Бързото навлизане на облачните технологии, работата от разстояние, мобилността – това е благодатната почва, довела до ръст на атаките тип двойно кибер-изнудване, според ново изследване на Check Point Research (CPR). Този род атаки са хит сред престъпниците, а най-атакуваните жертви са болниците.
Двойното кибер-изнудване е тенденция, която се зароди през втората половина на 2020 г. и се определя като „новата вълна на рансъмуер”, обяснява в своя статия Паоло Пасери, изследовател в областта на киберсигурност от Университета в Милано. При двойното кибер-изнудване участниците в заплахата могат да увеличат максимално шансовете си за печалба, като дадат на жертвите си допълнителен стимул да платят откупа – заплахата да продадат откраднатите криптирани данни.
„Бандата зад REvil (известна още като Sodinokibi) беше първата, която приложи тази стратегия и други групи скоро започнаха да подражават”, пише в обзора си Пасери, публикуван в Infosecurity Magazine.
Експоненциален ръст
Атаките с двойно изнудване се увеличават експоненциално, според доклада на CPR. През третото тримесечие на 2020 г. почти половината от всички инциденти с рансъмуер са включвали заплахата от продажба на „заключените” данни, откраднати от целевата организация. В глобален мащаб средно по една организация става жертва на рансъмуер на всеки 10 секунди.
Кибератаките към сектора на здравеопазването се превръщат в епидемия: те бележат средно по 37% увеличение на месец за последните 12 месеца, според CPR. През четвъртото тримесечие на 2020 г. кибератаките (особено атаките на рансъмуер) срещу болници са се увеличили с 45% в световен мащаб, тъй като престъпниците смятат, че е по-вероятно жертвите им да платят откуп поради натискa заради случаите на Covid-19.
Всеки е потенциална цел
Честотата и въздействието на рансъмуер атаките показаха, че всеки обект е потенциална цел, казва пък в своя анализ Пасери. „В резултат на това, освен да внедряват допълнителни инвестиции в технологии за защита, организациите работят усилено, за да въведат и ефективни стратегии за архивиране, за да се справят с най-лошия сценарий на успешна деструктивна рансъмуер атака”.
Но при атаките с двойно изнудване наличието на резервно копие може да се окаже безполезно. Заплахата от изтичане на данни всъщност може да окаже по-голям натиск върху жертвата да плати откуп, тъй като потенциалните икономически и репутационни щети могат да бъдат дори по-опустошителни от самата загуба на данни.
Притеснителното е, че след като кибернападателите пробият защитата на дадена организация, креативността им е на практика неограничена. В някои кампании участниците в заплахи „вдигнаха летвата” още повече, като сканираха мрежите на организацията-жертва за софтуер за управление на кредитни карти и точки за продажба (PoS), а това им позволи да си осигуряват допълнителни приходи от атаката, посочва експертът от Милано.
Паралелно с възприемането на стратегията за двойно изнудване, кибер-нападателите са променили и начина си на действие, преминавайки от опортюнистичен модел на работа към по-целенасочен подход. Те подбират жертвите си, за да използват уязвими системи, отворени към интернет, и да проникнат в мрежата на целта. По този начин нападателите могат да пробият, да инжектират зловредния товар и да се уверят, че огнището бързо се разпространява в цялата организация.
Една от особеностите, които благоприятстват работата на нападателите, е използването на софтуер с уязвимости – стар, „незакърпен”. Уязвимостите са отворени врати за инжектиране на рансъмуер (но също така и за провеждане на кампании за кибершпионаж), напомня Пасери.
Когато през 2020 г. много организации рязко въведоха дистанционна работа за служителите си, това се оказа отворена порта за кибер-злодеите. Работещите дистанционно са средство за „верижно изнудване” – първо бива атакувано устройството, с което работи отделният служител, а после чрез заразеното устройство се навлиза в корпоративната мрежа. Системите за отдалечен достъп правят това лесно за зложелателите.
Какво може да се направи?
Ако наистина трябва да осигурите достъп до вътрешни ресурси на мрежово ниво чрез VPN, уверете се, че системите са актуализирани с най-новите „кръпки” своевременно, съветва Пасери.
„За да се предпазите от „груба силова” атака (brute-force) и „пръскане с пароли” (password-spraying), наложете ефективна политика за управление на паролите. Ако е възможно, комбинирайте я с многофакторно удостоверяване както на външния слой, така и при достъп до вътрешни ресурси. Разбира се, винаги изключвайте VPN достъпа за тези, които не се нуждаят от него”, препоръчва специалистът.
При работа с RDP блокирайте достъпа до RDP портовете (3389 TCP / UDP), ако не се изисква, ограничете достъпа до тези, които наистина се нуждаят, и използвайте „шлюз”, за да избегнете излагането на системата директно в интернет. Както при VPN, налагайте многофакторно удостоверяване и удостоверяване на ниво мрежа за RDP.
Но най-вече не бива да се забравя, че най-трудно е да се атакуват системите, които са невидими, заключава експертът.