Исследователи составили список уязвимостей, которыми злоупотребляют банды вымогателей

21
Вредоносное ПО RAT распространяется в Корее через веб-сайты и торренты

Исследователи безопасности составляют понятный список уязвимостей, которые банды программ-вымогателей и их филиалы используют в качестве начального доступа к сетям жертв взлома.

Все началось с призыва к действию, сделанного Алланом Лиской , членом CSIRT (группа реагирования на инциденты компьютерной безопасности) Recorded Future, в Twitter в минувшие выходные.

С тех пор, с помощью нескольких других участников, которые присоединились к его усилиям, список быстро расширился, включив в него недостатки безопасности, обнаруженные в продуктах от более чем дюжины различных поставщиков программного и аппаратного обеспечения.

Хотя эти ошибки использовались или все еще используются той или иной группой программ-вымогателей в прошлых и текущих атаках, список также был расширен, чтобы включить активно эксплуатируемые недостатки, как объяснил исследователь безопасности Pancak3 .

Список представлен в виде диаграммы, предоставляющей защитникам отправную точку для защиты своей сетевой инфраструктуры от входящих атак программ-вымогателей.

Уязвимости, на которые нападут группы программ-вымогателей в 2021 году

Только в этом году группы программ-вымогателей и их филиалы добавили в свой арсенал несколько эксплойтов, нацеленных на активно эксплуатируемые уязвимости.

Например, на этой неделе нераскрытое число аффилированных лиц, предлагающих программу- вымогатель как услугу, начали использовать эксплойты RCE, нацеленные на недавно исправленную уязвимость Windows MSHTML (CVE-2021-40444).

В начале сентября программы-вымогатели Conti также начали атаковать серверы Microsoft Exchange , взламывая корпоративные сети с помощью эксплойтов уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

В августе LockFile начал использовать метод ретрансляционной атаки PetitPotam NTLM (CVE-2021-36942), чтобы захватить домен Windows во всем мире, Magniber запрыгнул на поезд эксплуатации PrintNightmare (CVE-2021-34527), а eCh0raix был замечен как нацеленный как на QNAP, так и на QNAP. Устройства Synology NAS (CVE-2021-28799).

Программа-вымогатель HelloKitty нацелена на уязвимые устройства SonicWall (CVE-2019-7481) в июле, в то время как REvil взломала сеть Kaseya (CVE-2021-30116, CVE-2021-30119 и CVE-2021-30120) и поразила примерно 60 MSP с использованием локальных сетей. Серверы VSA и 1500 последующих бизнес-клиентов.

Программа-вымогатель FiveHands использовала уязвимость CVE-2021-20016 SonicWall, прежде чем была исправлена ​​в конце февраля 2021 года , как сообщал Mandiant в июне.

QNAP также предупредил об атаках программ-вымогателей AgeLocker на устройства NAS с использованием нераскрытой уязвимости в устаревшей прошивке в апреле, так же как массовая кампания вымогателей Qlocker была нацелена на устройства QNAP, не исправленные для защиты от уязвимости с жестко закодированными учетными данными (CVE-2021-28799).

В том же месяце программа-вымогатель Cring начала шифрование незащищенных устройств Fortinet VPN (CVE-2018-13379) в сетях компаний промышленного сектора после того, как ФБР и CISA совместно предупредили, что злоумышленники сканируют уязвимые устройства Fortinet.

В марте серверы Microsoft Exchange по всему миру подверглись атаке программ- вымогателей Black Kingdom [ 1 , 2 ] и DearCry в рамках массированной волны атак, направленных на системы, не защищенные от уязвимостей ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE- 2021-26858, CVE-2021-27065).

И последнее, но не менее важное: атаки программ-вымогателей Clop на серверы Accellion (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104), которые имели место с середины декабря 2020 года и продолжались в январе 2021 года, привели к увеличить среднюю цену выкупа за первые три месяца года.

Борьба с растущей угрозой программ-вымогателей

Работа Лиски и его сотрудников дополняет постоянные усилия по отражению атак программ-вымогателей, которые годами преследуют организации государственного и частного сектора во всем мире.

В прошлом месяце к CISA присоединились Microsoft, Google Cloud, Amazon Web Services, AT&T, Crowdstrike, FireEye Mandiant, Lumen, Palo Alto Networks и Verizon в рамках партнерства Joint Cyber ​​Defense Collaborative (JCDC), направленного на защиту критически важной инфраструктуры от программ-вымогателей. и другие киберугрозы.

В июне федеральное агентство также выпустило новый инструмент аудита безопасности для самооценки программ-вымогателей, призванный помочь организациям, подвергающимся риску, понять, есть ли у них возможности для защиты и восстановления после атак программ-вымогателей, нацеленных на информационные технологии (ИТ), операционные технологии (ОТ), или активами системы промышленного управления (ICS).

CISA предоставляет Контрольный список реакции на программы-вымогатели для организаций, пострадавших от атак программ-вымогателей, советы по защите от программ-вымогателей и ответы на часто задаваемые вопросы о программах-вымогателях .

Новозеландская группа реагирования на компьютерные чрезвычайные ситуации (CERT NZ) также недавно опубликовала руководство по защите предприятий от программ-вымогателей .

В руководстве CERT NZ описаны пути атаки программ-вымогателей и показано, какие меры безопасности можно настроить для защиты от атаки или ее остановки.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here