2021 вече е към своя край и е време да погледнем назад, за да се поучим от миналото с цел да направим бъдещето си по-малко проблемно. Сцената на зловредния код през тази година не беше много по-различна от миналата: обикновените потребители продължават да са подлагани на атаки от всички страни, както и компании от всякакъв ранг. В условията на дистанционен режим на работа, през 2021 все повече преди закрити за външната интернет среда корпоративни мрежи бяха изложени на всякакъв род заплахи, а незащитените устройства, които се свързват към тях се увеличиха експоненциално. Същото се случи и с атаките към тях. Кои бяха най-големите заплахи към тези мрежи през 2021? Компанията за информационна сигурност и защита Webroot дава обобщена представа за шестте „най-гадни заплахи на 2021“, за които може да научите по-долу.

Lemonduck

Появила се преди две години, зловредната програма, която по това време е кръстена Lemoncat, в началото изпълнява единствено функцията на копач на Monero. С времето обаче, Lemonduck еволюира в самостойна заплаха от ново семейство. Това, което отличава програмата е устойчивата ѝ срещу сваляне командна инфраструктура, модулна архитектура, позволяваща добавянето на нови функционалности и актуализирането на кода с цел избягване на засичането ѝ, използването на набор от експлойти за добре известни уязвимости в ред продукти, както и кросплатформения ѝ характер: програмата атакува успешно, както Windows, така и Линукс системи.

Най-честия вектор на разпространение на Lemonduck се явяват фишинг кампаниите, организирани чрез имейли, в които има зловреден код, като прикачени файлове в писмата. Организаторите на тези кампании се опитват да експлоатират различни уязвимости, като например слабостите в SMB протокола – чрез SMBGhost и EternalBlue, както и CVE-2017-8570 – четиригодишна уязвимост в Microsoft Office, която позволява изпълнението на произволен код по дистанционен път. Друга добре известна уязвимост, която програмата се опитва да експлоатира е CVE-2017-8464 – позволяваща също изпълнението на зловреден код отдалечено, както и ProxyLogon – серия от уязвимости в Exchange сървъри.

Сред другите популярни методи, които авторите на атаките използват е сканиране на интернет спектъра за сървъри с открити 3389 (RDP) портове и автоматизирани опити за вход в тях чрез списъци с пароли. За Линукс – сканиране за открит порт 22 и опити за вписване в недобре защитени сървърни инсталации. И не на последно място, веднъж попаднала в системата, програмата търси продукти за защита и ги деинсталира. Освен това, тя намира и премахва конкуренцията – друг зловреден код, който вече е компрометирал атакуваната система.

Подобно и на други троянски програми, Lemonduck краде успешно данни за вписване от системата, организира спам кампании от вече превзетата машина или доставя други зловредни програми към нея – най-често Ramnit. Един от наистина „гадните“ методи, които Lemonduck използва, за да заразява допълнително системи е чрез използването на Outlook клиента на пленената машина за разпращане на зловреден код и съобщения към всички контакти от адресната книга на жертвата.

Какво може да направите в опит да избегнете посещението на „лимонената патица“?

  • Забрана за прикачането на преносими устройства към най-чувствителните точки в администрираната от вас среда.
  • Актуализирайте своевременно системите си и се уверете, че са защитени срещу добре известни атаки към услуги, като SMB, SSH, RDP, SQL и др.
  • Включете вградените механизми за автозащита, които има всяка една антивирусна програма.
  • Не изключвайте в тези продукти засичането на потенциално нежелани приложения (PUP, potentially unwanted programs), тъй като някои продукти за защита класифицират „миньорите“, като PUP.
  • Блокирайте връзките към добре известни зловредни домейни и IP адреси.
  • Ревизирайте правилата за сканиране на пощата, базираща се на адресите на подателя на съобщенията, тъй като зловредната програма може да ги използва.

Повече за Lemonduck може да научите от анализа на Microsoft тук и тук.

