Киберугрозы во время и после самоизоляции

Группа компаний МУК организовала виртуальный семинар, на котором речь шла о том, как уберечь персональные данные при возобновлении работы сотрудников во время и после самоизоляции, вызовы и опыт других компаний по восстановлению процессов киберзащиты после удаленной работы сотрудников, а также о том, как уберечься от кибератак в этот период.

Семинар провел инженер по предварительным продажам Константин Жданов из FS Group. Он отметил, что ни для кого не секрет, что переход на удаленную работу принес много новых вызовов для команд по ИБ, для сотрудников, обеспечивающих жизнедеятельность компаний, для системных администраторов и для рядовых пользователей. В то же время он принес много новых возможностей и для киберпреступников, начиная от новичков, пользующихся готовыми скриптами, скучающих школьников и малообразованных в этой области студентов, до серьезных специалистов, которые используют все новые и новые методы взлома и технологии, недоступные новичкам и требующими наличия серьезной защиты у атакуемых организаций.

Далее докладчик представил аналитику спроса и предложения в Dark Net, методы получения данных, продающихся в Dark Net, а также рассказал о решениях, позволяющих выйти из самоизоляции с минимальными потерями.

Начало пандемии COVID-19 рынок Dark Net встретил повышенным спросом на «пуленепробиваемый» хостинг (bulletproof hosting) и Fast Flux. Первый характеризуется тем, что не реагирует на запросы правообладателей на Abuse Request и позволяет максимально долго держать С2-серверы, спам-северы и С2-панели. Что касается технологии Fast Flux, то она позволяет киберпреступникам скрывать IP-адреса своих серверов и продлевать жизнь доменам при помощи незаконной манипуляции параметрами DNS.

На рынке Dark Net, как и на обычном рынке, есть свои распродажи, рассылки и т. п. Очень часто новые игроки, выходя на рынок, представляют новую инфраструктуру, предоставляют новые возможности для использования зараженных компьютеров, а также предлагают скидки для новых зарегистрировавшихся пользователей по промокодам. Ситуация на самом деле изменилась очень сильно, и за последние три месяца появились три новых крупных игрока с огромной инфраструктурой. Под огромной инфраструктурой имеется в виду наличие инфраструктуры из взломанных компьютеров, IoT-устройств и маршрутизаторов, на которых подняты прокси-сервисы, и которые продаются в Dark Net. Зачастую пользователи вообще не знают о том, что их устройства служат в качестве прокси и через них выполняются вредоносные действия. С момента пандемии было зарегистрировано более 31 400 новых доменов, часть из которых относится к замерам, связанным с COVID-19. По имеющейся информации, 97% из них фишинговые.

Переход на удаленную работу также сказался на спросе и предложениях взломанных серверов (dedicated servers). Взломанные серверы обычно используют Remote Desktop Protocol (RDP), и они открыты стандартным портом наружу, либо используют стандартные учетные данные, либо не обновленные версии ОС, и уязвимы для определенного вида атак. В Dark Net можно встретить актуальные предложения по продаже таких серверов. Эти RDP-серверы используются для многих атак, таких как массовое сканирование, майнинг, шифрование, а также для кардинга. Время жизни таких серверов иногда исчисляется днями, и поэтому они стоят очень дешево.

Динамика предложений и спроса на RDP-серверы

Из нововведений. Сейчас в Dark Net и в underground идет активная скупка RDP-машин для шифрования с тем, чтобы в дальнейшем потребовать выкуп. Растет популярность С2 — панели ботнета-стиллера, вредоносного ПО, созданного для воровства личных данных, паролей, двухфакторной аутентификации и любых других приложений, позволяющих использовать атакуемый компьютер для аутентификации. Соответственно, сейчас в продаже очень возросло количество стиллеров. В принципе, они все более или менее одинаковые, и основная конкуренция между ними сводится к времени связи со своими центром С&С либо с ботнет-панелью, простоте использования, а также к минимизации своего сетевого трафика, для того чтобы затруднить обнаружение.

Анализ рынка Dark Net и underground показывает, что появился огромный спрос на утекшие из компаний БД, bulletproof-серверы, на стиллеры. Сейчас наибольшей популярностью пользуются БД интернет-магазинов, банков, а также банковских карт. В продаже появились БД компаний, которые перешли или переходят на удаленную работу за последние три месяца. Удаленная работа заставили людей использовать свои домашние компьютеры, которые зачастую плохо обновляются или на них уже установлено вредоносное ПО, о котором пользователи даже не подозревают. И только решения Account Takeover Prevention позволяют компании защитить себя, своих сотрудников и клиентов.

В связи с повышением спроса и предложения стиллеров, анонимизации bulletproof-хостингов украденных БД изменилась ситуация и в банковской сфере. Сейчас активно продаются так называемые drops, люди, которые предоставляют свои банковские карточки либо свои документы для транзита денежных средств. Обычно стоимость такого человека в зависимости от банка колеблется от 50 до 100 долларов и комиссия, которую он получает — от 5% до 15%.

