«Лаборатория Касперского» обнаружила две новые кибергруппы вымогателей. Они могут атаковать разные операционные системы одновременно без обращения к мультиплатформенным языкам. Первая из новых групп использует вредонос RedAlert, написанный на языке Си. Вторая, обнаруженная в июле 2022 года, — зловред Monster, написанный на Delphi. Кроме того, злоумышленники сейчас активно используют для атак программ-вымогателей на Windows версий от 7 до 11 эксплойты первого дня — они направлены на эксплуатацию известных, но часто еще не полностью устраненных, уязвимостей.
Вредоносы-вездеходы
Ранее летом 2022 г. эксперты «Лаборатории Касперского» рассказали, как создатели программ-вымогателей развивают их кросс-платформенные возможности на примере вредоноса Luna, который написан на языке Rust и предназначен для атак на системы Windows, Linux и ESXi. Luna продолжает тенденцию создания кросс-платформенных шифровальщиков на таких скриптовых языках как Go или Rust, которую эксперты «Лаборатории Касперского» отметили ранее. Однако на этот раз речь идёт о ПО, которое написано не на языках сценариев, но также может атаковать разные системы. Во всяком случае RedAlert написан на простом Си, но также может работать как в Linux, так и в среде ESXi. Отличительной особенностью второго шифровальщика — Monster — является графический пользовательский интерфейс и использование достаточно старой технологии программирования Delphi. Такой компонент никогда не внедрялся вымогателями раньше. Авторы Monster включили его в качестве дополнительного параметра командной строки.
Вымогатели также стали активнее использовать эксплойты первого дня, для которых уже выпущены исправления, однако в первые дни остается еще достаточно много уязвимых устройств, которые как раз и стараются атаковать злоумышленники. Соревнование по скорости с инструментами обновления иногда все-таки выигрывают именно нападающие. Один из примеров — уязвимость CVE-2022-24521. Она позволяет получать привилегии в системе на заражённом устройстве. Через две недели после создания исправлений для этой бреши атакующие разработали два новых эксплойта, которые поддерживают разные версии Windows и начали их активно использовать.
«Мы уже привыкли к тому, что авторы программ-вымогателей стали создавать их с помощью кросс-платформенных языков, — пояснил эксперт по кибербезопасности «Лаборатории Касперского» Сергей Ложкин. — Однако теперь они научились писать вредоносный код для атак на разные операционные системы ещё и на простых языках программирования. Современные тренды развития индустрии шифровальщиков требуют от компаний повышенного внимания к тому, приняты ли эффективные меры для обнаружения и предотвращения таких атак. Кроме того, очень важно регулярного обновлять всё ПО».
Рекомендации специалистов
Эксперты компании рекомендуют соблюдать следующие меры защиты от кросс-платформенных шифровальщиков: не допускать возможность подключения к службам удалённого рабочего стола (таким как RDP) из общественных сетей без строгой необходимости; настроить политики безопасности таким образом, чтобы использовать надёжные пароли для этих служб; своевременно устанавливать доступные исправления для используемых в сети коммерческих VPN-решений; регулярно обновлять ПО на всех используемых устройствах; сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников; регулярно делать резервные копии данных и проверять, что в случае необходимости можно быстро получить к ним доступ; использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности; проводить обучение сотрудников правилам кибербезопасности; предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах и активно реагировать на обнаруженные инциденты.
