Малък и среден бизнес

Хакерите все по-често насочват фишинг кампаниите си към надеждни онлайн услуги за споделяне на документи. По този начин те заобиколят защитените платформи за електронна поща и успяват да откраднат потребителските креденшъли.

През 2024 този тип услуги са били обект на 8,8% от всички фишинг кампании, сочи проучване на Cofense Intelligence. 79% от анализираните случаи са включвали опити за кражба на креденшъли.

Сред най-често атакуваните са:

• Dropbox (25,5%) – най-използваната, тъй като фишинг файловете остават онлайн по-дълго заради големия трафик;
• Adobe (17%) – използват се главно за изпращане на злонамерени PDF файлове;
• SharePoint (17%) – нападателите се представят за колеги или бизнес партньори;
• DocuSign (16%) – често се използва при фишинг кампании, свързан с човешките ресурси, и в 6% от фишинг атаките с QR код;
• Google Docs (11%) – разпространение на зловреден софтуер чрез вградени връзки;
• Canva (9%) – фишинг чрез споделяне на PDF и мултимедия;
• Zoho (4%) – значителен скок на злоупотребите през декември 2024 до началото на 2025.

Някои от тези услуги автоматично изпращат известия на потребителите, когато даден документ е споделен, което допълнително легитимира опита за фишинг.

За да се предпазят, организациите и физическите лица трябва да въведат допълнителни нива на сигурност. Те включват:

• обучение на потребителите;
• инструменти за поведенчески анализ;
• MFA.

Мониторингът на подозрителни дейности при споделяне на документи също може да помогне за откриване на опити за фишинг, преди те да доведат до нарушаване на сигурността на данните.

Aтаките с т.нар. EDR Killers стават все по-разнообразни. Те са предназначени да блокират инструментите за киберсигурност и да позволят безпроблемното изпълнение на ransomware. Това поставя още едно предизвикателство пред бизнеса в киберпространството.

Още повече, че този тип зловредни софтуери рязко увеличават своята популярност. Според Picus Red Report 2024 тяхното използване е скочило със зашеметяващите 333% през миналата година.

Опростените версии на EDR Killers са под формата на скриптове, които се опитват директно да прекратят списъка с процеси. По-сложните отиват отвъд това и използват техниката, известна като Bring Your Own Vulnerable Driver (BYOVD). Те злоупотребяват с легитимни, но уязвими (обикновено по-стари) драйвери, за да получат достъп до ядрото на целевата операционна система.

Тези инструменти все пак могат да бъдат спрени. Точните мерки за превенция и надеждните решения за киберсигурност от опитен доставчик са важна част от това.

Как да се защитим от EDR Killers

Защитата срещу EDR Killers не е лесна задача. Тя изисква подход, насочен преди всичко към превенцията. Освен това организациите се нуждаят от многопластова стратегия, способна да открива зловреден софтуер на няколко етапа от атаката.

Ето няколко компонента на вашата защита, с които трябва да разполагате, според ESET:

• Висококачественият EDR е задължително условие: EDR Killers са усъвършенствани инструменти за атака. Затова решенията за киберсигурност, внедрени в целевата крайна точка, също трябва да са от най-високо ниво. Те трябва да разполагат с възможности за откриване на зловреден код, злоупотребяващ с уязвими драйвери, още преди изпълнението му.
• Нужна е и защита от подправяне: Тя не позволява на неоторизирани потребители да деактивират или променят компонентите или възможностите на дадено решение за сигурност.
• Блокиране на уязвими драйвери: Това може да се постигне чрез строги политики по отношение на потенциално опасни приложения. За да избегнете смущения в работата на системата, трябва да започнете с режим „Detect but don’t clean”. След това добавете изключения, ако е необходимо, и накрая преминете към режим „Detect and clean”.
• Управление на уязвимостите и пачовете: Нападателите могат да се опитат да злоупотребят с уязвим драйвер, който вече е наличен на компрометираната машина, вместо да разчитат на BYOVD. Ето защо наличието на правилно управление на пачовете е друг ефективен метод за защита.
• Засилване на контрола на приложенията: Подобрете защитата си чрез контрол на приложенията. Например чрез Windows Defender Application Control (WDAC), където можете да създадете политика, която позволява зареждането само на избрани драйвери.
• Ограничаване на достъпа до настройките за сигурност на крайните точки: Използването на силна парола за блокиране на тези настройки добавя още едно ниво на защита.

