В феврале 2024 года операция «Кронос», коалиция международных правоохранительных органов во главе с Национальным агентством по борьбе с преступностью Великобритании и ФБР США, взяла под контроль инфраструктуру атак печально известной банды-вымогателя Lockbit, считающейся «самой вредоносной кибергруппировкой» в мире. . Сообщество информационной безопасности вздохнуло с облегчением, и многие полагали, что это положило конец продолжающемуся кошмару. Однако реальность оказалась иной: менее чем через неделю оператор программы-вымогателя как услуги снова появился в сети с новым сайтом утечки, перечислив пять жертв и отсчитав таймеры для публикации украденной информации.
Это возрождение не является нетипичным. Эти группы угроз все чаще развертывают передовую инфраструктуру атак и обширные резервные копии, которые позволяют им снова вступить в строй. Я приведу три недавних примера, которые демонстрируют устойчивость этих групп перед лицом вмешательства правоохранительных органов. Паоло Пассери
Навигация по социальным ссылкам
Директор по киберразведке Netskope.
Устойчивость Lockbit
По иронии судьбы, чтобы захватить веб-сайт LockBit, правоохранительные органы использовали CVE-2023-3824, уязвимость, затрагивающую PHP, которая отражала один из основных векторов атак, используемых группой LockBit, особенно эксплуатацию уязвимостей. По словам злоумышленника, «личная халатность и безответственность» привели к задержке установки патча и сделали возможным захват. И тем не менее, немедленное возвращение LockBit стало возможным благодаря наличию резервных копий — важной передовой практики для любой организации. После удаления LockBit подтвердила нарушение, но также заявила, что они потеряли только серверы с PHP, в то время как их системы резервного копирования без PHP остались нетронутыми.
До кратковременного закрытия LockBit представлял собой одну из самых больших угроз для финансовой индустрии. Неудивительно, что атаки с помощью программы-вымогателя LockBit и ее вариантов продолжались и в 2024 году даже после захвата власти. Такая настойчивость была отчасти обусловлена еще одной сложностью, распространенной во всем мире угроз: разгневанный разработчик уже слил в сеть исходный код создателя вредоносного ПО, в результате чего появилось множество вариантов, которые продолжают преследовать компании по всему миру, чему способствует продолжающаяся эксплуатация уязвимостей.
Существование резервных копий указывает на то, что злоумышленники создали устойчивую инфраструктуру с планом действий на случай непредвиденных обстоятельств, предвидя возможность захвата. По своей сути киберпреступность — это бизнес, поэтому злоумышленники используют лучшие практики, которым должно следовать каждое предприятие, создавая надежную инфраструктуру для обеспечения защиты от сбоев или разрушительных событий, таких как устранение правоохранительных органов. Это служит важным тревожным звонком, напоминая нам, что даже если правоохранительные органы ликвидируют криминальную инфраструктуру, операция не может быть окончена навсегда. Выход BlackCat
Второй демонстрацией устойчивости вредоносной инфраструктуры является аналогичное событие, связанное с другой операцией программы-вымогателя. В декабре 2023 года правоохранительные органы под руководством ФБР США и с участием агентств из Великобритании, Дании, Германии, Испании и Австралии захватили инфраструктуру BlackCat/ALPHV. Однако два месяца спустя группа вымогателей неожиданно появилась снова и взяла на себя ответственность за несколько громких атак в финансовом секторе и секторе здравоохранения.
Интересным поворотом в этом возвращении стала атака на Change Healthcare, которая закончилась тем, что организация-жертва заплатила выкуп в размере 22 миллионов долларов в биткойнах. Через два дня после оплаты появились обвинения в том, что программа-вымогатель лишила других филиалов их доли вознаграждения, а через четыре дня после выплаты (через два дня после обвинений) ФБР и другие правоохранительные органы, похоже, сделали это. . место утечки было снова занято.
Подпишитесь на информационный бюллетень Ny Breaking и получайте все лучшие новости, мнения, функции и рекомендации, необходимые вашему бизнесу для успеха!