В банковской сфере также увеличилось количество злоумышленников, которые предоставляют услуги по точечной пробивке конкретного человека вплоть до выписки из движения счета. Имея на руках подобную информацию, злоумышленники могут использовать социальную инженерию для того, чтобы связаться с этим человеком и выведать либо получить его двухфакторную идентификацию или CVV-код. С 2019 г. по апрель 2020 г. было найдено не менее шести различных БД шести крупнейших банков Украины, четырех зарубежных банков и банков СНГ с общим количеством клиентов более 100 млн. по цене от 1000 долл. до 5000 долл. за одну БД. Соответственно количество сервисов по точечной пробивке человека в конкретном банке с 25 сервисов в 2019 г. возросло на 23%, а в апреле 2020 г. рост составил более 40%.

Обеспечивать свою безопасность и готовиться к периоду выхода из самоизоляции на самом деле достаточно сложно, потому что еще долгое время будут блуждать открытые сервисы, которые были забыты во время возвращения из режима удаленной работы, и без внедрения решений Account Takeover Prevention на брандмауэрах следующего поколения, мониторинга данных и всего прочего мы будем еще очень долго получать отголоски такого срочного перехода на режим удаленной работы.

По словам выступающего, мы уже давно перешли от понимания того, почему классического брандмауэра недостаточно, к пониманию, почему уже недостаточно и брандмауэра следующего поколения (NG Firewall). На самом деле ответ на этот вопрос очень простой. Очень часто NG Firewall используется, как классический брандмауэр только для фильтрации пакетов, потому что зачастую интеграция этих решений достаточно сложна, и вместо того чтобы заказывать полноценную интеграции компании говорят сисадминам либо сетевым администраторам, а давайте вы сами его установите и ничего дальше делать не будем. Поэтому NG Firewall работают, как обычные брандмауэры и не используют те уникальные функции, которые у них появились, зачастую не выполняют анализ трафика и даже не пытаются определять уязвимости нулевого дня.

В период пандемии COVID-19 начали предлагаться программы для отслеживания зараженных людей, к примеру, кто болеет в вашем районе и не является ли ваш сосед носителем вируса. Официально таких программ, которые показывают легитимную информацию, в открытом доступе нет. В Украине существует прикладная программа «Дия», о которой ходит много разных слухов и споров. Но никаких программ, которые доступны пользователям и позволяют выполнять мониторинг этой ситуации, на данный момент нет. Все это либо банковские трояны, либо вредоносное ПО, направленное на шифрование данных. Соответственно, если у компании нет резервных копий данных, то ей придется заплатить от 50 до 100 долл. либо потерять свои данные.

FS Group проводила исследования по поводу предоставления удаленного доступа и обнаружила, что большинство решений бесплатные либо условно бесплатные, предоставляемые некоторыми компаниями на время самоизоляции. Однако первое место пока занимает OpenVPN, в частности, Cisco AnyConnect, далее Remote Desktop и TeamViewer. За ними следуют менее распространенные — Check Point VPN и Citrix.

Однако важно помнить, что какое-бы решение ни использовалось, его необходимо постоянно обновлять. Обновлять ПО необходимо всем компаниям, независимо от их масштаба. В этом контексте докладчик перешел к продукту FS Bulletin, или FS Security Bulletin. Это список CVE (Common Vulnerabilities and Exposures), который используется на данный момент киберпреступниками. Этот бюллетень наполняется данными, которые приобретаются в Dark Net или в underground.

Как же обеспечить защищенность компании и свою и предотвратить все возможные атаки либо утечки данных? Это внедрить Account Takeover Prevention, FS Monitor-NG, проводить постоянные фишинг-эмуляции, и нужно начинать работать с разведкой угроз Threat Intelligent Data. Фишинг-эмуляции — это жизненно необходимые процедуры, которые нужно проводить не реже, чем один раз в квартал, потому что внимательность пользователей обычно снижается как раз за 3–4 месяца. Постоянные фишинг-эмуляции позволяют держать их в тонусе, а поскольку это контролируемые фишинг-эмуляции, вы постоянно сможете видеть процент срабатывания по открытию, по запуску «вредоносных» файлов, которые будут давать вам информацию об их открытии и запуске. Это также позволит проводить обучение сотрудников, постоянно повышать их уровень цифровой гигиены и тем самым повышать уровень общей защищенности компании.

После окончания режима самоизоляции, сотрудники компаний вновь выйдут на работу. Что стоит делать сейчас в Украине? Нужно проводить планомерные тренинги с сотрудниками по информационной безопасности, приучить их использовать разные и сложные пароли, используя менеджеры паролей. Очень важно обновить все ПО на устройствах сотрудников, использовать шифрование данных на мобильных устройствах, обязательно также делать резервные копии критически важных данных, установить защитные решения, которые позволят отследить технику в случае ее утери.

Для безопасного выхода из самоизоляции FS Group предлагает использовать FS TI. Это список источников, представляющих угрозу, или список IP-адресов, использующихся для анонимизации. В него входит Tor, proxy VPN и некоторые bulletproof-хостинги. Каждый IP-адрес сопровождается некоторым комментарием. Это позволяет компаниям приоритезировать и настраивать свои правила политик доступа и даже брандмауэры.

В заключение на примере одного из проектов FS Group было продемонстрировано использование FS TI для безопасного выхода из самоизоляции.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365