Атаки программ-вымогателей продолжают эволюционировать, эксплуатируя забытые уязвимости, через которые хакеры проникают в ИТ-инфраструктуру компаний. Эксперт рассказал, как защититься от программ-вымогателей.
По данным исследователей Seqrite Labs (аналитическое подразделение компании Quick Heal Technologies, специализирующееся на кибербезопасности), группа хакеров активизировала атаки еще в 2024 году, используя уязвимости SMB, SSH, FTP и других сетевых сервисов. Основной метод компрометации — подбор паролей, основанный на обширной базе учетных данных. После получения доступа злоумышленники шифруют файлы на сетевых дисках и устройствах хранения данных, оставляя жертве записку с требованиями выкупа.
Хотя программное обеспечение (ПО) безопасности и средства обнаружения угроз становятся более совершенными, преступники тоже не стоят на месте. Хакеры не только используют брутфорс-атаки, но и шифруют файлы удаленно, без загрузки вредоносного ПО на локальные машины. Такой подход позволяет избежать детектирования антивирусами и усложняет анализ инцидента.
Обнаруженные индикаторы компрометации указывают на активные IP-адреса, использовавшиеся для атак. В случае компрометации злоумышленники предлагают связаться через зашифрованные каналы связи, такие как Telegram и Tox. После успешного шифрования файлы получают расширение «.want_to_cry», а в каталогах создается текстовый файл с инструкциями по оплате выкупа.
«Действительно важно контролировать периметр сети, ограничивая доступы по протоколам SMB, SSH, FTP. Однако, ввиду особенностей бизнес-процессов, необходимости быстрого обмена файлами или, например, потребностей в работе программного обеспечения, требующего определённых настроек, как раз формируются уязвимые области в инфраструктуре. Такие области могут быть использованы для распространения вредоносного программного обеспечения, включая шифровальщики. В связи с этим таким организациям рекомендуется иметь программное обеспечение с модулями поведенческой аналитики UEBA для обнаружения аномальных действий в корпоративной сети», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.
