Окружний суд США засудив громадянина Росії Олексія Волкова до 81 місяця (6 років та 9 місяців) тюремного ув'язнення за його участь у кіберзлочинній діяльності. Волков, відомий під псевдонімами «Kilim» та «Globus», був визнаний винним у змові з метою вчинення комп'ютерного шахрайства та зловживання. Його роль полягала у функціонуванні як брокера початкового доступу (Initial Access Broker, IAB), який продавав доступ до скомпрометованих корпоративних мереж іншим кіберзлочинцям, зокрема угрупованню Yanluowang ransomware.
Брокери початкового доступу є невід'ємною частиною сучасної кіберзлочинної екосистеми. Вони спеціалізуються на отриманні несанкціонованого доступу до корпоративних мереж, а потім продають цей доступ на підпільних форумах іншим зловмисникам, які можуть використовувати його для розгортання програм-вимагачів, крадіжки даних або інших шкідливих дій. Методи, які використовують IAB, включають:
- Експлуатація вразливостей у публічно доступних сервісах (наприклад, VPN, веб-сервери).
- Фішингові атаки для викрадення облікових даних.
- Атаки методом перебору (brute-force) на протоколи віддаленого робочого столу (RDP) або інші сервіси.
- Використання викрадених або скомпрометованих облікових записів.
Угруповання Yanluowang ransomware відоме своєю тактикою подвійного вимагання, яка передбачає не лише шифрування даних жертви, але й їх викрадення з подальшою загрозою публікації, якщо викуп не буде сплачено. Діяльність Волкова дозволяла таким угрупованням швидко отримувати плацдарм у цільових мережах, значно прискорюючи та спрощуючи проведення атак.
Діяльність брокерів початкового доступу та угруповань ransomware, таких як Yanluowang, становить загрозу для широкого кола організацій, незалежно від їх розміру чи галузі. Особливо вразливими є:
- Компанії з недостатньо захищеним периметром мережі.
- Організації, що не застосовують багатофакторну автентифікацію (MFA) для віддаленого доступу.
- Установи, які не оновлюють своє програмне забезпечення та операційні системи, залишаючи відкритими відомі вразливості.
- Будь-яка організація, що зберігає цінні дані, які можуть бути викрадені або зашифровані.
- Урядові структури та об'єкти критичної інфраструктури, які часто стають мішенями через їхню стратегічну важливість.
Для мінімізації ризиків, пов'язаних з діяльністю брокерів початкового доступу та програмами-вимагачами, Cyber Index UA рекомендує наступні заходи:
- Впровадження MFA: Застосовуйте багатофакторну автентифікацію для всіх віддалених доступів та критично важливих систем.
- Регулярне оновлення: Своєчасно встановлюйте оновлення безпеки для операційних систем, програмного забезпечення та мережевого обладнання.
- Управління вразливостями: Проводьте регулярне сканування на наявність вразливостей та оперативно усувайте їх.
- Сегментація мережі: Розділіть мережу на логічні сегменти для обмеження поширення потенційної атаки.
- Навчання персоналу: Проводьте регулярні тренінги з кібергігієни та розпізнавання фішингових атак для всіх співробітників.
- Резервне копіювання: Впровадьте надійну стратегію резервного копіювання даних (правило 3-2-1) та регулярно перевіряйте можливість їх відновлення.
- Моніторинг та виявлення: Використовуйте системи моніторингу мережі (SIEM, EDR) для виявлення аномальної активності та потенційних вторгнень.
- Обмеження привілеїв: Застосовуйте принцип найменших привілеїв для користувачів та систем.