Как защитить корпоративные сети и не разориться на ИБ-решениях?

- КиТ :: Будь в СЕТИ!

Количество DDoS-атак на сети выросло на 500%. Смартфоны и планшеты сотрудников и посетителей офисов, удаленные подключения и развитие интернета вещей хоронят стратегии ИБ-департаментов. Латать каждую новую пробоину подручными средствами - слишком дорого и попросту опасно!

ак вернуть былую производительность LAN-сетей? Стоит ли покупать комплексные ИБ-решения? Как перестать тратить на локальные сети миллионы рублей? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet об обеспечении безопасности проводных и беспроводных сетей.

Электронная книга

От SD-WAN до SASE: как подготовить сети к масштабированию и инновациям?

Стратегии сетевой безопасности проваливаются одна за другой. Компании не могут растянуть периметр в условиях полной удаленки и не готовы к грядущим инновациям. Для них гипермасштабирование, многооблачные среды и G останутся просто нереализованной фантазией.

Как защитить всех пользователей сети от внешних и внутренних угроз? Можно ли снизить расходы на обслуживание WAN-сетей? Станут ли панацеей периферийные сервисы безопасного доступа (SASE)? Зарегистрируйтесь, чтобы скачать электронную книгу Fortinet о требованиях к стратегии обеспечения сетевой безопасности от SD-WAN до SASE. Поделиться Эффективный шифровальщик-вымогатель почти 2 года странным образом оставался в тени

Группировка Mespinoza/PYSA, которая, по мнению экспертов, происходит из Франции, почти два года атаковала организации в США и других странах. В марте 2021 г. к ней проявило интерес ФБР. С апреля на сайте утечек Mespinoza перестали появляться новые данные.

Почти незаметный шифровальщик

Эксперты группы Unit Palo Alto Network опубликовали исследование, посвященное малоизвестной до последнего времени группировке шифровальщиков-вымогателей под названием Mespinoza. На фоне более знаменитых групп, таких как RagnarLocker или канувших в неизвестность REvil и DarkSide, Mespinoza оставалась относительно непримечательной сущностью. Хотя со своих жертв эта группировка требовала довольно большие деньги за возвращение доступа к данным.

Группировка Mespinoza, также известная как PYSA, атаковала организации в таких отраслях как образование, производство, ритейл, медицина, хай-тек, транспорт и логистика, инженерные разработки и соцслужбы. Доставалось и государственным агентствам.

Еще в марте 2021 г. ФБР опубликовало предупреждение об активности PYSA, отметив, что масштаб и охват деятельности этой группировки растет. С тех пор злоумышленники действительно развернулись на широкую ногу. Жертвами Mespinoza/PYSA стали организации в 20 странах, в том числе в Канаде, Великобритании, Италии, Испании, Франции, Германии, Южной Африке, Бразилии и Австралии. Больше половины жертв, впрочем, располагаются на территории США.

Французская шифрогруппировка почти два года оставалась малозаметной

Злоумышленники требовали от своих жертв до $1,6 млн. Впрочем, максимальная известная выплата составила $470 тыс. Если выкуп не выплачивался, группировка выкладывала данные жертв на своем сайте утечек.

Как отмечается в исследовании Unit 42, группировку Mespinoza отличает весьма высокая организационная дисциплина. Это вполне может указывать на то, что мотивы ее участников не ограничиваются заработком денег.

Modus Operandi

После первичного проникновения в сеть потенциальной жертвы, злоумышленники сперва пытаются выяснить, есть ли в атакованной инфраструктуре особо важные данные, за которые жертва готова будет раскошелиться. Исследователи отметили, что члены Mespinoza осуществляют поиск по ключевым словам, таким как clandestine («скрытый»), fraud («мошенничество» или «мошеннический»), SSN (номер полиса социального страхования, основной идентификатор граждан США), driver'slicense («водительские права») и I- (это форма подтверждения права на трудоустройство в США).

В ходе одной из расследованных Unit 42 атак, операторы Mespinoza, получив доступ к компьютерной системе внутри целевой инфраструктуры через RDP, и запустили серию batch-скриптов, использующих утилиту командной строки PsExec, с помощью которых по множеству других компьютерных систем был распространен исполняемый файл шифровальщика.

...в посудной лавке

По данным Cynet, Mespinoza связана с некоей французской APT-группировкой, которая начала активное использование шифровальщика где-то в октябре 2019 г. Таким образом, злоумышленники оставались «ниже радара» на протяжении почти двух лет.

Любопытно, что последняя публикация утечки PYSA датирована концом апреля 2021 г. С тех пор атак либо не было, либо, наоборот, они заканчивались полной выплатой требуемой суммы.

В любом случае, за последние месяцы свернули деятельность (самостоятельно или вынужденно) сразу несколько шифровальных группировок, в том числе, REvil, Avaddon и DarkSide; некоторые другие не проявляли активности уже на протяжении нескольких месяцев. Впрочем, остаются группировки вроде Conti, которые продолжают вести активную вредоносную деятельность и по сей день.

«Довольно странно, что активную шифровальную группировку игнорировали до недавнего времени. Это шпионские APT-группы могут долго оставаться незамеченными, а шифровальщики-вымогатели проявляются сразу же и весьма явственно, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. - Возможно, их жертвы до определенного момента предпочитали “решать вопрос по-тихому” с минимальным опубличиванием инцидента. Но потом кто-то из пострадавших сообщил-таки в ФБР».

Роман Георгиев

Поделиться

Другие материалы рубрики

Выпущен «единственный в мире» смартфон без цензуры и без слежки за пользователем. Его можно заказать в Россию

Market.CNews подготовил обзор ключевых параметров выбора глобального облачного провайдера

Создатели Norton Antivirus покупают скандально известного конкурента

Самая прославленная группировка «русских хакеров» внезапно прекратила работу и отключила все сайты

Мошенники крупно заработали на майнинговом ПО, которое не майнит

Попавшая под санкции Positive Technologies сменила гендиректора накануне IPO

MARKET.CNEWS IaaS

Подобрать облачную инфраструктуру

От 346 руб./месяц

S3-хранилище

Подобрать облачное хранилище

От 6,2 коп. за 1 Гб/месяц

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

VPS

Подобрать виртуальный сервер

От 30 руб./месяц

Техника Какие гаджеты взять в поход: советы ZOOMОбзор беспроводной гарнитуры JBL LIVE FREE NC+ TWSКак спрятать провода техники в квартире: советы ZOOM Наука Раскрыта тайна исчезающего метана на Марсе Роботы научились рыть землю - почему это прорыв в робототехнике Как искусственный интеллект меняет будущее авиаперевозок Событие месяца Как спасти российский бизнес от кибератак

Крупные мировые компании теряют в среднем $1 млн на атаках

Проект месяца Зачем цифровому бизнесу гибридные облака: опыт «Ингосстраха»

Как обеспечить гибкость в формировании ИТ-сред

ИТ в госсекторе Как работает импортозамещение ИТ-оборудования в российских школах и больницах

На что государство тратит десятки миллионов рублей?

ПодпискаБудь в СЕТИ! Новости социальных сетей - всегда актуальное
 
Группы: ВК | OK | Tg