Шифровальщики переживают что-то вроде возрождения. В 2018 году количество обнаружений подобного рода вредоносных программ упало, в то время как другие кибер-угрозы такие как криптоджекинг показали существенный рост. Впрочем, в первом квартале 2019 года атаки шифровальщиков против компаний возросли на 195%.

Самым ярким доказательством этого возрождения стала серия направленных атак шифровальщиками против местных органов власти в США. Балтимор, Лейк-Сити, Картерсвилл, Линн… Эта новая тенденция целевых шифровальщиков поразила также и деловой мир: атака на Norsk Hydro поразила 22000 конечных устройств в 40 странах мира.

Массовая кампания в Техасе

Утром 16 августа 2019 года 22 органа местного самоуправления в штате Техас (США) стали жертвами скоординированной атаки шифровальщиков. Хотя власти Техаса не уточнили, какие именно шифровальщики использовались злоумышленниками во время атаки, но они сообщили, что 22 атаки пришли из одного и того же источника. Кибер-преступники потребовали выкуп в размере 2,5 миллионов долларов США.

Представитель Департамента информационных ресурсов штата Техас (DIR) заявил, что «полученные доказательства указывают на то, что атаки исходили от одного и того же источника. Расследование происхождения атаки продолжается, но в настоящее время первоочередное внимание уделяется реагированию и восстановлению».

На данную атаку отреагировали со стороны DIR, Центра по обеспечению операций безопасности техасского университета Texas A&M University System, Департамента общественной безопасности Техаса, а также других аварийных и военных ведомств. К 23 августа все пострадавшие подразделения перешли от реагирования и оценки последствий к восстановлению своих систем.

Теперь же DIR планирует провести последующие встречи с пострадавшими местными органами власти для обеспечения усилий по восстановлению своих систем. Насколько известно в DIR, ни один из пострадавших органов власти не стал платить выкуп.

Как им удалось атаковать так много учреждений и ведомств?

Чтобы выполнить атаку такого масштаба против большого количества правительственных органов, злоумышленникам потребовалась передовая техника: island hopping (в переводе с английского, буквально – «Путешествие по островам»). Island hopping подразумевает, что кибер-преступники проникают в сети небольших компаний (например, маркетинговые или рекрутинговые агентства), которые предоставляют услуги для потенциальных жертв, являющихся конечными целями будущей атаки. Затем они используют их, чтобы получить доступ к более крупным организациям.

В случае со штатом Техас, техника island hopping стала возможной в силу того, что многие пострадавшие муниципалитеты использовали одинаковое программное обеспечение и одного и того же поставщика ИТ-систем. Мэр одного из пострадавших городов Гари Хайнрих пояснил, что кибер-преступники воспользовались данной ситуацией, чтобы атаковать местные органы власти.

В целом, более мелкие компании, как правило, имеют более уязвимые системы, что значительно упрощает использование техники island hopping. Проникнув в систему, злоумышленники пользуются доверием, которое существует между компаниями, чтобы достичь своей реальной цели.

Данный метод не является чем-то новым, и он становится все более популярным и распространенным. По данным ряда источников, 50% кибер-атак, осуществляемых в наши дни, используют технику island hopping. И речь идет не только о вредоносных программах, которые используются кибер-преступниками для проведения подобного рода атак. Одной из самых популярных точек входа являются IoT-устройства (Интернет вещей), поскольку они обычно оснащены менее надежными средствами безопасности.

Какое будущее у атак шифровальщиков?

Некоторые эксперты по информационной безопасности считают, что скоординированные атаки подобно той, что мы видели недавно в Техасе, могут стать будущим сценарием развития атак шифровальщиков в целом. Это первая атака такого рода, когда инциденты были скоординированы, т.е. это не была серия разрозненных атак на каждый из органов власти. Чаще всего злоумышленники проводят массированные сканирования сетей и поиск открытых RDP-соединений на уязвимых серверах для выполнения разрозненных атак.

Тем не менее, в данном случае очевидно, что нападавшие ориентировались на одну конкретную цель, и атаковали ее весьма целенаправленно.

Защитите вашу компанию от island hopping

Через три недели после инцидента DIR сообщил, что более половины пострадавших учреждений вернулись к нормальной работе. Впрочем, это означает, что до сих пор осталось достаточно много государственных учреждений, которые не в состоянии нормально выполнять свои ежедневные операции. 

Чтобы помочь предотвратить еще один инцидент, DIR опубликовал серию рекомендаций:

  • Разрешить подключение к программному обеспечению удаленного доступа только из сети поставщика
  • Использовать двухфакторную авторизацию на инструментах удаленного администрирования
  • Блокировать входящий трафик с exit-узлов Tor.
  • Блокировать исходящий сетевой трафик на Pastebin.


Последней мерой, которую предлагает DIR, является использование решений по обнаружению атак на конечные устройства и реагированию на них класса Endpoint Detection and Response (EDR) для обнаружения запуска необычных процессов через PowerShell. Panda Adaptive Defense 360 сочетает технологии традиционной антивирусной защиты и безопасности конечных устройств (EPP) и EDR с сервисом 100% классификации запущенных процессов. Это означает, что решение способно обнаруживать любые подозрительные процессы и аномальные модели поведения и останавливать их выполнение прежде, чем они могут привести к реальным проблемам в вашей организации.

Хотя шифровальщики на слуху уже много лет, а их популярность переживала взлеты и падения, все равно они всегда представляют собой серьезную угрозу. Более того, подобный случай лишний раз доказывает, что кибер-преступники всегда будут использовать самые передовые методы для осуществления своих атак шифровальщиками. Вот почему вы никогда не должны позволять себе снижать уровень безопасности, если речь идет о защите вашей компании от данной кибер-угрозы.