Ежедневно новостные ресурсы публикуют данные из свежих отчетов специалистов по информационной безопасности, рекомендации от производителей средств защиты и самые громкие случаи кибератак. Самое интересное, что наш человек, читая все это, уверенно заявляет: «Это не касается моей компании (где мы, а где условный Acer с выкупом за расшифровку в 50 миллионов долларов) и не касается меня (я же умный, и не поверю телефонным мошенникам)». По этой же причине у многих складывается впечатление, что ажиотаж вокруг информационной безопасности нагнетается искусственно, например, теми же производителями средств защиты. Ну и всем известно, что безопасников нередко именуют «продавцами страха».
В этой статье разберемся, что же все-таки угрожает (и угрожает ли вообще) бизнесу и обычным пользователям в части киберугроз.Начнем с киберугроз для компаний
Одной из причин успеха программ-вымогателей стала модель RaaS (Ransomware-as-a-Service — «шифровальщик как услуга»), максимально упрощающая злоумышленникам процесс заражения компании-жертвы и позволяющая даже не обладающим техническими знаниями преступникам проводить целевые атаки и монетизировать свое преступное ремесло.
Разработчики вредоносного программного обеспечения (ВПО) с удовольствием сдают его в аренду, «зарабатывая» процент от выкупа, получаемого от жертв. А для масштабирования подобного «бизнеса» разработчики (или операторы) ВПО запускают «партнерские программы» (как раз RaaS). В «партнерки» могут вступать злоумышленники самого разного масштаба, например, так называемые продавцы доступов. Этот тип киберпреступников, как правило, занимается тем, что сканирует открытые порты, получает доступ к инфраструктуре компании и затем продает его в андеграунде тем же шифровальщикам или получает процент от выкупа в ходе успешной атаки.
Но вернемся к сдаче ВПО в аренду. На рисунке 1 изображен пример «партнерки»:
Рисунок 1. Пример «партнерки», где злоумышленник может настроить арендованное ВПО под себя, указав операционную систему жертвы, валюту выкупа и время действия «скидки»
Как видно на изображении, «партнер» может настроить все условия для ВПО, включая операционную систему жертвы, стоимость, валюту выкупа и время действия «скидки».
Остается вопрос, как злоумышленник «занесет» это арендованное ВПО в инфраструктуру жертвы?
Злоумышленники используют несколько стандартных путей:
1. Почтовый трафик
Бухгалтер компании-жертвы получает письмо под названием «Акт бухгалтерской сверки за Q4.2021», содержащее вложение с вредоносным ПО. Простая (для жертвы) история, если это ВПО известно специалистам по кибербезопасности. Да, бухгалтер откроет документ, но антивирус увидит известное ВПО и заблокирует его запуск.
Гораздо интереснее, когда ВПО не содержит вредоносной нагрузки (при успешном закреплении в системе оно получит его с командного сервера злоумышленников позже). В таком случае необходимо понять, как этот незнакомый документ будет себя вести. Для этим целей используются решения класса «песочница», позволяющие проверить объект (или ссылку на объект) в изолированной среде. На данный момент на рынке достаточно большое количество «песочниц» от разных производителей, но у всех них есть определенные особенности, влияющие на достоверность выдаваемого вердикта.
Злоумышленники эти особенности знают и активно используют средства обхода «песочниц» и средства детектирования попадания в «песочницу».
В первом случае хакеры присылают запароленный архив, предлагая для его открытия использовать сложный пароль, содержащийся даже не в этом письме, а в последующей цепочке писем. Условный бухгалтер получает письмо, содержащее тот самый акт бухгалтерской сверки в запароленном архиве, а следующим письмом (или через одно-два письма) получает пароль для его открытия. Лишь единичные решения класса «песочница» (например, Threat Hunting Framework Polygon от Group-IB) проверяют последующую цепочку писем, чтобы выдать достоверный вердикт по вложению в первом письме. Во всех остальных случаях «песочница» не может открыть архив и по истечении времени делает вид, что письмо не содержит ВПО и спокойно передает его бухгалтеру.
Также злоумышленники размещают в письме ссылку, по легенде для бухгалтера, ведущую на тот самый акт бухгалтерской сверки, и присылают письмо в нерабочее время. При этом в момент попадания данного письма в «песочницу» ссылка пустая и не содержит ничего. «Песочница» на основании этого выдает вердикт — «письмо легитимное» — и пропускает его в почтовый ящик бухгалтера. Когда же бухгалтер придет на работу, злоумышленник по этой же ссылке разместит ВПО, которое жертва благополучно скачает. К сожалению, не все «песочницы» перепроверяют пустые ссылки, а только эта перепроверка может выдать достоверный вердикт (так делает THF Polygon от Group-IB).
Если ВПО все-таки попало в «песочницу», его задача — «понять», что оно находится в изолированной среде (на настоящей, а эмулированной инфраструктуре) и не проявлять себя как вредоносный объект (иначе его задача — заражение — не будет выполнена). Для этого современное ВПО проверяет параметры системы, реагируя на странные ситуации, когда компания российская, а клавиатура почему-то только английская, а IP находится на Восточном побережье США. Сюда же относятся ситуации, когда ВПО видит, что рабочая станция технически слаба даже для корпоративного компьютера (жесткий диск на 20 Гбайт, одноядерный процессор, минимум оперативной памяти). Задача «песочницы» высокого уровня — полностью соответствовать рабочим станциям в инфраструктуре заказчика.