Имайте предвид, че криптирането на файлове и последващото изнудване обикновено са последните етапи на атаката с ransomware. Преди това мрежата е била пробита и нападателят е успял да получи администраторски привилегии. Задачата на защитниците е да открият атаката на ранен етап, за да предотвратят изцяло възможността тя да стигне до финалните си акорди.

Потребителите на Kubernetes, използващи популярния контролер Ingress NGINX, веднага трябва да инсталират пачове на четири новооткрити уязвимости. Те позволяват изпълнение на отдалечен код (RCE) и са с оценка на сериозност 9,8 от 10.

Wiz Security ги обединява под името „IngressNightmare“. Те засягат контролера, който е предназначен за насочване на външен трафик към съответните услуги на платформата.

Уязвимостите засягат 43% от всички облачни среди, включително много компании от класацията Fortune 500.

За да предпазят системите си, администраторите на Kubernetes трябва:

• да обновят контролера Ingress NGINX до версии 1.12.1 и 1.11.5;
• да се уверят, че крайната точка на admission webhook не е изложена на външен достъп.

Киберпрестъпник с име „rose87168“ твърди, че е откраднал шест милиона записа от сървърите на Oracle Cloud. Според него пробивът засяга над 140 000 наематели на облачни услуги в световен мащаб.

Откраднатите данни включват:

• Java Key Store (JKS) файлове;
• криптирани пароли за Single Sign-On (SSO);
• хеширани пароли на Lightweight Directory Access Protocol (LDAP);
• ключове на Enterprise Manager Java Platform Security (JPS).

Хакерът твърди, че се е възползвал от уязвимост в инфраструктурата за влизане в Oracle Cloud – login.( име на регион).oraclecloud.com. Този поддомейн е хоствал остарял софтуер Oracle Fusion Middleware, податлив на атака чрез известна уязвимост в Oracle Access Manager.

Откраднатите записи се рекламират във форуми в Dark Web, включително Breach Forums. Rose87168 иска плащане на откуп от засегнатите организации, за да не продава или разкрива техните данни.

Oracle отрича твърденията за пробив в своята облачна инфраструктура. В изявление, публикувано на 21 март 2025 г., компанията твърди, че не са били компрометирани никакви данни на клиенти.

Все пак, ако вашата организация използва Oracle Cloud, ви препоръчваме:

• Смяна на идентификационните данни: Променете всички SSO, LDAP и свързани с тях пароли, като приложите силни комбинации и MFA;
• Наблюдавайте системите: Внедрете инструменти за мониторинг на сигурността, за да откриете в зародиш неоторизиран достъп или необичайна дейност;
• Ангажирайте се с Oracle: Обърнете се към доставчика на облачната инфраструктура и потърсете съвети за защита на системите;
• Засилване на сигурността: Въведете строг контрол на достъпа и подобрени механизми за регистриране на потребителите.

Този пробив подчертава нарастващата сложност на кибератаките, насочени към облачни среди. Той подчертава значението на редовните актуализации на софтуера, проактивното наблюдение на заплахите и надеждните мерки за сигурност за намаляване на рисковете.

Mрежите за киберпрестъпления стават все по-свързани с национални държави и засилват атаките си с помощта на изкуствен интелект.

Това твърди Европол в новия си доклад „2025 EU Serious and Organised Crime Threat Assessment“ – EU-SOCTA. В него се описват подробно заплахите срещу държавите и организациите в ЕС, идващи от организираната престъпност, включително в киберпространството.

Правоприлагащата агенция изтъква няколко тенденции, които поставят сериозни предизвикателства пред индустрията за киберсигурност.

