кибератаки

Усъвършенствана техника за кибератаки използва Windows Defender Application Control (WDAC), за да деактивира EDR.

WDAC е въведена с Windows 10 и Windows Server 2016 и предоставя на организациите фин контрол върху изпълнимия код на техните устройства. Експерти по сигурността обаче откриват, че хакерите могат да използват тази функция в своя полза. Това потенциално оставя цели мрежи уязвими за атаки.

Техниката позволява на нападатели с административни привилегии да изготвят и внедрят специално разработени политики за WDAC. Те могат ефективно да блокират EDR по време на зареждането на системата. По този начин нападателите работят без ограниченията на тези критични за сигурността решения.

Атаката може да бъде извършена по различни начини – от насочване към отделни машини до компрометиране на цели домейни. В най-тежките сценарии нападател с права на администратор на домейн може да разпространи злонамерени WDAC политики в цялата организация.

Атаката включва три основни фази:

• атакуващият създава персонализирана WDAC политика, която позволява на собствените му инструменти да се изпълняват и блокира решенията за сигурност. След това тази политика се поставя в директорията C:\Windows\System32\CodeIntegrity\ на целевата машина;
• нападателят рестартира крайната точка, за да приложи новата политика;
• при рестартиране тя влиза в сила, като не позволява на EDR да се активира и оставя системата уязвима за по-нататъшно компрометиране.

Откриването на този тип атаки е предизвикателство заради използването на легитимни функции на Windows. Но за да смекчите тяхното въздействие, трябва да предприемете следните мерки:

• внедрете централни WDAC политики, които отменят локалните промени. Това гарантира, че злонамерените правила не могат да влязат в сила;
• прилагайте принципа на най-малките привилегии. Ограничете разрешенията за промяна на WDAC политиките и записите в чувствителни папки;
• деактивирайте или защитете локалните администраторски акаунти с инструменти като Local Administrator Password Solution (LAPS) на Microsoft.

С усъвършенстването на инструментите за сигурност се усъвършенстват и методите за тяхното преодоляване. Това подчертава необходимостта от многопластов подход към киберсигурността и постоянна бдителност от страна на бизнесите.

Последен ъпдейт на 9 януари 2025 в 16:35 ч.

В първата част на тази статия разгледахме 5 основни киберзаплахи за малките бизнеси. Фишинг атаките, ransomware, зловредните софтуери и кампаниите от типа DDoS и Man in the middle са изключително опасни. За съжаление обаче далеч не са единствени.

Ето още пет типа кибератаки, които могат да убият малките бизнеси, и как организациите могат да намалят риска:

6. Вътрешни заплахи

Не забравяйте, че врагът може да се крие зад вашите стени. Организациите често се фокусират върху външните заплахи, но пренебрегването на вътрешните рискове е игнориране на бомба със закъснител. Последствията могат да бъдат опустошителни. Може да става въпрос за недоволен служител, който иска да си отмъсти, или за добронамерен, но невнимателен такъв, който щраква върху фишинг връзка.

За да се защитите:

• проверявайте задълбочена миналото на всеки служител, преди да му бъде предоставен достъп до чувствителна информация;
• въведете строг контрол на достъпа, за да гарантирате, че служителите достигат само до информацията, необходима за техните роли. Това важи и за най-довереното ви обкръжение;
• непрекъснатият мониторинг е най-добрият ви приятел при откриването и неутрализирането на вътрешните заплахи;
• редовно одитирайте достъпа до данни и дейностите в системата ви. Това може да вдигне тревога много преди да настъпи значителен пробив.

7. Password Attacks

Паролите често са първата линия на защита, но могат да бъдат и най-слабото звено, ако не се управляват правилно. Слабите и лесно отгатваеми пароли приличат на това да оставите входната си врата отключена в квартал с високи нива на престъпност. При различните видове brute force атаки киберпрестъпниците не се нуждаят от сложни методи, за да получат неоторизиран достъп до вашите системи.

Освен че трябва да са сложни, паролите не трябва да се съхраняват на листчета или в незащитена електронна таблица. Идеалната парола е не само трудна за отгатване, но и строго охранявана.

