Отчет McAfee Enterprise Advanced Threat Research: 2 квартал 2021 года

Главное в отчете:
1. Атаки программ-вымогателей
В мае было множество новостей вокруг атаки группировки DarkSide на трубопроводную компанию Colonial Pipeline. MVISION Insights смогла на ранних этапах оперативно определить потенциальных жертв DarkSide в США. Ими оказались в основном юридические компании, промышленные предприятия и организации, занимающиеся оптовой торговлей, а также компании нефтяной, газовой и химической отрасли.
Группировки Ryuk, REvil, Babuk и Cuba активно использовали модели, предусматривающие активное привлечение сторонних лиц для организации скоординированных атак на корпоративную инфраструктуру компаний. Вскоре после атаки DarkSide банда REvil обратила на себя внимание общественности. Она использовала программу-вымогатель Sodinokibi в рамках атаки на Kaseya, глобального поставщика услуг ИТ-инфраструктуры. Во втором квартале 2021 года REvil и Sodinokibi возглавили список самых активных программ-вымогателей. На их долю пришлось 73% от всех случаев атак с применением программ-вымогателей.

После того, как атаки группировок DarkSide и REvil получили широкую огласку, они на время затаились, но в июле на их место пришла новая кибергруппировка. Жертвами BlackMatter стали пользователи из Италии, Индии, Люксембурга, Бельгии, США, Бразилии, Таиланда, Великобритании, Финляндии и Ирландии. Новая партнерская программа была организована по схеме Ransomware-as-a-Service («Программа-вымогатель как услуга») и включала в себя элементы вредоносных программ от DarkSide, REvil и Lockbit. Основываясь на сходстве кода бинарных файлов и сходстве их страницы с DarkSide, специалисты пришли к общему мнению, что программа-вымогатель от BlackMatter, скорее всего, создана на базе аналогичной программы от DarkSide, хотя участники BlackMatter это и отрицают.

Еще одна необычная программа-вымогатель из прошлого «объявилась» в середине 2021 года. Программа-вымогатель LockBit 2.0 — это обновленная версия LockBit 2020 года. В нее были добавлены новые функции, которые позволяют автоматически шифровать устройства во всем домене, переносить данные и получать доступ к системам по RDP, а также привлекать новых сообщников из числа сотрудников компании, на которую нацелились злоумышленники.

Программы-вымогатели семейства Hive были впервые замечены в июне 2021 года. Они затронули работу компаний в Индии, Бельгии, Италии, США, Турции, Таиланде, Мексике, Германии, Колумбии и Украине. Написанные на языке программирования Go, программы-вымогатели работали по схеме Ransomware-as-a-Service и были нацелены на медицинские учреждения и компании, обеспечивающие работу жизненно важных инфраструктур.

Во втором квартале 2021 года наиболее подверженным атакам программ-вымогателей оказался государственный сектор, за ним следуют рынок телекоммуникаций, энергетики и СМИ. Согласно нашим данным, государственный сектор является целью № 1 для киберпреступников, и при этом большинство из многочисленных атак оказываются безуспешными.

2. Тактики и техники из базы знаний MITRE ATT&CK, используемые в семействах программ-вымогателей во II квартале 2021 г.

Согласно классификации MITRE ATT&CK основными методами злоумышленников стали: злонамеренное шифрование данных, обнаружение файлов и каталогов, скрытие файлов или данных, внедрение процесса, раскрытие и декодирование файлов или информации, обнаружение процесса, блокировка восстановления системы, PowerShell, обнаружение системной информации и изменение реестра.

При этом, злонамеренное шифрование данных — наиболее часто выявляемая тактика атак во II кв. 2021 года.

3. Компания B. BRAUN: обнаружены уязвимости в популярном инфузионном насосе

Медицинская отрасль сталкивается с уникальными проблемами в области безопасности. Потенциальные атаки на медицинские центры могут представлять собой даже большую угрозу, чем общесистемная атака с использованием программ-вымогателей. Наша команда в сотрудничестве с компанией Culinda обнаружила ряд уязвимостей в инфузионном насосе Infusomat Space Large Pump и док-станции SpaceStation от компании B. Braun.

