Ransomware

Групата Black Basta ransomware е използвала близо 3000 уникални креденшъли, за да се опитат да компрометират различни корпоративни мрежи.

Според компанията за киберсигурност KELA те са насочени основно към Remote Desktop софтуери и виртуални частни мрежи (VPN).

От Remote Desktop Web Access на Microsoft до Global Protect на Palo Alto и VPN услугите на Cisco – всички те са любима цел на ransomware групите. Веднъж компрометирани, тези услуги могат да се използват като шлюзове към корпоративните мрежи. След това кражбата на данни и внедряването на ransomware стават лесна задача.

В доклад, публикуван на 11 март, киберзастрахователят Coalition установява, че 2/3 от предприятията имат поне един панел за вход, изложен на интернет. Тези организации са три пъти по-застрашени от инцидент с ransomware. Най-често проблемите идват от лошо конфигурирани и зле защитени уеб панели за вход.

Три стъпки за осигуряване на отдалечения достъп

С навлизането на цифровата трансформация и работата отвсякъде, служителите трябва да имат възможност за отдалечен достъп до бизнес ресурси.

Но за да е сигурна тази комуникация, организациите трябва да:

• актуализират своите мрежови устройства, VPN мрежи и firewall – особено фърмуера, който e често забравян компонент;
• добавят силна, устойчива на фишинг многофакторна автентикация (MFA);
• да възприемат цялостна Zero Trust стратегия.

Организациите с нестопанска цел (НПО) все по-често стават обект на кибератаки. През 2024 заплахите срещу тях, базирани на електронна поща, са се увеличили с 35,2%. Те са насочени към данни на дарители, финансови трансакции и вътрешни комуникации.

Според нов доклад на Abnormal Security НПО са се превърнали в основни мишени заради ограничените си ресурси за киберсигурност, средата с високо доверие и честите финансови трансфери.

Нападателите се възползват от тези уязвимости, за да прилагат business email compromise (BEC) и vendor email compromise (VEC) схеми. Те подвеждат служителите от НПО сектора да пренасочват средства или да споделят чувствителна информация.

За този скок на атаките срещу него допринася и все по-усъвършенстваните тактики за социално инженерство.

Киберпрестъпниците изготвят изключително автентично изглеждащи фишинг имейли, които заобикалят традиционните филтри за сигурност. Често те се представят за дарители, регулаторни агенции или партньорски организации. Увеличаването на цифровите инструменти за набиране на средства и онлайн сътрудничество допълнително разширява повърхността за атака.

Фишингът на идентификационни данни срещу НПО е нараснал с 50,4%. При успешна атака престъпниците могат да компрометират вътрешните комуникации, да извършват финансови измами или да продават чувствителни данни в Dark Web.

Ransomware също е много опасен за организациите с нестопанска цел. Много от тях не разполагат с финансови ресурси, за да се възстановят от значителни прекъсвания на IT системите си.

НПО трябва да предприемат проактивни мерки за защита на своите операции. Те включват:

• използване на решения за сигурност на електронната поща, базирани на AI и филтри за блокиране на известни източници на фишинг;
• защита на имейл акаунтите с MFA;
• редовни обучения за повишаване на осведомеността относно киберсигурността на служителите.

Атаките през трети страни са се превърнали в основен фактор за финансови загуби от киберинциденти през 2024 г.

Те са в основата на 31% от всички застрахователни искове и 23% от материалните последствия през миналата година. Според компанията за управление на киберрискове Resilience това бележи значителна промяна спрямо 2023. Тя подчертава нарастващата уязвимост, създадена от взаимосвързаните системи и зависимостта от външни доставчици.

Атаките с ransomware, насочени към доставчици, съставляват 42% от исковете към трети страни през 2024. Загубите от тези инциденти нарастват четири пъти в сравнение с предходната година.

Като цяло ransomware запазва позицията си на водеща причина за материални щети за бизнеса през миналата година.

За да се защитят, организациите трябва да:

• спазват стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн;
• са сигурни, че резервните копия работят правилно, което изисква постоянни проверки;
• поддържат всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;
• използват софтуери за киберсигурност;
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация;
• провеждат постоянно обучения по киберсигурност на служителите си.