За да се защитите:

• използвайте инструментите за управление на пароли, които могат да ги генерират и съхраняват сигурно вместо вас;
• използвайте MFA, която добавя още едно ниво на сигурността. Тя изисква допълнителна информация или действие, за да се получи достъп до вашата система.

8. Уязвимости на IoT

IoT (Интернет на нещата) устройствата се появяват навсякъде – от интелигентни термостати до свързани кафемашини. Въпреки че улесняват живота ни, те невинаги са създадени с мисъл за сигурността. Производителите често дават приоритет на удобството за ползване и функциите пред протоколите за сигурност.

Липсата на вградена защита прави IoT устройствата лесно достъпни за киберпрестъпниците. Веднъж компрометирани, тези на пръв поглед безобидни джаджи могат да служат като троянски коне. Te предоставят на нападателите достъп до по-голямата ви и подсигурена мрежа.

Тя е много повече от компютри и сървъри. Един умен хладилник или свързаният принтер в дъното на коридора може да се окажат ахилесовата пета на вашата мрежа. Тези устройства често споделят една и съща инфраструктура с вашите критични системи. Уязвимост в едно IoT устройство може да послужи като отправна точка за киберпрестъпниците да компрометират по-критични системи.

За да се защитите:

• сегментирайте мрежите си, като държите IoT устройствата отделени от основните си бизнес операции;
• въведете строги мерки за сигурност. Това включва задаване на силни, уникални пароли за всяко устройство и редовното им актуализиране;
• не разчитайте на настройките по подразбиране;
• следете актуализациите на фърмуера и пачовете за сигурност;
• провеждайте постоянен мониторинг на мрежите си за необичайна активност. Това ще ви позволи да действате, преди да са нанесени значителни щети.

9. Социално инженерство

Когато става въпрос за киберсигурност, често се фокусираме върху софтуерните уязвимости и забравяме човешкия аспект. При социалното инженерство обаче основният вектор на атаката не е софтуера, а вашият персонал. Атакуващите използват общочовешки черти като доверие или страх, за да подмамят служителите да предадат пароли, банкови преводи или дори физически достъп до сградата ви.

Техниките за социално инженерство са изключително разнообразни, а най-лошото е, че не съществуват технологични решения срещу тях. Вашият най-съвременен firewall и най-добрите инструменти за криптиране няма да са от голяма полза срещу служител, подмамен да предаде данните си за вход.

За да се защитите:

• провеждайте редовни обучителни сесии, които да информират служителите ви за най-новите техники за социално инженерство;
• създайте протоколи за проверка на самоличността на всеки, който иска поверителна информация;
• проверявайте задълбочено имейлите, в които се иска достъп или информация до вашите системи.

10. SQL Injection

Атаката от типа SQL Injection е като вълк в овча кожа. Тя влиза незабелязано през полето за въвеждане на уебсайта, но е достатъчно мощна, за да разруши цялата ви база данни. Нападателите обикновено използват лошо проектирани формуляри на уебсайтове, за да вмъкнат зловреден SQL код, който базата данни може да изпълни. В резултат на това нападателите могат да го манипулират, крадат или дори изтриват вашите данни. Тези атаки са особено опасни, тъй като са насочени към мястото, където съхранявате най-чувствителната информация за бизнеса и клиентите си.

Последиците от SQL Injection обикновено са катастрофални. Данните на клиентите могат да бъдат откраднати, а интелектуалната ви собственост – компрометирана. Това може да доведе до нарушения на разпоредбите за защита на данните, големи глоби и правни санкции.

За да се защитите:

• използвайте параметризирани заявки, които гарантират, че нападателите не могат да си играят с вашите SQL команди;
• интегрирайте firewall за уеб приложения (WAF), който наблюдава и филтрира злонамерените HTTP заявки;
• провеждайте редовни одити на сигурността, за да идентифицирате уязвимостите, преди да бъдат използвани;
• направете превенцията ключов компонент на вашата стратегия за киберсигурност.

Севернокорейските хакери са откраднали криптовалути на стойност 1,34 млрд. USD след 47 кибератаки, извършени през 2024 г.

Според доклад на Chainalysis тази сума представлява 61% от общия размер на откраднатите средства за годината и бележи увеличение с 21% на годишна база. Въпреки че инцидентите с криптовалути достигат рекордните 303, цифрата на общите загуби не е безпрецедентна. 2022 г. остава рекордна с 3,7 млрд. долара.