„Хибридни зловредни актьори“ и престъпници формират сенчести съюзи

Една от тези тенденции е появата на т.нар. от Европол „хибридни зловредни актьори“. Те използват мрежи за киберпрестъпления за постигане на политически цели срещу други държави. Според доклада това излага ЕС на риск от дестабилизация.

В същото време технологичен напредък – особено в областта на AI – променя начина, по който се организират, изпълняват и прикриват престъпленията.

„Някои държави предоставят убежище на престъпниците в замяна на техните услуги, като им позволяват да действат свободно, без да се страхуват от съдебно преследване“, се казва в EU-SOCTA. „Това също така позволява на тези държави да отричат прякото си участие. Те възлагат определени престъпления като кибератаки, кампании за дезинформация или дори пране на пари на престъпни мрежи“.

Освен това аутсорсингът на атаки към престъпни мрежи със съществуваща инфраструктура е по-рентабилен подход за „хибридни зловредни актьори“. Престъпните мрежи, от своя страна, получават достъп до „най-съвременни инструменти“. Те могат да се използват извън подкрепяните от национални държави атаки, което се превръща в сериозна заплаха за организациите.

Злоупотреба с GenAI, LLM и Deepfake

Друга тенденция, която Европол изтъква, е засилването на престъпната дейност чрез нововъзникващи технологии, по-специално AI. Агенцията подчертава, че генеративният изкуствен интелект (GenAI) е понижил бариерата за навлизане в киберпрестъпността. Той позволява на хакерите да създават по-ефективни фишинг имейли и да автоматизират мащабни атаки.

„Системите, управлявани от изкуствен интелект – LLM, GenAI и др., стават все по-усъвършенствани и удобни за ползване. Престъпните мрежи все повече използват техните възможности в широк спектър от престъпления“, се посочва в доклада.

Киберпрестъпниците използват AI и за създаване на изключително убедителни deepfake за различни атаки и измами. С помощта на изключително реалистични синтетични медии, те са в състояние да заблуждават жертвите, да се представят за висшестоящи лица и да дискредитират или изнудват целите.

„Добавянето на гласови клонинги и видеофайлове, задвижвани от AI, засилва заплахата. Te дават възможност за нови форми на измама, изнудване и кражба на самоличност“, предупреждават от Европол.

През изминалата година е регистриран рязък ръст на фишинг атаките, базирани на браузър.

Според нов доклад на Menlo Security увеличението на годишна база – между 2023 и 2024 – е 140%. Основните причини за тази тенденция са възходът на фишинг техниките, базирани на AI, и използването на корпоративните браузъри.

Киберпрестъпниците все повече се фокусират върху тях като основен вектор на атака. Те заобиколят традиционните мерки за сигурност чрез сложни техники, социално инженерство и Zero day уязвимости. Ръстът на фишинг атаките от типа Zero day е 130%.

В доклада се подчертава и рязкото увеличаване на фишинг кампаниите за кражба на креденшъли. Те често се маскират като надеждни корпоративни приложения или наложени брандове, за да подмамят жертвите да предоставят чувствителна информация.

Нападателите се възползват и от големия обществен интерес към GenAI. Те имитират популярни платформи, залагайки на любопитството на потребителите и доверието им в авангардните технологии.

Злоупотребите с услуги на Cloudflare за фишинг са скочили значително – със 104%. Използването на фишинга-като-услуга (PhaaS) също нараства.

За да се предпазят, организациите и потребителите трябва да предприемат проактивни мерки за сигурност:

• решенията за сигурно сърфиране в облака могат да изолират дейността на потребителите от корпоративните мрежи. По този начин се предотвратява компрометирането на системите от злонамерено съдържание;
• инструментите за откриване на заплахи с помощта на AI могат да помогнат за идентифицирането и неутрализирането на сложни фишинг кампании, преди да причинят щети;
• организациите трябва да възприемат системи за мобилна сигурност в реално време, базирани на AI. Така те ще могат да откриват и блокират фишинга, преди потребителите да бъдат компрометирани.

Разчитането на остарели защити вече не е достатъчно – сигурността трябва да се развива толкова бързо, колкото и заплахите.