Хакерската група Ransomhouse обяви, че притежава данни, източени от информационните системи на Върховния административен съд (ВАС). За да докаже твърдението си, тя публикува списъци с имена и лични данни на служители, молби за отпуски и различни документи.

„Уважаемо управление на Върховния административен съд на България, съветваме ви да се свържете с нас“, пишат на сайта си хакерите.

„Все още установяваме дали това наистина са наши данни“, обяви изпълняващият функциите председател на ВАС Георги Чолаков.

По думите му Висшият административен съд се е разминал с по-големите проблеми, защото постановяването на актовете се извършва на хартия.

На 27 януари хакерската атака срина за дни Единната деловодна информационна система, използвана от всички административни съдилища в страната. Според Георги Чолаков вероятно заради човешка грешка тя е била поразена от ransomware софтуера White Rabbit.

Той призна, че е имало искане за откуп, но категорично отрече да има загуба на данни от Единната деловодна информационна система.

Плащанията на откупи след ransomware атаки намаляват с 35% на годишна база през 2024. В глобален мащаб те възлизат на 813,55 млн. долара в сравнение с 1,25 млрд. долара, регистрирани през 2023.

Миналата година е счупен рекорда за най-голяма платена сума – 75 000 000 USD, изчисляват в последния си доклад от Chainalysis. Като цяло обаче само около 30% от жертвите, участвали в преговори с нападатели, в крайна сметка са им платили някакъв откуп.

Според NCC Group 2024 е била годината с най-голям обем на пробиви на ransomware, като са отчетени 5 263 успешни атаки. Намаляването на плащанията за откуп въпреки по-големия брой кампании се обяснява с няколко ключови фактора – най-вече с по-високата устойчивост на жертвите.

Плащането на откуп след ransomware атака не се препоръчва заради няколко основни причини:

• няма гаранция за възстановяване на данните;
• показва на нападателите, че организацията е склонна да плаща, което я прави мишена за бъдещи атаки;
• плащането на откуп подпомага престъпната дейност и насърчава хакерите да продължат с атаките си срещу други организации.

 

 

Повече от половината (58%) от организациите, засегнати от ransomware през 2024 г., са били принудени да прекратят дейността си, за да се възстановят.

Това показва новото издание на Global Cost of Ransomware Study на Ponemon Institute. През 2021 г., откогато датира предходното изследване на организацията, този процент е бил 45.

Делът на респондентите, които съобщават за значителна загуба на приходи в резултат на атака с ransomware, почти се е удвоил за три години – от 22% на 40%. Ръст има и при репутацинните щети – 35% от организациите са претърпели такива през 2024 при 21% през 2021.

Докладът установява също така, че 51% от жертвите са платили искания откуп. Плащането обаче обикновено не е предотвратявало негативните последици. Едва 13% от анкетираните твърдят, че всички засегнати данни са били възстановени

Фишингът е най-разпространеният начин за разпространение на ransomware – 45% от случаите. Останалите подходи включват компрометиране на протокол за отдалечен работен плот (32%) и използване на софтуерни уязвимости (19%).

За да намалите риска вашият бизнес да стане жертва на подобен тип атака:

• спазвайте стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн;
• проверявайте регулярно резервните копия, за да сте сигурни, че работят правилно;
• поддържайте всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;
• използвайте инструменти за киберсигурност;
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация;
• провеждайте постоянно обучения по киберсигурност на служителите си.

Втори ден Единната информационна деловодна система и сайтът на Върховния административен съд (ВАС) са недостъпни след кибератака.

Атакуваната платформа съдържа информация по делата, водени от административните съдилища в страната. В момента тя не може да бъде използвана нито от служителите, нито от заинтересованите страни.

Пред BTV експертът по киберсигурност Любомир Тулев предупреди, че ако става дума за ransomware атака, последиците могат да бъдат много сериозни. Това би означавало, че нападателите са имали достъп до системата и могат както да извличат информация, така и да трият.

