Нещодавні звіти від компанії ReliaQuest виявили нову хвилю кібератак, ініційованих угрупованнями, які раніше були пов'язані з відомим оператором програм-вимагачів Black Basta. Ці кіберзлочинці активно використовують добре відпрацьовані методи соціальної інженерії для швидкого проникнення в мережі організацій. Кампанія значно активізувалася протягом останніх місяців, вже вразивши десятки компаній по всьому світу. Це свідчить про те, що навіть після потенційних змін у структурі великих кіберзлочинних груп, їхні тактики та інструменти продовжують використовуватися іншими акторами.
Основний вектор атаки цих кампаній — соціальна інженерія. Зловмисники майстерно маніпулюють співробітниками організацій, щоб отримати початковий доступ до корпоративних систем. Хоча конкретні методи соціальної інженерії не деталізуються у вихідних даних, вони зазвичай включають фішингові електронні листи, шкідливі посилання, підроблені вебсайти або телефонні дзвінки (вішинг). Після успішного проникнення, колишні партнери Black Basta, ймовірно, застосовують тактики, схожі на ті, що використовувалися оригінальною групою, включаючи:
- Швидке розширення доступу: Після отримання початкового доступу, зловмисники прагнуть якомога швидше підвищити привілеї та переміщатися по мережі.
- Використання легітимних інструментів: Часто для обходу засобів захисту використовуються вбудовані системні інструменти або легітимне програмне забезпечення.
- Викрадення даних: Перед шифруванням даних, як правило, відбувається їх викрадення для подальшого шантажу (подвійне вимагання).
- Розгортання програм-вимагачів: Фінальним етапом є розгортання програм-вимагачів для шифрування критично важливих даних і вимагання викупу.
Ця кампанія є широкомасштабною і загрожує організаціям різних секторів та розмірів, які мають недостатній рівень захисту від атак соціальної інженерії. Особливо вразливими є компанії, чиї співробітники не пройшли належного навчання з кібергігієни та розпізнавання фішингових спроб. Оскільки кампанія є "швидкісною", це означає, що зловмисники намагаються максимально швидко експлуатувати виявлені вразливості або успішні спроби соціальної інженерії, що робить час реакції критично важливим. Будь-яка організація, що обробляє чутливі дані або має критичну інфраструктуру, повинна бути особливо пильною.
Для ефективного захисту від подібних кампаній, Cyber Index UA рекомендує наступні заходи:
- Навчання персоналу: Проводьте регулярні тренінги для співробітників щодо розпізнавання фішингових листів, шкідливих посилань та інших форм соціальної інженерії.
- Багатофакторна автентифікація (MFA): Впровадьте MFA для всіх облікових записів, особливо для доступу до критичних систем та віддаленого доступу.
- Надійні рішення EDR/XDR: Використовуйте сучасні системи виявлення та реагування на кінцевих точках (EDR) або розширені рішення (XDR) для моніторингу та швидкого реагування на підозрілу активність.
- Сегментація мережі: Розділіть мережу на логічні сегменти, щоб обмежити можливості зловмисників для горизонтального переміщення у разі компрометації.
- Регулярне резервне копіювання: Створюйте та зберігайте резервні копії всіх критично важливих даних у безпечному, ізольованому місці. Перевіряйте їхню цілісність та можливість відновлення.
- План реагування на інциденти: Розробіть та регулярно тестуйте план реагування на кіберінциденти, щоб мінімізувати час простою та збитки у разі успішної атаки.