Големите киберзаплахи на 2021
2021 към този момент е към своя край и е време да погледнем обратно, с цел да се поучим от предишното за да създадем бъдещето си по-малко проблематично. Сцената на зловредния код през тази година не беше доста по-различна от предходната: елементарните консуматори не престават да са подлагани на офанзиви от всички страни, както и компании от всевъзможен сан. В изискванията на отдалечен режим на работа, през 2021 от ден на ден преди закрити за външната интернет среда корпоративни мрежи бяха изложени на всевъзможен жанр закани, а незащитените устройства, които се свързват към тях се усилиха експоненциално. Същото се случи и с офанзивите към тях. Кои бяха най-големите закани към тези мрежи през 2021? Компанията за осведомителна сигурност и отбрана Webroot систематизирана визия за шестте „най-гадни закани на 2021“, за които може да научите по-долу.
Lemonduck
Появила се преди две години, зловредната стратегия, която по това време е кръстена Lemoncat, първоначално извършва само функционалността на копач на Monero. С времето обаче, Lemonduck еволюира в самостойна опасност от ново семейство. Това, което отличава програмата е устойчивата ѝ против събаряне командна инфраструктура, модулна архитектура, позволяваща прибавянето на нови функционалности и актуализирането на кода за отбягване на засичането ѝ, потреблението на набор от експлойти за добре известни уязвимости в ред артикули, както и кросплатформения ѝ темперамент: програмата нападна сполучливо, както Windows, по този начин и Линукс системи.
Най-честия вектор на разпространяване на Lemonduck се явяват фишинг акциите, проведени посредством имейли, в които има злотворен код, като атачмънти в писмата. Организаторите на тези акции се пробват да експлоатират разнообразни уязвимости, като да вземем за пример слабостите в SMB протокола – посредством SMBGhost и EternalBlue, както и CVE-2017-8570 – четиригодишна накърнимост в Microsoft Office, която разрешава осъществяването на случаен код по отдалечен път. Друга добре известна накърнимост, която програмата се пробва да експлоатира е CVE-2017-8464 – позволяваща също осъществяването на злотворен код отдалечено, както и ProxyLogon – серия от уязвимости в Exchange сървъри.
Сред другите известни способи, които създателите на офанзивите употребяват е сканиране на интернет спектъра за сървъри с открити 3389 (RDP) портове и автоматизирани опити за вход в тях посредством описи с пароли. За Линукс – сканиране за открит порт 22 и опити за регистриране в недобре предпазени сървърни съоръжения. И не на последно място, един път попаднала в системата, програмата търси артикули за отбрана и ги деинсталира. Освен това, тя намира и отстранява конкуренцията – различен злотворен код, който към този момент е компрометирал атакуваната система.
Подобно и на други троянски стратегии, Lemonduck краде сполучливо данни за регистриране от системата, провежда спам акции от към този момент превзетата машина или доставя други зловредни стратегии към нея – най-често Ramnit. Един от в действителност „гадните“ способи, които Lemonduck употребява, с цел да заразява в допълнение системи е посредством потреблението на Outlook клиента на пленената машина за разпращане на злотворен код и известия към всички контакти от адресната книга на жертвата.
Какво може да извършите в опит да избегнете визитата на „лимонената патица“?
Забрана за прикачането на портативни устройства към най-чувствителните точки в управляваната от вас среда.Актуализирайте навреме системите си и се уверете, че са предпазени против добре известни офанзиви към услуги, като SMB, SSH, RDP, SQL и др.Включете вградените механизми за автозащита, които има всяка една антивирусна стратегия.Не изключвайте в тези артикули засичането на евентуално нежелани приложения (PUP, potentially unwanted programs), защото някои артикули за отбрана класифицират „миньорите“, като PUP.Блокирайте връзките към добре известни зловредни домейни и IP адреси.Ревизирайте разпоредбите за сканиране на пощата, основаваща се на адресите на подателя на известията, защото зловредната стратегия може да ги употребява.
Повече за Lemonduck може да научите от разбора на Microsoft и.
REvil
Добре известната рансъмуер стратегия остана все по този начин настояща и през тази година. През 2021 се появи информацията, че REvil към този момент е в историята, само че това. Най-малкото, REvil употребяват бизнес модела на „рансъмуер, като услуга“ (ransomware-as-a-service, RaaS) и вземайки поради големия триумф на тези офанзиви, наподобява малко евентуално тя да бъде изоставена от незаконния свят. Освен RaaS и метода на „двойното изнудване“, при който с изключение на криптиране на данните, следва и кражба на сензитивна информация, за която нарушителите желаят откуп да не я разгласяват, REvil стартира да употребява и офанзивите към линиите за доставка (което може би в последна сметка е довело до нейния край). Този способ на офанзива подсигурява на хакерите пленяването на голям брой жертви с един удар – форма на офанзива, за която евентуално (и за съжаление) през идната година ще чуваме и четем все по-често.