По думите му има голяма вероятност атаката да е извършена чрез фишинг имейли, които служители са отворили на служебните си компютри.

Този случай е поредното предупреждение за организациите какво може да им коства липсата на ясна стратегия за киберсигурност.

За да се защитят бизнесите, трябва да:

• провеждат редовни обучения на служителите си за разпознаване на фишинг атаки;
• защитят всички свои компютри и устройства с актуализиран антивирусен софтуер, който включва антифишинг функции;
• активират 2FA (MFA) за всички важни акаунти и системи;
• включат филтрите за спам и фишинг в имейл системата си;
• разработят и внедрят политика за сигурност, която включва процедури за справяне с фишинг атаки и други киберзаплахи.

Служителите, от своя страна, трябва да:

• проверяват внимателно името и имейл адреса на подателя и ако не са сигурни, никога да не кликат върху линкове или прикачени файлове;
• преди да въвеждат лична информация да проверяват дали уебсайтът е защитен (търсете „https://“ и иконка на катинар в адресната лента);
• не споделят никога лични данни като пароли или информация за кредитни карти чрез имейл или съмнителни уебсайтове;
• бъдат внимателни при получаване на съобщения, които изискват спешни действия, тъй като фишинг атаките често разчитат на това.

Ако получите съобщение, което изисква незабавни действия, проверете го внимателно. Дори то да идва от на пръв поглед доверен източник.

Светът е под обсада и това не е новина. Спонсорирани от държавата киберпрестъпници и нарастваща армия от новаци, въоръжени с мощни инструменти от Dark Web, използват всяко слабо звено в нашата киберсигурност. А това обикновено са потребителите.

Многофакторната автентикация (MFA), която някога се славеше като непробиваема защита, се разпада под тежестта на остарялата си технология. Фишинг атаките, ransomware и сложните експлойти я заобикалят с изумителна лекота.

Бурята се разраства, а с навлизането на още по-напреднали технологии и тактики най-лошото тепърва предстои.

Наследените системи за MFA: Политика на отворени врати за фишинг и ransomware

Вълната от фишинг и ransomware атаки обхваща всички индустрии, оставяйки след себе си разрушения. Загуби за безброй милиарди долари са причинени от киберпрестъпници, които се възползват от слабостите на наследените решения за MFA.

Тези системи, изградени върху лесно преодолими принципи като еднократни пароли и SMS удостоверяване, невинаги могат да се противопоставят на иновативните подходи.

Фишинг атаките са станали тревожно ефективни. Те заобикалят MFA с помощта на сложни тактики за социално инженерство, които се възползват от човешката доверчивост.

Ransomware групите също се възползват от слабостите на старите MFA модели, за да получат неоторизиран достъп до мрежите. Това им позволява да държат критични системи като заложници и да искат астрономически откупи.

Тази технология се превърна от бариера във въртяща се врата за киберпрестъпниците, като с всеки изминал ден предизвиква все по-големи бедствия.

Генеративният изкуствен интелект: Любимото оръжие на киберпрестъпниците

Генеративният изкуствен интелект е нож с две остриета, а в неправилните ръце той е оръжие с несравнима сила. Киберпрестъпниците вече използват технологията, за да създават фишинг атаки. Те на практика не се различават от легитимните съобщения.

Няма ги типографските и граматическите грешки. Няма ги вече и спешността, твърде добрите, за да бъдат истински, оферти и други червени флагове. Новите кампании подмамват дори най-добре обучените потребители да предоставят по невнимание достъп до мрежата на киберпрестъпниците.

AI инструментите анализират моделите на корпоративна комуникация и ги възпроизвеждат със забележителна точност. AI чатботовете могат да участват във взаимодействия в реално време за продължителен период от време. Deepfake се превръщат в най-доброто оръжие на киберпрестъпниците, което лесно заблуждава дори най-предпазливите потребители.

С помощта на AI фишингът вече не е грубо изкуство, а точна наука. В комбинация със слабостите на старите MFA системи тези инструменти позволяват мащабни кампании с голям успех. Те предефинират пейзажа на киберпрестъпността и риска пред организациите.