В результате нашего исследования мы обнаружили пять уязвимостей в медицинском оборудовании, о которых ранее не сообщалось:

1. CVE-2021-33886: использование удаленной командной строки (CVSS 7.7);
2. CVE-2021-33885: недостаточно строгая проверка подлинности данных (CVSS 9.7);
3. CVE-2021-33882: отсутствие аутентификации для критической функции (CVSS 8.2);
4. CVE-2021-33883: передача конфиденциальной информации открытым текстом (CVSS 7.1);
5. CVE-2021-33884: возможность загрузки файлов опасного типа (CVSS 5.8).

В совокупности эти уязвимости могут быть использованы злоумышленником на медицинском оборудовании для изменения конфигурации насоса в режиме ожидания, в результате чего при следующем использовании насоса пациенту будет введена неконтролируемая доза лекарства — и все это в условиях полного отсутствия аутентификации пользователя оборудования.

Вскоре после того, как мы сообщили B. Braun о своих результатах исследования, компания предприняла ответные меры и совместно с нашей командой разработала решение для устранения уязвимостей, которые мы описали в нашем отчете.

В результатах нашего исследования представлено общее описание и некоторые технические подробности наиболее критической цепочки поражения системы, а также рассмотрены уникальные проблемы, с которыми сталкивается медицинская отрасль.

4. Широкое распространение облачных угроз

Проведенное нами исследование в сфере облачных угроз показало, что во втором квартале 2021 года финансовые компании столкнулись с наибольшими проблемами именно в облачных средах. Среди наиболее распространенных облачных угроз во II квартале 2021 года: чрезмерное использование из непривычного места, инсайдерская утечка данных, злоупотребление привилегиями доступа, высокий риск утечки конфиденциальных данных, утечка привилегированного доступа, утечка данных типа "Land Expand", «подозрительный сверхчеловек» (несколько попыток входа в систему за короткое время одним и тем же пользователем с разных частей мира, что является подозрительной активностью), кража данных привилегированным пользователем.

Определение чрезмерного использования из непривычного места: пользователь получил доступ или загрузил очень большой объем данных за короткий промежуток времени.

На долю чрезмерного использования из непривычного места приходятся 62% всех зарегистрированных угроз.

5. Глобальные вертикальные рынки, подверженные кибератакам через облако, II кв. 2021 года

Инциденты облачной безопасности на рынке финансовых услуг составили 33% из 10 крупнейших известных инцидентов, за ними следуют здравоохранение и промышленность (8%).

Во втором квартале 2021 года 5 из 10 крупнейших инцидентов облачной безопасности, включая инциденты в США, Сингапуре, Китае, Франции, Канаде и Австралии, целью был рынок финансовых услуг.
Во II квартале 2021 года рынок финансовых услуг США стал главной целью облачных кибератак.
Атаки на сектор финансовых услуг составили 29% от общего числа инцидентов облачной безопасности среди 10 крупнейших отраслей экономики.

Больше всего облачных атак, осуществляемых по географическому принципу, было зарегистрировано в США, за которыми следуют Индия, Австралия, Канада и Бразилия.

Во втором квартале 2021 года больше всего сообщений об инцидентах поступило из Соединенных Штатов.
Во втором квартале в Европе наблюдался наибольший рост числа сообщений об инцидентах — 52%.

6. Секторы, подвергшиеся атакам во II квартале 2021 г.
Во втором квартале 2021 года стало поступать заметно больше сообщений об инцидентах безопасности. Чаще всего атакам подвергались различные отрасли промышленности.
Заметный рост наблюдался в государственном секторе (64%) и сфере развлечений (60%).

7. Методики атак: II квартал 2021 г.

Во втором квартале 2021 года в зарегистрированных инцидентах по безопасности чаще всего упоминалось про вредоносное ПО.
Самый высокий рост числа зарегистрированных инцидентов — 250%, показал спам, за период с I по II квартал 2021 года. за ним следуют вредоносные сценарии — 125% и вредоносное ПО — 47%.