Повечето от инцидентите през тази година са се случили между януари и юли, като през този период са откраднати 72% от общата сума за 2024 г. Най-сериозният случаи е хакването на DMM Bitcoin от май. При него са загубени криптовалути за над 305 млн. USD. При киберизмамата WazirX от юли пък са откраднати 235 млн. USD.

Анализаторите съобщават, че компрометирането на частни ключове е стояло в основата на 44% от загубите. Експлоатацията на уязвимости в сигурността е виновна за едва 6,3% от откраднатите криптовалути.

С 2,5 млрд. акаунта Gmail е най-голямата услуга за електронна поща в света. Това я превръща в любим вектора за кибератаки на хакерите. И въпреки че Google постоянно въвежда нови функции за сигурност, те измислят нови тактики.

Навлизането на AI и възможностите за deepfake, които дава той, се превърнаха в поредното оръжие в арсенала на киберпрестъпниците. Те използват технологията, за да създават изключително реалистични фалшиви видеоклипове или аудиозаписи, почти неразличними от автентично съдържание от реални хора.

Платформите за deepfake стават все по-достъпни и вече дори хора без предишен опит могат да създават убедително съдържание. Атаките имат такова качество, че могат да заблудят дори опитен професионалист в областта на киберсигурността.

Пример за това е консултантът по решения за сигурност на Microsoft Сам Митрович. През октомври той става жертва на атака, задвижвана от AI.

Тя протича така:

• получава известие за опит за възстановяване на акаунт в Gmail. На пръв поглед то идва от Google;
• експертът игнорира това съобшение, но седмица след това получава телефонното обаждане от „отдела за поддръжка“ на компанията. То е извършено от напълно легитимен телефонен номер;
• впоследствие обаждащият се изпраща имейл за потвърждение.

Тъй като е консултант по сигурността обаче, Митрович забелязва нещо, което по-малко опитен потребител би пропуснал. В полето за изпращача е умело замаскиран адрес, който всъщност не е на Google. Ако не беше забелязал това несъответствие, Митрович е можело да завърши „процеса на възстановяване“. Това би позволило на нападателя да прихване данните за вход и бисквитката на сесията, а оттам и да заобикали 2FA.

За да ограничите максимално риска да стането жертва на подобни атаки, Google препоръчва:

• ако получите подобно предупреждение, избягвайте да кликвате върху връзки, да изтегляте прикачени файлове или да въвеждате лична информация. „Google използва усъвършенствана система за сигурност, за да ви предупреждава за опасни съобщения, опасно съдържание или измамни уебсайтове“, казват от компанията. „Не въвеждайте лична информация в имейли, съобщения, уебстраници или изскачащи прозорци от ненадеждни или непознати доставчици.“
• не отговаряйте на искания за лична информация по имейл, текстово съобщение или телефонно обаждане;
• ако смятате, че имейл за сигурност, който изглежда като от Google, може да е фалшив, отидете директно на myaccount.google.com/notifications. На тази страница можете да проверите последните дейности по сигурността на вашия профил в Google;
• пазете се от съобщения, изискващи спешни действия. Това важи с пълна сила за такива, които на пръв поглед идват от близки хора, като например приятел, член на семейството или колега;
• ако все пак кликнете върху връзка и бъдете помолени да въведете паролата за вашия Gmail, акаунт в Google или друга услуга: Не го правете! Вместо това отидете директно на уебсайта, който искате да използвате.

 

Швейцарския федерален технологичен институт в Лозана е постигнал 100% успеваемост при разбиването на защитите за сигурност на водещи GenAI модели. EPFL е използвал адаптивни jailbreak атаки срещу известни платформи като GPT-4 на OpenAI и Claude 3 на Anthropic.

По този начин моделите започват да генерират опасно съдържание, вариращо от инструкции за фишинг атаки до подробни конструктивни планове за оръжия.

Адаптивните атаки заобиколят мерките за сигурност, като се възползват от различни слаби места. Моделите започват да отговарят на злонамерени заявки като „Как да направя бомба?“ или „Как да проникна в правителствена база данни?“. По принцип разработчиците залагат предпазни мерки, които не позволяват платформите им да се използват за подобни цели.

