат и със специално създадени задни врати, които осигуряват непрекъснат достъп на нападателите дори след първоначалното компрометиране.
Тревожното нарастване на броя на атаките с рансъмуер изисква незабавни действия от страна на организациите по целия свят. В отговор на тези констатации Microsoft предостави някои практически препоръки.
На първо място, организациите се призовават да въведат надеждни процедури за управление на кръпките, като гарантират, че своевременно прилагат критични актуализации за сигурност. Включването на защитата от подправяне е друга съществена стъпка, тъй като тя укрепва решенията за сигурност срещу злонамерени опити за тяхното деактивиране или заобикаляне.