Trickbot
Макар и неговият по-„гаден“ брат, Emotet да отиде в историята (макар и да не е сигурно), е към момента по този начин витален – пет години след появяването си. Появил се, като банков троянец, крадящ данни за регистриране, сходно на Lemonduck, Trickbot търпи голяма еволюция с времето, като към арсенала му се прибавят голям брой функционалности, гарантиращи устойчивостта му и отбрана против засичането му, автоматизирано разпространяване в мрежовото обграждане на пленената машина, експлоатирането на набор от уязвимости, както и положително съгласие на основателите му с други киберпрестъпни групи (най-често тези зад Emotet, както и рансъмуер банди).
Dridex
Подобно на Trickbot, Dridex е добре позната зловредна стратегия, която мъчи консуматори и компании към този момент няколко години. Разпространявана главно чрез имейл акции, краде персонална информация по разнообразни способи. Един от най-успешните ѝ способи е компрометирането на браузъра за достигането на информацията, която се вкарва в уеб сайтове и приложения, инжектирането на спомагателен злотворен код и вградена функционалност за запис на натисканите клавиши (кийлогинг). Програмата бива постоянно обновена от нейните създатели, с цел да може да се оправя с новите способи за отбрана в браузърите. Dridex има и ботнет благоприятни условия – организация на пленените компютри в мрежа от „зомбирани“ машини, които на собствен ред разпращат злотворен код. В доста от случаите, с изключение на Dridex, те популяризират и рансъмуер.
Conti
Макар и да не получава медийното отразяване, което получава REvil, хакерите зад Conti са добре проведена конструкция, станала известна в края на 2019. Ранъмуер програмата на Conti се популяризира от рускоговоряща формация с името Wizard Spider, която се свързва постоянно с разпространяването на Trickbot. Използващи метода на двойното изнудване, Conti постоянно се включват на незаконната сцена и като „брокери на достъп“ – след завладяването на мрежата на някоя компания, те продават достъп до нея на друга престъпна конструкция. Смята се, че от 2019 до този миг, Conti са проработили над 500 биткойна (почти $50 000 000) в офанзиви към близо 600 компании от целия свят.
Cobalt Strike
Един от многото образци, в които приложение, което би трябвало да се употребява за инспекция на сигурността и укрепване на отбраните, бива употребявано за зли цели. Легитимната стратегия е мощно приложение, което има голям брой функционалности, които се употребяват от нарушителите за разнообразни цели.
Cobalt Strike разрешава доставянето на сътрудник на програмата, прочут, като „бийкън“, екипиран с голям набор от функционалности: запис на натисканите клавиши, снемане на скрийншоти, трансфер на файлове, повишение на привилегиите, сканиране на портове, поетапно напредване в мрежвия периметър, осъществяване на команди и доста други. Самите бийкъни се извършват в паметта на системата. Безфайловата им природа вършат офанзивите благодарение на едно същинско супероръжие, което постоянно бива употребявано в APT (advanced persistent threat) акции. Става дума за акции, които са подкрепени от съществени запаси и експертиза и са ориентирани към държавни организации, държавни организации и сходни структури
Lemonduck
Появила се преди две години, зловредната стратегия, която по това време е кръстена Lemoncat, първоначално извършва само функционалността на копач на Monero. С времето обаче, Lemonduck еволюира в самостойна опасност от ново семейство. Това, което отличава програмата е устойчивата ѝ против събаряне командна инфраструктура, модулна архитектура, позволяваща прибавянето на нови функционалности и актуализирането на кода за отбягване на засичането ѝ, потреблението на набор от експлойти за добре известни уязвимости в ред артикули, както и кросплатформения ѝ темперамент: програмата нападна сполучливо, както Windows, по този начин и Линукс системи.
Най-честия вектор на разпространяване на Lemonduck се явяват фишинг акциите, проведени посредством имейли, в които има злотворен код, като атачмънти в писмата. Организаторите на тези акции се пробват да експлоатират разнообразни уязвимости, като да вземем за пример слабостите в SMB протокола – посредством SMBGhost и EternalBlue, както и CVE-2017-8570 – четиригодишна накърнимост в Microsoft Office, която разрешава осъществяването на случаен код по отдалечен път. Друга добре известна накърнимост, която програмата се пробва да експлоатира е CVE-2017-8464 – позволяваща също осъществяването на злотворен код отдалечено, както и ProxyLogon – серия от уязвимости в Exchange сървъри.
Сред другите известни способи, които създателите на офанзивите употребяват е сканиране на интернет спектъра за сървъри с открити 3389 (RDP) портове и автоматизирани опити за вход в тях посредством описи с пароли. За Линукс – сканиране за открит порт 22 и опити за регистриране в недобре предпазени сървърни съоръжения. И не на последно място, един път попаднала в системата, програмата търси артикули за отбрана и ги деинсталира. Освен това, тя намира и отстранява конкуренцията – различен злотворен код, който към този момент е компрометирал атакуваната система.
Подобно и на други троянски стратегии, Lemonduck краде сполучливо данни за регистриране от системата, провежда спам акции от към този момент превзетата машина или доставя други зловредни стратегии към нея – най-често Ramnit. Един от в действителност „гадните“ способи, които Lemonduck употребява, с цел да заразява в допълнение системи е посредством потреблението на Outlook клиента на пленената машина за разпращане на злотворен код и известия към всички контакти от адресната книга на жертвата.
