Корпорація Microsoft виявила та відстежує діяльність кіберзлочинної групи Storm-1175, яка активно використовує програму-вимагач Medusa Ransomware. Ця група відрізняється надзвичайною швидкістю проведення своїх операцій, що дозволяє їм максимально швидко компрометувати системи та розгортати шкідливе програмне забезпечення. Основною метою Storm-1175 є отримання фінансової вигоди шляхом вимагання викупу.
Ключовою особливістю тактики Storm-1175 є агресивна експлуатація вразливостей:
- N-day вразливості: Це відомі вразливості, для яких вже існують публічні патчі та виправлення. Група використовує їх, атакуючи системи, які не були своєчасно оновлені.
- Zero-day вразливості: Це абсолютно нові, раніше невідомі вразливості, для яких ще не існує публічних патчів або виправлень. Їх використання свідчить про високий рівень технічної підготовки групи та її здатність до розробки власних експлойтів.
Висока швидкість розгортання атак дозволяє зловмисникам мінімізувати час, протягом якого жертва може виявити вторгнення та відреагувати. Medusa Ransomware, яку вони використовують, є типовою програмою-вимагачем, що шифрує дані жертви та вимагає викуп за їх розшифровку.
Загроза від Storm-1175 є глобальною і стосується будь-яких організацій, які мають вразливі системи. Особливо в зоні ризику знаходяться ті, хто:
- Не застосовує своєчасні оновлення безпеки для відомих вразливостей (N-day).
- Має критичні системи, доступні з інтернету, які можуть бути ціллю для експлуатації zero-day вразливостей.
- Має недостатньо розвинені механізми виявлення та реагування на інциденти, що дозволяє зловмисникам діяти «на високій швидкості» та швидко закріплюватися в мережі.
Фінансово мотивовані групи, як Storm-1175, часто не мають конкретної галузевої чи географічної прив'язки, атакуючи будь-яку ціль, яка обіцяє викуп.
Для мінімізації ризиків від таких груп, як Storm-1175, рекомендується впровадити наступні заходи:
- Регулярне оновлення ПЗ: Негайно застосовуйте всі доступні патчі безпеки, особливо для операційних систем, мережевого обладнання та критичних програмних продуктів, що працюють на периферії мережі.
- Управління вразливостями: Впровадьте програму сканування та управління вразливостями для ідентифікації та усунення потенційних слабких місць у вашій інфраструктурі.
- Багаторівневий захист: Використовуйте комплексний підхід до кібербезпеки, що включає фаєрволи, системи виявлення вторгнень (IDS/IPS), антивірусне ПЗ та рішення для захисту кінцевих точок (EDR).
- Резервне копіювання: Регулярно створюйте та перевіряйте резервні копії критичних даних, зберігаючи їх офлайн або в ізольованому середовищі.
- Навчання персоналу: Підвищуйте обізнаність співробітників щодо фішингу та інших соціальних інженерних атак, які можуть бути початковим вектором компрометації.
- Моніторинг мережі: Впровадьте системи моніторингу для швидкого виявлення аномальної активності та потенційних вторгнень, що дозволить оперативно реагувати на загрози.