Обновена на 18.11.2024 от Questo
Делът на компаниите, които плащат откуп при рансъмуер атака, се е удвоил през 2024 г. според Hornetsecurity: от 6.9% на 16.3%.
Това подсказва, че все повече фирми не виждат спасение от рансъмуера и предпочитат да си платят, за да избегнат финансови и репутационни проблеми. Някои от тях се съгласяват да плащат откупи за стотици хиляди и дори милиони долари.
Как така рансъмуер атаките са толкова ефективни и доходоносни?
Отговорът са инструментите, които хакерите използват.
В тази статия ще разгледаме най-популярните инструменти за рансъмуер атаки.
Списъкът е базиран на данни, събрани от Bushido Token, който изпитва почти перверзно удоволствие от това да събира информация за групите за киберрекет и е популярен в общността на етичните хакери.
Как действат рансъмуер групите
В общия случай една рансъмуер група минава през следните стадии:
1. Хакерите си осигуряват достъп до данните на организацията
2. Криптират данните и им правят копие
3. Свързват се с организацията и искат откуп
4. Ако организацията не плати, публикуват данните в интернет
Ако се стигне до точка 4, организацията понася щети по две линии.
От една страна тя не може да си върне достъпа до криптираните данни, което може да е пагубно за дейността й.
От друга публикуването на чувствителните й данни в интернет може да доведе до много проблеми: разкриване на търговски тайни, изтичане на конфиденциална информация, глоби и т.н.
Как хакерите получават достъп до корпоративните данни
Има много възможности, но най-често този достъп се получава по един от следните начини:
Слаба парола
По един или друг начин научават паролата за даден акаунт и добиват достъп до информационна система, компютър и цялата мрежа.
Софтуерна уязвимост
Злоупотребяват с уязвимост в софтуера, използван от организацията.
Социално инженерство
Убеждават служителите на организацията да инсталират софтуер, който дава на хакерите достъп до информационните системи.
Компрометиран софтуер
Компрометират софтуер, който се използва от организацията, и така получават достъп до информационните й системи.
Най-използваните инструменти за рансъмуер атаки
След като вече знаем как действат рансъмуер групите, нека да хвърлим поглед и върху техния арсенал.
Той включва инструменти за сканиране, софтуер за отдалечен достъп, палтформи за съхранение на данни и други.
Някои от инструментите са известни предимно на системните администратори, но други са популярни програмки, които почти всеки от нас е ползвал поне веднъж.
AdFind
Това е популярен инструмент за търсене в Active Directory. Заради лесния си за научаване синтаксис и възможността за задаване на комплексни търсения, той е предпочитан от системните администратори.
Хакерите го използват за идентифициране на потенциални цели в мрежа, като компютри, потребители и групи. Например могат да открият потребители с администраторски достъп, да получат информация за мрежата на организацията, нейните служителите и т.н.
Advanced IP Scanner
Този софтуер сканира мрежата за активни устройства и предоставя информация за тях: модел, операционна система, отворени портове и т.н.
Хакерите го използват, за да откриват незащитени устройства(рутери, сървъри, служебни компютри и други), които могат да бъдат атакувани.
AnyDesk
Много популярен инструмент за отдалечен достъп. Легитимно се използва, за да се свържете с устройство през интернет: например да се логнете в служебния си компютър, без да ходите до офиса.
Хакерите го използват, за да получат достъп до информационните системи на организацията. Класически сценарий е да се представят за отдел техническа поддръжка и да помолят служител в организацията да инсталира AnyDesk под предлог, че нещо по устройството трябва да се прегледа.
Cobalt Strike
В киберсигурността Cobalt Strike е нещо като калашника за военната индустрия. Този инструмент е създаден за специалисти по сигурност, за да тестват с него сигурността на мрежите.
Както можете да си представите, хакерите веднага го налазиха и го използват, за да атакуват целите си.
GMER
Легитимно този инструмент се използва за откриване на руткитове (rootkits). Последното е софтуер, който дава неоторизиран администраторски контрол над засегнати устройства.
Макар да е създаден, за да помага срещу кибератаки, GMER Се използва за такива. С него хакерите могат да останат незабелязани, докато проникват в информаицонните сситеми: например като спират определени процеси и софтуерни продукти.
MEGA
MEGA е платформа за съхранение на данни в интернет. Заради либералната си политика и възможността да съхранява големи обеми данни, тя е предпочитана от хакерите. Те предпочитат да качват в нея данните, които са откраднали, или да складират зловреден софтуер.
Mimikatz
Tози инструмент разчита на уязвимост в Windows, която позволява кражбата на пароли и други чувствителни данни. Въпреки че още през 2013 г. Microsoft направи възможнос отстраняването на тази узявимост, Mimikatz все още е ефективен инструмент и се използва от хакерите.
PsExec
Този малък команден инструмент позволява на системните администратори да инсталират от разстояние софтуер.
След като вече са намерили дупка, през която да се промъкната в мрежата на организацията, хакерите използват PsExec, за да си проправят път в нея, да я управляват от разстояние или да инсталират злонамерен софтуер.
RClone
Още един команден инструмент, но този е за синхронизиране на данни: например да синхронизирате папките на лаптопа си с тези в Dropbox или друга облачна услуга.
Заради големия брой облачни услуги, с които може да работи, и относително лесния синтаксис, RClone се използва от хакерите при ексфилтрирането на данни. С него те прехвърлят данните на хакнатата компания в хранилища на данни под техен контрол.
Как да се предпазите
Съществуват много инструменти за рансъмуер атаки. Защитата от тях също е комплексна. Ето няколко базови мерки, която всяка организация може да вземе.
- използвайте антивирусен софтуер, защитни стени и софтуер за мониторинг на мрежата
- обновявайте редовно софтуера на устройствата си (това включва рутери и други джаджи, за които често забравяме, че могат да са входна точка за хакерите)
- не отваряйте имейли от непознати и особено прикачените в тях файлове
- използвайте силни и уникални пароли
- използвайте двуфакторна автентикация
- обучавайте служителите си да разпознават различните киберзаплахи