Однако правоохранительные органы отрицают свою причастность ко второму отключению и этому аспекту, а также тот факт, что страница, появившаяся на сайте утечки после второго очевидного закрытия, напоминала копию исходной страницы поглощения в декабре 2023 года, говорят эксперты. предположить, что злоумышленники, возможно, реализовали стратегию ухода: счастливо покинули сцену с 22 миллионами долларов в карманах, разорвали связи со своими дочерними компаниями и, возможно, продали исходный код программы-вымогателя как услуги за 5 миллионов долларов — обычная практика недавно принят на вооружение программой-вымогателем Knight 3.0. Эти данные свидетельствуют о том, что появление вариантов продлит жизненный цикл этого вредоносного ПО далеко за пределы завершения первоначальной операции.
То, как закончилась эта история, позволяет предположить, что организованные преступные операции не только устойчивы и часто способны пережить усилия правоохранительных органов, но также и то, что субъекты угроз могут решить добровольно покинуть место происшествия.. Они могут сделать это, потому что считают, что достигли своих прибыльных целей, или потому, что они чувствуют, что рыночные условия больше не являются благоприятными. В случае с BlackCat/ALPHV считается, что на их решение могло повлиять колебание цены Биткойна или даже возможное смещение акцента на другие цели, такие как Украина (поскольку субъекты угрозы имеют российское происхождение). остановить операцию. Уклонение от правоохранительных органов
Возобновление вредоносных операций после попыток отключения со стороны правоохранительных органов не ограничивается операциями с программами-вымогателями. Третий примечательный пример — непродолжительное уничтожение печально известного ботнета Qakbot в ходе операции «Утиная охота», проведенной ФБР и его партнерами в 2023 году. Qakbot является одним из наиболее гибких видов оружия для злоумышленников благодаря своей модульной природе, которая позволяет ему доставлять для распространения множество вредоносных программ, включая различные типы программ-вымогателей, что приводит к убыткам в сотни миллионов долларов. Как и следовало ожидать, эта кажущаяся победа была недолгой. Всего через два месяца после начала операции правоохранительных органов злоумышленники быстро адаптировали свою вредоносную инфраструктуру для распространения дополнительных полезных данных.
Было обнаружено больше кампаний Qakbot, а также новые варианты с улучшениями вредоносного ПО. Эти кампании включали распространение инструментов удаленного доступа Cyclops и Remcos через вредоносные PDF-документы среди представителей индустрии гостеприимства в октябре 2023 года под видом фейковых сообщений IRS, а также фальшивого установщика Windows в январе 2024 года. По данным Netskope Threat Labs, Qakbot был одна из главных угроз, нацеленных на сектор розничной торговли в период с марта 2023 года по февраль 2024 года, демонстрирующая устойчивость и гибкость инфраструктуры атак. Будьте бдительны
Киберпреступность сегодня стала крупным бизнесом, и злоумышленники располагают огромными ресурсами для создания все более распространенных и устойчивых угроз. Для борьбы с этими продвинутыми атаками организации должны принять комплексную стратегию безопасности, которая будет непрерывной, повсеместной и устойчивой. Это включает в себя внедрение многоуровневых механизмов защиты, непрерывный мониторинг, обнаружение угроз в реальном времени и регулярные оценки безопасности.
Кроме того, было бы разумно последовать примеру и урокам этих устойчивых субъектов угроз, развивать культуру осведомленности о кибербезопасности, поддерживать современные системы и иметь надежные планы реагирования на инциденты и аварийного восстановления. Устранение всех «слепых зон» кибербезопасности имеет решающее значение, поскольку даже незначительные уязвимости могут привести к серьезным нарушениям. Организации должны быть готовы защищаться от всех типов угроз и групп атак. У нас лучший облачный антивирус.
Эта статья была подготовлена в рамках канала Expert Insights от Ny BreakingPro, где мы рассказываем о лучших и ярких умах современной технологической индустрии. Мнения, выраженные здесь, принадлежат автору и не обязательно совпадают с мнением Ny BreakingPro или Future plc. Если вы заинтересованы в участии, вы можете прочитать больше здесь: https://www.techradar.com/news/submit-your-story-to-techradar-pro.
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