Fileless malware е усъвършенстван тип зловреден софтуер, който компрометира системите, без да съхранява постоянни изпълними файлове в тях. Това е в рязък контраст с традиционния malware. Той разчита на файлове, които лесно могат да бъдат открити от антивирусни решения, базирани на сигнатури.

Освен това Fileless malware умело използва легитимни системни инструменти като PowerShell, Windows Management Instrumentation (WMI) или дори вградени скриптове (например VBA макроси). Той работи изцяло в оперативната памет, оставяйки значително по-малка следа. Това го прави почти неуловим за конвенционалните методи за откриване и подобрява способността му да заобикаля периметровите защити.

Заразяването най-често става чрез техники за социално инженерство, като фишинг имейли с прикачени файлове и връзки. Когато те се активират, задействат изпълнението на скриптове в рамките на доверени процеси.

Стратегии за откриване на Fileless malware

Противодействието на Fileless malware изисква преминаване от конвенционални мерки за сигурност към по-динамични, ориентирани към поведението стратегии. Екипите по сигурността трябва да използват сложни инструменти и техники за ефективното му идентифициране и неутрализиране.

Ето няколко такива, специално проектирани за справяне с неговите отличителни характеристики:

1. Мониторинг на поведението на процесите в реално време и откриване на аномалии: Сканиранията, базирани на сигнатури, не работят. Интегрирайте решения, които наблюдават поведението на процесите в реално време. Внедряването на EDR системи може да подчертае необичайни дейности. Това включва неочаквани команди, стартирани от PowerShell, или необичайни мрежови връзки, които се отклоняват от стандартните системни модели.
2. Задълбочен анализ на паметта: Тъй като Fileless malware работи предимно в паметта, анализът на RAM е от решаващо значение. Анализът в реално време може да разкрие скрит злонамерен код или подозрителни process injection, които остават невидими на диска. Специализираните инструменти могат да помогнат за изолиране и изследване на тези скрити в паметта заплахи.
3. Управление и наблюдение на доверени инструменти: Ограничете използването на често експлоатирани системни инструменти като PowerShell. Това може да се направи чрез политики като списъци на разрешени приложения или контрол на изпълнението на скриптове. Активирайте подробно регистриране за среди, в които тези инструменти са от съществено значение. По този начин можете да одитирате тяхната активност и да откриете потенциални злоупотреби на ранен етап.
4. Анализ на мрежовия трафик: Fileless malware често се свързват с външни C2 сървъри (Command and Control Server). Чрез наблюдение на изходящия мрежов трафик за необичайни модели можете да откриете присъствието му, дори при липса на доказателства, базирани на файлове.
5. Обучение на потребителите и превенция на фишинг: Обучаването на потребителите да забелязват подозрителни връзки и прикачени файлове действа като решаваща първа линия на защита. Допълнете това с филтриране на имейли и sandbox тестване, за да прихванете заплахите преди да достигнат крайните точки.
6. Проактивно укрепване на системата: Минимизирайте повърхността на атака чрез деактивиране на ненужни функции (напр. макроси в Office документи) и приложете принципа на най-малката привилегия. Редовно актуализирайте системите, за да елиминирате уязвимости, които злонамереният софтуер може да експлоатира.

Групата Black Basta ransomware е използвала близо 3000 уникални креденшъли, за да се опитат да компрометират различни корпоративни мрежи.

Според компанията за киберсигурност KELA те са насочени основно към Remote Desktop софтуери и виртуални частни мрежи (VPN).

От Remote Desktop Web Access на Microsoft до Global Protect на Palo Alto и VPN услугите на Cisco – всички те са любима цел на ransomware групите. Веднъж компрометирани, тези услуги могат да се използват като шлюзове към корпоративните мрежи. След това кражбата на данни и внедряването на ransomware стават лесна задача.

В доклад, публикуван на 11 март, киберзастрахователят Coalition установява, че 2/3 от предприятията имат поне един панел за вход, изложен на интернет. Тези организации са три пъти по-застрашени от инцидент с ransomware. Най-често проблемите идват от лошо конфигурирани и зле защитени уеб панели за вход.