Това е пореден пример, че, наред с позитивното си влияние, AI може да се превърне в оръжие в ръцете на хакерите.

Последен ъпдейт на 5 януари 2025 в 10:07 ч.

В цифровата ера малките фирми могат да процъфтяват както никога досега, но само ако успеят да се справят с нарастващата вълна от киберзаплахи. Ако някога се смяташе за проблем на големите корпорации, днес киберсигурността е критичен въпрос за бизнесите от всякакъв размер. Малките фирми често не разполагат със стабилни защитни механизми, което ги превърна в основни мишени за киберпрестъпниците.

Киберсигурността не е само IT проблем, тя вече е въпрос на оцеляване. Изборът е ясен: адаптирайте се и защитете бизнеса си или рискувайте да се превърнете в поредната поучителна история за другите.

Ето кои са 10-те основни киберзаплахи, от които малките бизнеси трябва да се предпазват, и как да го направят.

1. Фишинг атаки

Фишингът има различни форми и всяка от тях е насочена към най-слабото звено в една организация – човешкия фактор.

Spear phishing кампаниите, например, се насочват към конкретни лица. Те често използват лична информация, за да спечелят доверието на жертвата.

Whaling phishing таргетира високопоставени ръководители заради техния достъп до чувствителна информация.

Clone phishing е особено коварен, тъй като възпроизвежда предишни официални имейли, но заменя легитимните връзки или прикачените файлове със злонамерени.

Повечето фишинг имейли са старателно изработени, за да изглеждат легитимни. За нетренираното око адресът на изпращача, логото и дори подписът на имейла изглеждат напълно автентични. Те често са придружени от убедителни призиви за бързи действия.

За да се защитите:

• интегрирайте многопластови мерки за сигурност, като например решения за филтриране на имейли и инструменти за откриване на аномалии, управлявани от изкуствен интелект;
• регулярно обучавайте служителите си за последните тенденции във фишинг атаките;
• периодично провеждайте симулационни фишинг тестове, за да държите екипа в готовност;
• възнаграждавайте тези, които идентифицират опитите за фишинг, като по този начин създавате култура на осведоменост за киберсигурността.

2. Ransomware

Ransomware действа като цифров бандит, който изземва ценните ви данни и иска откуп, за да ги върне. След като проникне в системата ви, той ги криптира и блокира достъпа до тях, докато не платите откуп. Дори да платите обаче, няма гаранция, че ще ги получите обратно.

Затова никога не плащайте искания откуп. Ако го направите, това само изчерпва финансовите ви ресурси и ви прави мишена за бъдещи атаки. След като киберпрестъпниците разберат, че сте готови да платите, вие по същество рисувате мишена на гърба си.

За да се защитите:

• използвайте инструменти за откриване и реагиране на зловреден софтуер в реално време. Те могат да идентифицират и изолират ransomware атаките още в зародиш, преди да успеят да нанесат поражения;
• поддържайте актуални резервни копия на данните си в отделни, изолирани среди, които не са пряко достъпни от основната ви мрежа;
• обучете екипа си как да разпознава ранните признаци на ransomware атака, като например нежелани прикачени файлове към имейли или подозрителни софтуерни актуализации, и да ги докладва незабавно.

3. Зловреден софтуер (malware)

Когато повечето хора чуят „зловреден софтуер“, те веднага се сещат за вируси. Тази вселена обаче е много по-широка и включва изобилие от инструменти – червеи, троянски коне и шпионски софтуер. Всеки вариант има свой собствен начин на действие. Някои от тях са предназначени да изтриват файловете ви, други крадат данни, а трети могат да получат пълен контрол над компютъра ви.

Тези злонамерени програми често използват усъвършенствани техники, за да избегнат откриването си. Веднъж попаднали в системата, те могат да останат неактивни или да действат скрито във фонов режим. Този вид продължително излагане на риск може да предизвика хаос, да компрометира данни, да подкопае доверието на клиентите и дори да спре бизнес операциите ви.

За да се защитите:

• редовно актуализирайте софтуерите си за киберсигурност;
• регулярно обучавайте служителите си за опасностите от изтеглянето на прикачени файлове от неизвестни или подозрителни източници и следването на съмнителни връзки.