Сривът на бдителността на потребителите

Стратегиите за киберсигурност са толкова силни, колкото са силни хората, които трябва да ги използват. Днешното MFA остава изцяло зависимо от потребителите и това е сърцевината на неговата уязвимост.

Ново проучване на Gallup установява, че ангажираността на служителите е достигнала 10-годишно дъно. Едва 31% от тях покриват критериите. А няма как тези, които не са ангажирани с организацията си, да са добри пазители на достъпа до нейната мрежа.

Единственото решение е бизнесите да спрат да разчитат единствено на поведението на потребителите и да намерят начин да защитят инфраструктурите си. А това не е възможно при сегашните MFA решения.

Преминаването към устойчиво на фишинг, следващо поколение MFA, което не разчита на старанието на потребителя, е задължително за всяка организация. Съществуват много иновативни стартиращи компании с разнообразни решения, които намаляват този сериозен риск. Отговорът е прост – ако престъпниците преодоляват вашите ключалки, вземете по-добри ключалки.

Великобритания е напът да забрани на организациите от публичния сектор и критичната инфраструктура да плащат откуп при ransomware атаки.

Мярката е насочена към защитата на болници, училища, железници и други основни обществени услуги. Тя цели да направи критичните услуги непривлекателни цели за този тип атаки.

Правителството работи и по създаването на задължителен режим за докладване на подобни инциденти. По този начин то иска да помогне на службите да съберат повече информация за този тип заплахи и за групите, които ги организират.

Тези предложения идват в отговор на нарастващия брой ransomware атаки срещу обществената и критичната унфраструктура в Обединеното кралство.

Плащането на откуп при ransomware атака не се препоръчва поради няколко основни причини:

• Насърчаване на престъпността: Плащането на откуп стимулира киберпрестъпниците да продължат с атаките си, тъй като виждат, че техните методи са успешни и доходоносни.
• Липса на гаранция: Нямате никаква гаранция, че след плащането на откупа ще получите обратно достъп до своите файлове.
• Допълнителни рискове: Плащането може да ви направи цел за бъдещи атаки, тъй като престъпниците ще знаят, че сте склонни да изпълнявате техните искания.
• Финансиране на престъпни дейности: Плащането на откуп подпомага финансирането на други престъпни дейности и организации.

Киберзаплахите, базирани на браузъри, са нараснали рязко. Те са отговорни за 70% от наблюдаваните случаи на атака със зловреден софтуер през 2024.

Това очертава значителна промяна в тактиките, използвани от киберпрестъпниците.

Според доклада 2024 Threat Data Trends на eSentire Threat Response Unit зловредният софтуер, доставян по електронна поща, е намалял през миналата година. Неговият дял е 15%. За сметка на това кампании, включващи т.нар. drive-by downloads и злонамерени реклами, например са се увеличили значително.

Тези техники все по-често се използват за доставяне на зловредни инструменти като Lumma Stealer и NetSupport Manager RAT. Нападателите ги предпочитат заради способността им да заобикалят традиционните филтри за електронна поща и контрола на сигурността.

Злоупотребата с валидни пълномощия също отбелязва значителен ръст. Компрометираните такива са се превърнали в най-често срещаният първоначален вектор за достъп.

Останалите заключения сочат, че:

• случаите на атаки с Infostealer са се увеличили с 31% спрямо предходната година;
• ransomware атаките продължават да таргетират всички индустрии, като се наблюдава нарастване на случаите на пробиви в крайни точки;
• броят на атаките през лични устройства и акаунти на доставчици от трети страни расте, което поражда загриженост относно сигурността на веригата за доставки;
• тактики като quishing и ClickFix набират популярност.

За да бъдете защитени в тази променяща се среда на заплахи, трябва да разчитате на многопластова стратегия за киберсигурност. Тя включва:

• възможности за 24/7 откриване на заплахи;
• внедряване на EDR решения;
• използване на устойчива на фишинг MFA.

Освен това трябва да провеждате редовни симулации на фишинг атаки и обучения по киберсигурност за служителите си. По този начин ще повишите тяхната осведоменост за тактиките за социално инженерство.