С учетом работы на удаленке, сейчас множество заказчиков рассматривает облачные варианты защиты почтового трафика. При выборе такого решения важно убедиться, что оно защищает не только от известных угроз, но и способно выявлять угрозы неизвестные, противодействуя тем средствам обхода попадания в «песочницу», которые мы рассмотрели выше. Одно из таких решений — Group-IB Atmosphere, в режиме реального времени анализирующее и блокирующее письма, содержащие вредоносные объекты и ссылки (см. рис. 2)
Рисунок 2. Интерфейс решения Group-IB Atmosphere, в режиме реального времени анализирующего и блокирующего письма, содержащие вредоносные объекты и ссылки
Кстати, если вы скептически относитесь к электронной почте как к возможному вектору атаки, попробуйте бесплатный тест оценки ее защищенности. Мы создали специальный тест с говорящим названием Trebuchet (требушет — это средневековая метательная машина гравитационного действия для осады городов, которая пробивает защиту), в рамках которого ваша электронная почта должна будет выдержать более 40 сценариев атак, учитывающих техники и тактики злоумышленников, используемые в феврале 2022 года (см. рис. 3)
Рисунок 3. Стартовая страница специального теста Group-IB Trebuchet, в ходе которого электронная почта клиента должна будет выдержать более 40 актуальных сценариев атаки
2. Второй вектор атаки — веб-трафик
Сотрудник компании во время обеда (или командировки) решил посмотреть фильмы в Интернете, ввел в поисковике «смотреть кино бесплатно без регистрации и смс», кликнул по первой же ссылке, обнаружил кучу новинок в отличном качестве и для их просмотра решил скачать проигрыватель с этого сайта. Для защиты от данного вектора атаки необходимы средства анализа трафика. Их задача — выявлять аномалии в трафике на периметре (подключение к Интернету) и внутри сети (взаимодействие между рабочими станциями). Продвинутые средства анализа трафика (такие как THF Sensor от Group-IB) отслеживают даже те подозрительные ситуации, когда подключение происходит к не скомпрометированному сайту (см. рис. 4)
Рисунок 4. Пример того, как продвинутое средство анализа трафика Group-IB THF Sensor отслеживает даже те подозрительные ситуации, когда подключение происходит к не скомпрометированному сайту
3. Третий вектор атаки — USB
Вы наверняка слышали о случаях, когда злоумышленники раскидывали флешки с логотипом компании-жертвы возле офиса этой компании и оставляли их на столе в корпоративной столовой.
Расчет в данной ситуации на то, что сотрудник компании поднимет флешку, принесет ее в офис и вставит в свой рабочий компьютер, заразив инфраструктуру.
Есть такая хакерская группа Fin7, так вот она отправляла компаниям в США посылки с вредоносными USB-устройствами. Когда получатель подключал USB-накопитель к своему компьютеру, хакеры получали административный доступ к системе. Участники Fin7 затем использовали различные инструменты и запускали вымогательское ПО BlackMatter и REvil в скомпрометированной сети.
Конечно, вы можете сказать, что некоторые компании до сих пор используют блокировку USB-портов как средство защиты, но данный способ усложняет многие бизнес-процессы.
Для защиты от атаки через рабочие станции необходимы решения класса EDR (Endpoint Detection & Response), некоторые из них (например, THF Huntpoint от Group-IB) позволяют не только блокировать известное ВПО, но и отслеживать аномальные активности на рабочих станциях, связывая разбросанные по времени события в цепочку и на основании этого выдавая вердикт о вредоносной активности.
4. Четвертый путь — получение доступа к инфраструктуре жертвы через активы этой жертвы
Специалисты по информационной безопасности регулярно наблюдают ситуации, когда активы компании недостаточно защищены и этим пользуются злоумышленники.
Есть даже специальные подразделения в среде хакеров, которые мониторят интернет-пространство на предмет незащищенных активов, а потом продают к ним доступ через подобные ресурсы (см. рис. 5)
Рисунок 5. Один из ресурсов, на котором злоумышленники продают доступы к выделенным серверам — цена вопроса всего $20-30
Данный сайт лишь один из примеров продажи доступа к выделенным серверам. Есть множество подобных ресурсов, «специализирующихся» на продаже доступов к серверам с открытыми 3389 (порт для RDP) или 443 портами (порт для HTPPS), а не только 25 и 80 порты, как на изображении.
При этом, как вы видите, стоимость доступа составляет около $20, и в итоге мы приходим к очень простой схеме вовлечения, когда злоумышленник, не обладая никакими техническими навыками, берет в аренду ВПО и внедряет его в инфраструктуру жертвы, заплатив несоизмеримые с получаемым впоследствии выкупом деньги.
Поскольку компании постоянно создают новые активы (зачастую вынужденно из-за перевода сотрудников на удалёнку), необходим непрерывный мониторинг защищенности инфраструктуры, что возможно с помощью решений нового класса External Attack Surface Management, позволяющих отслеживать изменения в инфраструктуре и показывающих существующие уязвимости и проблемы. Решения высокого уровня данного класса (как Group-IB AssetZero) еще и дают объективную оценку защищенности и рекомендации по ее улучшению.
Продолжение следует.