Поскольку киты-вымогатели становятся настолько доминирующими, потенциальные претенденты задаются вопросом: «Какой в ​​этом смысл?»

Важные новости

Поскольку киты-вымогатели становятся настолько доминирующими, потенциальные претенденты спрашивают: «Что в чем суть?'

За последние 12 месяцев количество новых штаммов программ-вымогателей сократилось более чем вдвое, что говорит о том, что нет особой необходимости в инновациях, учитывая успех существующих инструментов, используемых ведущими бандами. .

По данным исследования Rapid7, опубликованного сегодня, в 2023 году было обнаружено только 43 новых семейства программ-вымогателей, что резко меньше, чем 95 в предыдущем году.

Кристиан Бик, старший директор по аналитике угроз в компании Rapid7 Rapid7, рассказал The Register: «Сокращение числа семейств программ-вымогателей, вероятно, отражает сочетание зрелых и эффективных существующих возможностей программ-вымогателей, стабильных и прибыльных стратегий атак и, возможно, улучшенных, но не надежных защитных мер. 

»На чем были сосредоточены первоначальные программы-вымогатели на шифровании всей конечной точки, сегодня он больше ориентирован на критически важные для бизнеса системы, которые хранят данные, такие как сетевые ресурсы и, например, кластеры виртуальных машин. Главный сдвиг, который мы наблюдаем, — это сначала извлечение данных, а затем внедрение программ-вымогателей».

В отчете поставщика делается вывод, что в период с января 2023 года по февраль 2024 года — периода времени, за который были собраны данные, использованные в отчете, — было совершено около 5600 атак с использованием программ-вымогателей. Однако ожидается, что это число будет значительно выше, поскольку о многих атаках не сообщается.

Те, кто следит за новостями о программах-вымогателях, не удивятся, узнав, что LockBit 3.0 или LockBit Black, в зависимости от того, что вы предпочитаете, были доминирующим семейством года. В течение последних четырех лет она входила в число самых плодовитых киберпреступных организаций и продолжала оставаться в этом положении до тех пор, пока недавно правоохранительные органы не предприняли попытку подрыва деятельности.

ALPHV/BlackCat тоже была там, пока полиция также не остановила ее усилия, и до того, как она совершила последнюю аферу с выходом, получив немалые деньги от Change Healthcare. BianLian, Play, Medusa и Black Basta — другие самые успешные банды года.

Как они вообще туда попадают?

Все это справедливо общеизвестно, но что, возможно, более полезно для защитников, так это знание того, как они получают начальную точку опоры.

Телеметрия Rapid7 показывает, что использование уязвимостей в общедоступных приложениях и получение действительной учетной записи являются двумя наиболее распространенными способами начала атак программ-вымогателей. Применяйте исправления и развертывайте MFA – тот же старый совет остается в силе.

А для тех, кто задается вопросом, отошли ли эти злоумышленники от шифрования файлов, учитывая успех атаки Cl0p MOVEit MFT, то это плохая новость. «Подавляющее большинство» инцидентов связано с шифрованием. По данным трекера Emsisoft, в результате инцидента MOVEit на данный момент погибло 2771 человек, но эти атаки с чистым вымогательством в целом составили лишь небольшое количество инцидентов, связанных с программами-вымогателями, несмотря на их большой масштаб.

Выполните развертывание MFA правильно

Не вдаваясь в подробности, развертывание MFA действительно важно, если вы можете в это поверить. В прошлом году это был единственный наиболее распространенный вектор первоначального доступа для всех видов атак, включая программы-вымогатели и все остальные, использованные в 41 проценте случаев.

По данным Rapid7, на использование уязвимостей приходится 30 процентов вторжений, а на методы социальной инженерии, такие как фишинг, приходится 12 процентов.

Итак, совет по защите от большинства программ-вымогателей и всех других видов атак в целом один и тот же: если вы сможете эффективно развернуть MFA и быстро исправить уязвимости, то это предотвратит большинство атак. .

Звучит достаточно просто, но Кейтлин Кондон, директор по анализу уязвимостей в Rapid7, сказала, что это не тот случай, когда организации не развертывают MFA, они просто недостаточно строго соблюдают его.

«Эффективный MFA — это принудительное MFA. Одна из особенностей, обнаруженных нашей командой реагирования на инциденты, заключается в том, что некоторые затронутые организации внедрили MFA, но не обеспечивают соблюдение должным образом. 

«Если у вас настроен MFA, но четверть вашей организации находится в группе обхода MFA, этот механизм безопасности не дает ожидаемого эффекта. В других местах колеса безопасности движутся медленно; к сожалению, у злоумышленников есть способ определение приоритета мер безопасности для предприятий, если эти предприятия не могут сами расставить приоритеты в отношении безопасности. Мы также наблюдаем рост числа методов атак, таких как мошенничество с использованием MFA, которые направлены на то, чтобы сотрудники социальной инженерии предоставили злоумышленникам доступ к системам с включенным MFA».

<р>И хотя применение исправлений безопасности в большинстве случаев защитит организацию от использования уязвимостей, рост числа атак нулевого дня в прошлом году почти сравнялся с рекордным пиком 2021 года. 

Эксплуатация нулевого дня была ответственен за большее количество массовых случаев компрометации в прошлом году, чем n-дневные уязвимости (n-day — это публично обнародованные ошибки, известные поставщику). Это происходит уже второй раз за три года, и Кондон говорит, что это может быть связано со средствами, доступными группам киберпреступников.

«Киберпреступность прибыльна, и, как и в любой финансовой экосистеме, спрос на новые эксплойты нулевого дня стимулирует их развитие», — сказала она. «Rapid7 регулярно видит сообщения в даркнете, предлагающие новые эксплойты нулевого дня для популярных технологий, таких как корпоративные VPN, за 100 тысяч долларов и более. Группа вымогателей, получающая восьмизначные или более суммы от организованных глобальных атак, может позволить себе купить или заказать большое количество сделанных на заказ новых нулевых атак. Эксплойты нулевого дня».

Нулевой день особенно распространен в сетевых устройствах и устройствах безопасности, которые составляли основу 60 процентов всех уязвимостей нулевого дня в 2023 году.

Данные также предполагает, что злоумышленники все чаще рассматривают периферийные устройства сети для проведения своих атак в будущем. Число эксплойтов в этой области почти удвоилось в прошлом году, при этом 36 процентов всех широко используемых ошибок были обнаружены в устройствах периметра сети.

«Злоумышленники всех мастей и мотиваций имеют стимул атаковать эти устройства и программы-вымогатели. группировки и спонсируемые государством противники проявили большой интерес к возможностям эксплойтов n-day и нулевого дня в этих системах», — говорится в отчете. ®

Новости сегодня

Последние новости