Какво може да извършите в опит да избегнете визитата на „лимонената патица“?
Забрана за прикачането на портативни устройства към най-чувствителните точки в управляваната от вас среда.Актуализирайте навреме системите си и се уверете, че са предпазени против добре известни офанзиви към услуги, като SMB, SSH, RDP, SQL и др.Включете вградените механизми за автозащита, които има всяка една антивирусна стратегия.Не изключвайте в тези артикули засичането на евентуално нежелани приложения (PUP, potentially unwanted programs), защото някои артикули за отбрана класифицират „миньорите“, като PUP.Блокирайте връзките към добре известни зловредни домейни и IP адреси.Ревизирайте разпоредбите за сканиране на пощата, основаваща се на адресите на подателя на известията, защото зловредната стратегия може да ги употребява.
Повече за Lemonduck може да научите от разбора на Microsoft и.
REvil
Добре известната рансъмуер стратегия остана все по този начин настояща и през тази година. През 2021 се появи информацията, че REvil към този момент е в историята, само че това. Най-малкото, REvil употребяват бизнес модела на „рансъмуер, като услуга“ (ransomware-as-a-service, RaaS) и вземайки поради големия триумф на тези офанзиви, наподобява малко евентуално тя да бъде изоставена от незаконния свят. Освен RaaS и метода на „двойното изнудване“, при който с изключение на криптиране на данните, следва и кражба на сензитивна информация, за която нарушителите желаят откуп да не я разгласяват, REvil стартира да употребява и офанзивите към линиите за доставка (което може би в последна сметка е довело до нейния край). Този способ на офанзива подсигурява на хакерите пленяването на голям брой жертви с един удар – форма на офанзива, за която евентуално (и за съжаление) през идната година ще чуваме и четем все по-често.
Trickbot
Макар и неговият по-„гаден“ брат, Emotet да отиде в историята (макар и да не е сигурно), е към момента по този начин витален – пет години след появяването си. Появил се, като банков троянец, крадящ данни за регистриране, сходно на Lemonduck, Trickbot търпи голяма еволюция с времето, като към арсенала му се прибавят голям брой функционалности, гарантиращи устойчивостта му и отбрана против засичането му, автоматизирано разпространяване в мрежовото обграждане на пленената машина, експлоатирането на набор от уязвимости, както и положително съгласие на основателите му с други киберпрестъпни групи (най-често тези зад Emotet, както и рансъмуер банди).
Dridex
Подобно на Trickbot, Dridex е добре позната зловредна стратегия, която мъчи консуматори и компании към този момент няколко години. Разпространявана главно чрез имейл акции, краде персонална информация по разнообразни способи. Един от най-успешните ѝ способи е компрометирането на браузъра за достигането на информацията, която се вкарва в уеб сайтове и приложения, инжектирането на спомагателен злотворен код и вградена функционалност за запис на натисканите клавиши (кийлогинг). Програмата бива постоянно обновена от нейните създатели, с цел да може да се оправя с новите способи за отбрана в браузърите. Dridex има и ботнет благоприятни условия – организация на пленените компютри в мрежа от „зомбирани“ машини, които на собствен ред разпращат злотворен код. В доста от случаите, с изключение на Dridex, те популяризират и рансъмуер.
Conti
Макар и да не получава медийното отразяване, което получава REvil, хакерите зад Conti са добре проведена конструкция, станала известна в края на 2019. Ранъмуер програмата на Conti се популяризира от рускоговоряща формация с името Wizard Spider, която се свързва постоянно с разпространяването на Trickbot. Използващи метода на двойното изнудване, Conti постоянно се включват на незаконната сцена и като „брокери на достъп“ – след завладяването на мрежата на някоя компания, те продават достъп до нея на друга престъпна конструкция. Смята се, че от 2019 до този миг, Conti са проработили над 500 биткойна (почти $50 000 000) в офанзиви към близо 600 компании от целия свят.
Cobalt Strike
Един от многото образци, в които приложение, което би трябвало да се употребява за инспекция на сигурността и укрепване на отбраните, бива употребявано за зли цели. Легитимната стратегия е мощно приложение, което има голям брой функционалности, които се употребяват от нарушителите за разнообразни цели.
Cobalt Strike разрешава доставянето на сътрудник на програмата, прочут, като „бийкън“, екипиран с голям набор от функционалности: запис на натисканите клавиши, снемане на скрийншоти, трансфер на файлове, повишение на привилегиите, сканиране на портове, поетапно напредване в мрежвия периметър, осъществяване на команди и доста други. Самите бийкъни се извършват в паметта на системата. Безфайловата им природа вършат офанзивите благодарение на едно същинско супероръжие, което постоянно бива употребявано в APT (advanced persistent threat) акции. Става дума за акции, които са подкрепени от съществени запаси и експертиза и са ориентирани към държавни организации, държавни организации и сходни структури
Източник: kaldata.com
КОМЕНТАРИ