REvil

Добре известната рансъмуер програма остана все така актуална и през тази година. През 2021 се появи информацията, че REvil вече е в историята, но това все още не е много сигурно. Най-малкото, REvil използват бизнес модела на „рансъмуер, като услуга“ (ransomware-as-a-service, RaaS) и вземайки предвид огромния успех на тези атаки, изглежда малко вероятно тя да бъде изоставена от престъпния свят. Освен RaaS и метода на „двойното изнудване“, при който освен криптиране на данните, следва и кражба на чувствителна информация, за която престъпниците искат откуп да не я публикуват, REvil започна да използва и атаките към линиите за доставка (което може би в крайна сметка е довело до нейния край). Този метод на атака гарантира на хакерите пленяването на множество жертви с един удар – форма на атака, за която вероятно (и за съжаление) през следващата година ще чуваме и четем все по-често.

Trickbot

Макар и неговият по-„гаден“ брат, Emotet да отиде в историята (макар и да не е сигурно), Trickbot е все още така жизнен – пет години след появата си. Появил се, като банков троянец, крадящ данни за вписване, подобно на Lemonduck, Trickbot търпи огромна еволюция с времето, като към арсенала му се добавят множество функционалности, гарантиращи устойчивостта му и защита срещу засичането му, автоматизирано разпространение в мрежовото обкръжение на пленената машина, експлоатирането на набор от уязвимости, както и добро разбирателство на създателите му с други киберпрестъпни групи (най-често тези зад Emotet, както и рансъмуер банди).

Dridex

Подобно на Trickbot, Dridex е добре позната зловредна програма, която мъчи потребители и компании вече няколко години. Разпространявана основно посредством имейл кампании, Dridex краде лична информация по различни начини. Един от най-успешните ѝ методи е компрометирането на браузъра с цел достигането на информацията, която се въвежда в сайтове и приложения, инжектирането на допълнителен зловреден код и вградена функционалност за запис на натисканите клавиши (кийлогинг). Програмата бива често актуализирана от нейните автори, за да може да се справя с новите методи за защита в браузърите. Dridex притежава и ботнет възможности – организация на пленените компютри в мрежа от „зомбирани“ машини, които на свой ред разпращат зловреден код. В много от случаите, освен Dridex, те разпространяват и рансъмуер.

Conti

Макар и да не получава медийното отразяване, което получава REvil, хакерите зад Conti са добре организирана структура, станала известна в края на 2019. Ранъмуер програмата на Conti се разпространява от рускоговоряща групировка с името Wizard Spider, която се свързва често с разпространението на Trickbot. Използващи метода на двойното изнудване, Conti често се включват на престъпната сцена и като „брокери на достъп“ – след превземането на мрежата на някоя компания, те продават достъп до нея на друга криминална структура. Смята се, че от 2019 до този момент, Conti са заработили над 500 биткойна (почти $50 000 000) в атаки към близо 600 компании от целия свят.

Cobalt Strike

Един от многото примери, в които приложение, което би трябвало да се използва за проверка на сигурността и заздравяване на защитите, бива използвано за зли цели. Легитимната програма е мощно приложение, което притежава множество функционалности, които се използват от престъпниците за различни цели.

Cobalt Strike позволява доставянето на агент на програмата, известен, като „бийкън“, снабден с огромен набор от функционалности: запис на натисканите клавиши, снемане на скрийншоти, трансфер на файлове, повишаване на привилегиите, сканиране на портове, поетапно придвижване в мрежвия периметър, изпълнение на команди и много други. Самите бийкъни се изпълняват в паметта на системата. Безфайловата им природа правят атаките с помощта на Cobalt Strike едно истинско супероръжие, което често бива използвано в APT (advanced persistent threat) акции. Става дума за кампании, които са подкрепени от сериозни ресурси и експертиза и са насочени към правителствени организации, държавни агенции и подобни структури

Абонирай се
Извести ме за
guest
1 Коментар
стари
нови
Отзиви
Всички коментари