Три стъпки за осигуряване на отдалечения достъп

С навлизането на цифровата трансформация и работата отвсякъде, служителите трябва да имат възможност за отдалечен достъп до бизнес ресурси.

Но за да е сигурна тази комуникация, организациите трябва да:

• актуализират своите мрежови устройства, VPN мрежи и firewall – особено фърмуера, който e често забравян компонент;
• добавят силна, устойчива на фишинг многофакторна автентикация (MFA);
• да възприемат цялостна Zero Trust стратегия.

Според ново проучване на Mimecast малка част от служителите допринасят непропорционално много за тези инциденти. Едва 8% са отговорни за 80% от тях.

43% от респондентите съобщават, че през последните 12 месеца са наблюдавали увеличение на вътрешните заплахи и изтичането на данни заради небрежни служители. 66% очакват проблемите с киберсигурността заради вътрешни лица да нарасне през следващата година.

87% организации заявяват, че обучават служителите си да разпознават кибератаки поне веднъж на тримесечие. Въпреки това 33% се опасяват от човешки грешки при обработката на имейли. 27% са загрижени, че умората на служителите води до спад на тяхната бдителност.

За да защитите вашата организация от човешки грешки, които водят до пробиви в киберсигурността:

• запознайте ги със същността на киберсигурността и нейното значение за вашия бизнес и тяхната работа;
• запознавайте ги с последните тенденции в социалното инженерство и атаките със зловреден софтуер;
• провеждайте регулярни симулации на фишинг атаки, за да тествате устойчивостта на служителите си;
• използвайте мултимедийно и интерактивно съдържание, за да направите обучението по киберсигурност по-атрактивно и лесно разбираемо.

Близо 26 милиона устройства с Windows са били компрометирани чрез Infostealer от началото на 2023 до края на 2024. Действителният брой е още по-голям – 20 и 25 милиона през 2024 и между 18 и 22 милиона за 2023.

Само пробивите в Windows групата е довело до изтичане на повече от 2 милиона уникални данни за банкови карти, според ново изследване на Kaspersky. Всяка 14-та такава инфекция е довела до кражба на данни за банкови карти. А те са само част от информацията, която Infostealer са проектирани да крадат.

Организациите трябва проактивно да наблюдават пазарите в Dark Web и да откриват компрометирани акаунти, преди те да засегнат служителите или клиентите им. Но има и други мерки, които трябва да бъдат предприети, ако вече имате съмнения за пробив.

Корпоративни акаунти се делят на три категории:

1. В домейна на Active Directory или административни такива на корпоративни системи.
2. На служители на трети страни.
3. Клиентски.

Категория 1

• проверете за наличието на потребител с посоченото име за вход и стартирайте съществуващите в организацията процедури за разследване и реакция, ако то бъде потвърдено;
• направете антивирусно сканиране на всички потребителски устройства и корпоративни машини, които са засегнати. Трябва да се уверите, че сте премахнали всеки зловреден софтуер, който е открит по време на процеса;
• задължително променете паролата на всички компрометирани акаунти с дълги и сложни комбинации;
• анализирайте дневника за всякакви необичайни дейности, включително неуспешни влизания и опити за увеличаване на потребителските привилегии;
• активирайте MFA във всички корпоративни системи, където това все още не е неправено.

Категория 2

• проверете за наличието на потребител с посоченото име за вход. Той трябва да бъде информиране за пробития акаунт;
• той трябва да извърши пълно антивирусно сканиране на засегнатите устройства, потребителски и корпоративни, като премахне всеки открит зловреден софтуер.

Категория 3:

• проверете дали акаунтът съществува и определете дали принадлежи на клиент или на служител. Засегнатият потребител трябва да бъде информиран за компрометирането;
• задължителна сменете паролата с дълга и сложна комбинация;
• проверете дневниците за неоторизиран достъп или необичайна дейност;
• клиентът трябва да извърши антивирусна проверка на своите устройства и да активира MFA за засегнатото приложение.

Във всички случаи, с изключение на последния, съществуващите платформи за защита на крайни точки са в състояние да откриват, смекчават и премахват Infostealer.