4. Man in the middle

Атаките от типа man in the middle (MitM) са изключително опасни. Представете си, че някой прихваща пощата ви, прочита я и след това я изпраща на получателя, без вие да разберете. Само че в този случай това са всичките ви цифрови комуникации.

При този тип атаки хакерите могат да променят съдържанието или да съберат цялата информация за бъдеща атака. Това може да се случи по време на всяко онлайн взаимодействие – от изпращане на имейл до извършване на финансова трансакция на висока стойност.

За да се защитите:

• инвестирайте в надеждни цифрови сертификати за удостоверяване на самоличността на вашия уебсайт и свързаните с него онлайн платформи;
• информирайте служителите и клиентите си за рисковете от свързване с незащитени мрежи или игнориране на предупрежденията на браузъра за ненадеждни сертификати.

5. DDoS атаки

DDoS атаките заливат мрежата ви с прекомерно количество данни, като забавят или спират работата ѝ. Онлайн услугите ви стават недостъпни.

Това ги превръща в кошмар за непрекъснатостта на бизнеса. Когато системите ви се сринат, последствията могат да бъдат катастрофални. Клиентите нямат достъп до услугите ви, продажбите рязко спадат, а репутацията на фирмата ви се срива. В дългосрочен план тези атаки могат да подкопаят доверието на клиентите и да ги накарат да се насочат към ваши конкуренти.

За да се защитите:

• уверете се, че разполагате с инструменти за защита от DDoS, за да можете да разпознаете рязкото нарастване на легитимната активност на клиентите и злонамерения трафик;
• следете за най-новите актуализации за сигурност, които поправят известни уязвимости, намалявайки цялостния ви риск;
• провеждайте периодични стрес тестове на вашата система;
• изградете план за реагиране, адаптиран за DDoS сценарии, така че всеки от екипа ви да знае своите отговорности. Това гарантира бързо и координирано противодействие на всяка атака.

(Очаквайте продължение)

В началото на месеца много потребители на Facebook бяха обект на фишинг атака от името на Meta AI. Това е компания, собственост на Meta, която разработва AI и AR/VR технологии. В случая обаче хакерите използваха името ѝ в кампания за кражба на акаунти.

Сега те са предприели нова тактика, представяйки се за „група ПОДКРЕПА във FACEBOOK”. В съобщенията се казва, че потребителят трябва да потвърди имейла и телефона си на посочен линк преди 1 януари 2025. В противен случай акаунтът може да бъдат заключени. Потвърждението трябва да се направи 24 часа след получаването на съобщението. Жертвата се предупреждава, че няма право на никаква обратна връзка, освен да последва посочения линк.

Това са типичните подходи при фишинг кампания – внушаване на спешност и липса на възможност за получаване на допълнителна информация. Стилистичните грешки в първите изречения също издават характера на съобщението.

За да се предпазите от подобни фишинг атаки във Facebook:

• не кликвайте на подозрителни линкове в съобщения, които идват от непознати профили;
• проверявайте автентичността на съобщенията от името на Meta по официалните канали за поддръжка. Компанията никога не се свързва с потребителите на лични;
• активирайте 2FA. Това добавя допълнителен слой защита, изисквайки втори метод за удостоверяване със SMS код или приложение за сигурност;
• Ако получите съмнително съобщение, използвайте опцията „Докладвай“ във Facebook.

Fortinet предупреди за вече поправена критична уязвимост в сигурността на Wireless LAN Manager (FortiWLM). Тя позволява разкриването на поверителна информация.

Уязвимостта има CVSS оценка 9,6 от максимална 10,0 и засяга следните версии на продукта:

• FortiWLM версии от 8.6.0 до 8.6.5 (отстранена във версия 8.6.6 или по-нови)
• FortiWLM версии от 8.5.0 до 8.5.4 (отстранена във версия 8.5.5 и по-нови).

В последно време устройствата на компанията се превърнаха в магнит за атаки. Затова потребителите трябва задължително да актуализират своите инстанции до последните налични версии.

Пейзажът на киберсигурността се развива по-бързо от всякога. Зад това развитие стои както напредъкът на технологиите, така и все по-усъвършенстваните тактики на киберпрестъпниците.

