Зарегистрируйтесь, чтобы скачать исследование компании Fortinet о программах-вымогателях и основных проблемах, которые они вызывают.

Какие решения защищают от инцидентов с программами-вымогателями еще до того, как они станут атаками?

Компании все чаще становятся жертвами программ-вымогателей. Любая автоматизация расширяет поверхность атаки. Чем более успешной она окажется, тем большей окажется сумма ущерба для бизнеса. Наибольшей проблемой становятся атаки с использованием электронной почты, а также эксплойты уязвимостей «нулевого дня» и компрометация авторизованных цепочек доставки.

Зарегистрируйтесь, чтобы скачать обзор Fortinet о решениях, которые помогают отражать атаки программ-вымогателей.

Найден лучший за последние 15 лет способ взломать защищенную сеть

Исследование ESET показало, что за последние 15 лет методы взлома изолированных от интернета систем почти не менялись. Злоумышленники всегда полагаются на съемные накопители.

Единственное средство подключения

Исследование нескольких вредоносных фреймворков для вывода данных из изолированных систем показали, что за последние полтора десятка лет во всех случаях злоумышленникам приходится полагаться на съемные USB-приводы (флешки) в качестве основного инструмента доставки вредоносов.

Изолированные системы, как можно понять из их названия, отсоединены от интернета, чтобы исключить возможность удаленных манипуляций. Тем не менее, их киберзащита также может являться довольно проблемной сферой.

Эксперты компании ESET исследовали 17 вредоносных фреймворков, которые различные хакеры использовали на протяжении последнего десятилетия для атак на изолированные системы.

Единственным способом доставить на них вредоносное ПО и вывести данные во всех случаях оказываются съемные приводы.

Наиболее известным случаем использования flash-приводов для кибератак на изолированные системы остается инцидент со Stuxnet - вредоносной программой, назначением которой было выведение из строя иранского завода по обогащению урана в Натанце. Именно съемный накопитель, подключенный к нужному компьютеру, обеспечил Stuxnet возможность проникнуть в целевые системы и частично вывести из строя центрифуги завода (впрочем, считается, что Stuxnet нанес куда меньший ущерб, чем должен был).

Помимо Stuxnet, однако, существует множество других вредоносных комплексов, нацеленных на изолированные системы. В их числе Ramsay, разработанный южнокорейской APT-группой DarkHotel, PlugX, разработанный китайской APT-группой Goblin Panda, а также Fanny, принадлежащий EquationGroup, вероятному детищу АНБ США. Также были исследованы фреймворки ProjectSauron и agent.btz, происхождение которых остается загадкой, и многие другие.

Исследователи сосредоточились на таких аспектах как механизмы запуска и функциональность вредоносов внутри целевых изолированных систем, обеспечение скрытности и постоянства, а также пути вывода данных.

Слабое место

Во всех случаях использовались USB-накопители. Все вредоносы были разработаны для шпионажа и нацелены на системы Windows. 75% вредоносов использовали файлы LNK или средства автозапуска в USB-приводах для изначальной компрометации изолированных систем, дальнейшего перемещения по их сетям и сбора данных. Вывод собранной информации также осуществляется через инфицированный накопитель - предполагается, что рано или поздно он будет подключен к системе, имеющей выход в интернет.

Как отмечают эксперты ESET, основное внимание необходимо направить именно на те физические накопители, которые используются для доставки и установки ПО на изолированные системы.

«И накопители для переноса данных на изолированные системы, и машины с выходом в интернет, к которым эти накопители подключаются, нуждаются в самой тщательной проверке перед каждой операцией, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Злоумышленники могут через Всемирную сеть установить на нужную систему вредонос, который автоматически будет заражать любые внешние накопители в надежде попасть в итоге внутрь изолированного периметра. Соответственно, данные на накопитель должны попадать только с максимально защищенной машины.