Программа-вымогатель активна осенью

Согласно отчету Talos о тенденциях реагирования на инциденты за третий квартал 2022 года, на атаки программ-вымогателей и действия, предшествующие программам-вымогателям, приходилось до 40% угроз кибербезопасности, наблюдаемых в прошлом квартале. финансовыми службами, государственными системами и энергетикой.

Хотя каждый инцидент включает в себя уникальные методы TTP (тактики, методы, процедуры), общие черты включают в себя перечисление хостов, множественные попытки аутентификации и перехват с использованием выявленной уязвимости или уязвимости для перехода на другие системы. В тех случаях, когда программа-вымогатель никогда не была развернута, преступник, вероятно, пытался слить данные в момент обнаружения, что указывает на то, что у него было достаточно доступа, чтобы нанести значительный ущерб.

В прошлом квартале наиболее часто жертвами атак становился сектор образования, за которым следовали финансовые услуги, государственные системы и энергетика соответственно. Впервые с четвертого квартала 2021 года телекоммуникации не подверглись наибольшему нападению. Причина, по которой сектор образования стал наиболее популярным объектом атак, неизвестна, но важно отметить сезонность этого явления — это период, когда ученики и учителя возвращаются в школу.

В третьем квартале 2022 г. сообщалось о случаях, когда хакеры использовали важные учетные записи для первоначального доступа, особенно в сценариях, когда учетные записи были неправильно настроены, неправильно отключены или имели слабые пароли. Как минимум в двух случаях в этом квартале компания Talos исследовала возможность первоначального доступа злоумышленника через перехваченную сеть или персональный компьютер подрядчика.

Почти в 15% случаев в этом квартале преступники выявляли или использовали неправильно настроенные общедоступные приложения. Еще одним популярным методом была электронная почта и активация пользователем вредоносного документа или ссылки. В одном случае атаки на корпоративную электронную почту (BEC) использовался перехват потока и использовалась вредоносная ссылка в электронном письме, которая выглядела как поддельная страница аутентификации.

Отсутствие многофакторной аутентификации остается одним из самых больших препятствий для корпоративной безопасности. Почти в 18 % случаев, проанализированных Cisco Talos, MFA не использовалась или была включена только для нескольких учетных записей и критически важных сервисов. Talos IR часто отмечает инциденты с программами-вымогателями и фишингом, которые можно было бы предотвратить, если бы MFA была правильно включена в критически важных службах, таких как решения Endpoint Detection and Response (EDR).