Ето някои основни тенденции, които ще оформят индустрията, и няколко съвета от ESET как организациите могат да подобрят своята киберзащита.

Заплахи, задвижвани от изкуствен интелект (AI)

Инструментите на AI позволяват на киберпрестъпниците да генерират убедителни фишинг кампании и дезинформация в голям мащаб. Очаква се ръст на по-достоверно изглеждащите измами, генерирани и задвижвани от AI модели с отворен код. По-уязвимите потребители на социалните медии ще станат обект на кампании за дезинформация и манипулация.

Ransomware и EDR Killers

RansomHub рязко се издигна като лидер на пазара на ransomware като услуга (RaaS) през 2024 г. и най-вероятно ще продължи да доминира през следващата година. В тази силно конкурентна среда киберпрестъпниците ще продължат да подобряват своите EDR Killers, като ги правят по-сложни и по-трудни за откриване.

Мобилни измами и зловреден софтуер

През 2025 г. се очаква увеличаване на атаките срещу iOS чрез Progressive Web Apps (PWA) и WebAPK, които заобикалят традиционната защита на магазините за приложения. Приемането на SDK Flutter от страна на хакерите също ще се засили. Те все по-често ще използват неговите мултиплатформени възможности за разпространение на зловреден софтуер.

Предизвикателства пред сигурността в облака

Продължаващото преминаване към облачни инфраструктури носи със себе си рискове като неправилни конфигурации, несигурни API и вътрешни заплахи. За да ги смекчат, предприятията трябва да се съсредоточат върху криптирането и защитата от DDoS. Сигурното управление на API и стриктното наблюдение на конфигурациите в облака също са от критично значение за сигурността на организациите.

Съответствие и NIS2

Съответствието с новата директива NIS2 ще остане ключова тема през 2025 г. По-строгите мерки за сигурност, наложени от директивата, ще пренасочат киберпрестъпниците към организации извън нейния обхват. Ще се увеличи и риска от шантаж на тези, които не са в състояние да изпълнят новите задължителни стандарти. Затова всички организации – независимо от мащаба и индустрията – трябва да бъдат подготвени да подобрят своите практики за киберсигурност.

Проактивни мерки и превенция

Възприемането на мислене, насочено към превенцията, е от решаващо значение за справяне с тези нови заплахи. Организациите трябва да прилагат проактивни мерки. Те включват:

• надеждни инструменти за сигурност, управлявани от изкуствен интелект;
• по-силно криптиране;
• усъвършенствани системи за управление на идентичността;
• постоянно повишаване на осведомеността на служителите по въпросите на киберсигурността.

2025 г. ще бъде осеяна с предизвикателства, но с правилната стратегия и ангажимент за иновации организациите могат да ограничат нарастващите рискове.

Хакерска група е използвала Microsoft Teams, за да манипулира жертвата си да предостави отдалечен достъп до своята система.

Тази иновативна атака подчертава нарастващата сложност на тактиките за социално инженерство, използвани от киберпрестъпниците, посочват от Trend Micro.

Тя протича така:

• хакерите изпращат към жертвите поток от фишинг имейли;
• малко след това нападателят инициира разговор в Microsoft Teams, представяйки се за служител по техническата поддръжка;
• по време на разговора нападателят инструктира жертвата да изтегли легитимно приложение за отдалечена поддръжка – AnyDesk;
• след като то е инсталирано, той получава контрол над машината на жертвата и инсталира зловреден софтуер;
• чрез AnyDesk изпълнява команди и събира подробна информация за системата и мрежовите конфигурации.

За да се предпазите от подобни атаки:

• винаги проверявайте самоличността на трети страни, които се представят за техническа поддръжка, преди да предоставите достъп;
• създайте бял списък на одобрените инструменти като AnyDesk и въведете MFA за допълнителна сигурност;
• обучавайте регулярно служителите си за тактиките на социалното инженерство, като фишинг и вишинг, за да намалите податливостта към такива атаки.

Този инцидент служи като ярко напомняне за това как нападателите използват доверието и легитимните платформи като Microsoft Teams за зловредни дейности. Бдителността и проактивните мерки за сигурност са от съществено значение за осуетяване на подобни заплахи.