Новые старые угрозы требуют бдительности
Несколько громких инцидентов, связанных с заражением троянцами-шифровальщиками, отмечены уже в середине марта. Так, по некоторым данным, именно такой зловред привел к сбою в работе маркетплейса Wildberries, который продолжался несколько дней (см. новость ComNews от 17 марта 2022 г.). По схожей схеме, по оценке руководителя группы инженеров информационной безопасности "Крок" Антона Голубкова, проведена атака на один из крупнейших российских агрохолдингов, в итоге было нарушено его взаимодействие с регулятором. Также таким атакам подвергаются многие российские компании, учреждения и организации, в том числе такие, которые никогда раньше не подвергались посягательствам киберпреступников. При этом финансовая мотивация, которая была основным мотивом для действий группировок, которые осуществляли такого рода атаки, отошла на второй план.
Руководитель Лаборатории цифровой криминалистики Group-IB Олег Скулкин оценил рост атак с использованием шифровальщиков на российские компании после 24 февраля в 200%, при этом мотив злоумышленников не является финансовым: "Нужно различать атаки с использованием программ-вымогателей, где основная мотивация - финансовая выгода, и атаки с целью уничтожения компьютерной информации, где мотивацией является саботаж. Иногда различить такие атаки бывает сложно, но разница в мотивации очень велика. Рост внимания к таким атакам в западных странах был связан с тем, что многие группы с 2019 г. начали публиковать данные о жертвах на так называемых DLS (Dedicated Leak Site - сайт для публикации выгруженных данных), поэтому получить данные о жертвах было довольно легко всем желающим. Группы, атаковавшие организации в России такой подход не использовали, поэтому в публичное поле информация о них зачастую не попадала".
Руководитель группы исследования угроз Positive Technologies Денис Кувшинов, однако, не видит в сложившейся ситуации ничего принципиально нового: "Российские компании и раньше подвергались атакам шифровальщиков. Нельзя говорить, что это что-то новое. Сейчас нужно предусмотреть все возможные сценарии атак на организации. И атаки с использованием шифровальщиков входят в их число".
Меры, которые рекомендует предпринять НКЦКИ, делятся на первоочередные и жесткие. В первую очередь рекомендуется проводить регулярное резервное копирование и убедиться, что данные корректно восстанавливаются, а также ограничить доступ к резервным копиям нескольким выделенным сотрудникам. Другими рекомендациями из разряда первоочередных явлюется ограничение сетевой связности на уровне подразделений, усиление защиты систем централизованного управления ИТ-инфраструктурой, аудит систем периметровой защиты, устранение известных уязвимостей, проведение обучения сотрудников, актуализация используемых средств защиты, включая антивирусные средства, межсетевые экраны, песочницы.
Меры из разряда жестких НКЦКИ предлагает использовать с осторожностью, поскольку их внедрение, как предупреждают авторы бюллетеня, ведет к заметному снижению удобства работы. Они включают, например, полный запрет на открытие ссылок и вложений в сообщениях электронной почты, отключение гостевого доступа к беспроводной сети, ограничение использования личных устройств сотрудников, прежде всего в качестве точек доступа, ограничение перечня разрешенных внешних ресурсов исключительно теми, которые внесены в "белый список", смена паролей всех учетных записей. Полную версию данного документа можно найти по адресу .
Денис Кувшинов также предупреждает, что шифровальщик может попасть на компьютер несколькими путями, которые необходимо перекрыть: "Возможно заражение через фишинговые сообщения, через взломанный сервер на периметре организации, через зараженное ПО. В случае с почтой хорошим средством защиты станет песочница. На конечных устройствах пользователей будет полезен EDR (Endpoint Detection and Response) или антивирус. В общих рекомендациях стоит добавить использование систем для обнаружения киберугроз и реагирования на них (XDR, Extended Detection and Response), хранение актуальных бэкапов критичных узлов на отдельном сервере, для того чтобы в случае успешной работы шифровальщика можно было оперативно восстановить информацию".
Сооснователь и генеральный директор компании "Антифишинг" Сергей Волдохин в ходе вебинара, посвященного результатам очередного исследования, посвященного борьбе с фишинговыми атакам, обратил внимание на важность мероприятий по обучению пользователей. Только таким образом можно избегать того, что сотрудники пойдут на поводу у организаторов фишинговых атак, которые используются в том числе и для того, чтобы запустить программный зловред. По итогам 2021 г., по данным исследования компании "Антифишинг", именно фишинг использовался в ходе 42% атак. По данным Solar JSOC, доля фишинга в общем объеме атак достигает 60% (см. новость ComNews от 17 марта 2022 г.). Руководитель направления аналитики внешних угроз Solar JSOC Александр Ненахов на вебинаре "Кто и как угрожает российским финансовым компаниям в киберпространстве?" обратил внимание, что организаторы фишинговых атак все более тщательно планируют свои акции, активно эксплуатируя актуальную повестку аудитории в каждой стране или даже отдельной компании. А в последний месяц, как подчеркнул Сергей Волдохин, соответствующие методы используются и для политически мотивированных веерных атак на российские компании, в том числе из разряда тех, которые никогда раньше не попадали в поле зрения киберпреступников.
