Многие результативные атаки ransomware контролируются хакерами вручную
Microsoft в новом обзоре разобрала тактику и методы некоторых наиболее опасных атак ramsomware за последние годы, управление которыми осуществлялось не автоматически, а операторами-людьми с клавиатуры.
Она предупреждает, что некоторые группы вымогателей в настоящее время используют те же навыки, что и хакеры, спонсируемые государствами, демонстрируя "обширные знания системного администрирования и распространенных ошибок в настройках безопасности сети", проводят долгую и тщательную разведку и затем атакуют разрушительными "полезными" нагрузками ransomware.
Согласно исследованиям Microsoft, такие преступные группы как REvil, Samas или SamSam, Doppelpaymer, Bitpaymer и Ryuk продемонстрировали способность беспрепятственно работать в сети и мало заботятся о скрытности своих действий.
Средний размер выкупа, требуемого Revil, составляет 260 тыс. долл., а строительная компания EMCOR Group на прошлой неделе сообщила, что атака Ryuk и последовавшие убытки от простоя ИТ ухудшили ее финансовые результаты в IV квартале.
Группа Parinacota, отслеживавшаяся Microsoft на протяжении 18 месяцев, имеет более скромные запросы. Она выставляет счет от 0,5 до 2 Bitcoins ($4500 - $18268) за компьютер, в зависимости от предполагаемой хакерами важности этой машины и ее данных.
Команда Microsoft Threat Protection Intelligence Team рассказала в блоге о необычной тактике, используемой Parinacota для горизонтального распространения в скомпрометированных сетях. После проникновения в такую сеть, атакующие запускают в захваченной машине тесты на системную производительность и пропускную способность подключения к Интернету.
"Они определяют, соответствует ли машина определенным требованиям, прежде чем использовать ее для проведения удаленных (RDP) атак перебором паролей против других целей. Эта тактика, не встречавшаяся у других операторов ransomware, дает им доступ к дополнительной инфраструктуре, которая с меньшей вероятностью будет заблокирована", - говорится в блоге.
Некоторые компании играют на руку взломщикам, сознательно ослабляя свою внутреннюю защиту. Microsoft заявила, что ряд успешных вымогательских кампаний с человеческим участием велись против серверов, на которых антивирусное программное обеспечение и другие средства безопасности были намеренно отключены администраторами, возможно, для повышения производительности.
"Те же сервера часто не защищены брандмауэром и мультифакторной аутентификацией, имеют слабые доменные идентификаторы и нерандомизированные пароли для локального администрирования", - утверждает компания.
Своим обзором Microsoft пытается обосновать сотрудникам отделов кибербезопасности необходимость активации функций Windows Defender ATP, таких как защита от несанкционированного доступа, а также автоматических обновлений безопасности и облачного антивируса Microsoft.
