Какова связь между вымогательскими программами и фишингом?

Обычно, при обсуждении методологий кибератак, вымогательские программы и фишинг рассматриваются как два отдельных явления. Тем не менее, операторы вымогательских программ (Ransomware) все чаще используют тактики фишинга для развертывания своих вредоносных нагрузок / активностей, и как следствие, потенциал для компрометации экспоненциально увеличивается. 

Вымогательские программы Ransomware и фишинг - идеальная пара

Фирма по управлению рисками Deloitte утверждает, что фишинг - это главный способ доставки вымогательских программ. Источники из индустрии соглашаются с этим, и фишинг был определен как основное средство доставки вымогательских программ в ежеквартальном отчете о вымогательских программах Coveware за четвертый квартал 2020 года. Он обошел RDP (протокол удаленного рабочего стола) как основной вектор начальной атаки, когда поток удаленной работы в 2020 году уменьшился, и с тех пор стал самым быстрым способом доставки вредоносного кода в организацию.

В недавнем опросе было выявлено, что 78% организаций столкнулись с одной или несколькими атаками вымогательского программного обеспечения в 2021 году, 68% из которых заявили, что атака была запущена через прямую электронную почту. А исследование IBM Cyber Resilient Organization отметило социальные сети (19%), вредоносные веб-сайты (22%) и фишинг (45%) как три основных причины вымогательских атак в том году. 

Логика заключается в том, что фишинговые электронные письма легко отправлять, и они заманивают легковерных жертв с минимальной осведомленностью о возможной атаке. Тщательно созданная уловка социальной инженерии, электронные письма настраиваются на конкретные цели и выглядят как от законных, даже знакомых отправителей. Сталкиваясь с неподъемным объемом электронной почты, даже многие ранее осторожные пользователи не могут детально проверять входящие сообщения и не замечают маленькие изменения, которые в других случаях были бы подозрительными. Как только жертва открывает электронное письмо от своего "банка" или "провайдера интернет-услуг" и подтверждает несколько деталей своей учетной записи - или даже просто переходит на вредоносный фальшивый сайт - начинается вредоносная активность, и начинается процесс кражи и  /или шифрования конфиденциальных данных. После завершения этой работы пользователи не могут получить доступ к своим данным, и появляется требование выкупа.

Фишинг в социальных сетях

Хотя фишинг-атаки чаще всего используются на почтовых серверах, они не ограничиваются только электронной почтой. Один из растущих векторов, как отмечает исследование IBM, - это социальные сети. Средства совместной работы, такие как Teams и Slack, являются основными местами для установления доверия и эксплуатации "коллег". Онлайн-пространства, такие как LinkedIn, особенно уязвимы для проведения атак; как платформы, созданные для связи с незнакомыми людьми, они поощряют прямые сообщения, которые часто содержат ссылки на общие профессиональные интересы. Многие из этих ссылок являются достоверными, но некоторые - нет. К сожалению, для Ransomware один клик достаточен.

Важно понимать и то, что пользователи не обязательно должны взаимодействовать с атакой, чтобы оказаться в опасности. Инструмент Ransomware, обнаруженный в 2016 году, собирал информацию из социальных медиа-аккаунтов своих жертв, чтобы создавать персонализированные кампании, иронически угрожая подать на пользователей в суд, если выкуп не будет выплачен. Исследователи безопасности также отметили деятельность Ransomware, связанную с Facebook, позволяющую злоумышленникам внедрять вредоносный код в загружаемые файлы изображений, которые затем заставляли пользователей загружать вредонос.

Ransomware и искуственный интелект

Единственным плюсом является то, что настройка фишинговых атак рансомвара требует большого количества времени и усилий. Это требует участия человека и инсайта и сложно масштабировать. Однако искусственный интеллект может закрыть эту пропасть, которая в скором времени может стать автоматизируемой. "Мы уже видели, как [группы Ransomware] нанимают тестировщиков на проникновение, чтобы взломать сети и выяснить, как развернуть Ransomware. Следующим шагом будет то, что они начнут нанимать экспертов по машинному обучению и искусственному интеллекту, чтобы автоматизировать свои кампании с вредоносным программным обеспечением", - заявил эксперт по кибербезопасности Микко Хиппонен. Марк Драйвер, исследовательский вице-президент в Gartner, говорит, что это может привести к еще большему ускорению атак. "Это не стоит их усилий, если им требуется много часов для выполнения этого вручную", - объясняет он. "Но если они могут автоматизировать это, то обязательно это сделают". Итог? "Это ужасно".

Опасность заключается не только в моделях вымогательства, использующих искусственный интеллект, но и в deepfake, управляемых искусственным интеллектом, которые могут подделывать легитимные источники и делать попытки обмана более убедительными. Количество сообщений о технологии искусственного интеллекта, изменяющей лица и голоса, увеличилось на 13% в прошлом году, и 66% опрошенных специалистов по кибербезопасности сообщили, что видели их за последние двенадцать месяцев. Deepfake в кибератаках уже не грозят, они уже здесь.

Предотвращение атак фишинга и Ransomware

Один отчет в индустрии отметил, что количество атак вымогателей удвоилось по годам в 2021 году, и почти 80% организаций столкнулись хотя бы с одной атакой. Это приводит к очень грустным прогнозам. Тем не менее, лучшая защита - это хорошая атака, и существует несколько тактик для смягчения атак вымогателей. 

Преступники не единственные, кто может нанять тестировщиков на проникновение. Исследование вашей среды на наличие слабых мест - один из лучших способов проверить на прочность вашу среду перед тем, как злоумышленники смогут воспользоваться уязвимостями. Учитывая тот факт, что 82% нарушений связаны с "человеческим фактором", включая значительную долю ошибок, почти неизбежно, что несмотря на лучшие усилия организации, попытка фишинга когда-нибудь пройдет успешно. Когда это произойдет, вредоносное ПО проникнет в сеть, ища системы для эксплуатации и данных для вывода. Симуляция атак и тестирование методом "черного ящика" позволят вашей команде увидеть, что возможно для злоумышленников до того, как они отреагирует команда ваших специалистов. 

Защита электронной почты и меры против фишинга должны быть объединены со стратегией активной безопасности для лучшей глубокой защиты. Вместе они направлены на предотвращение атаки Ransomware и для минимизации вреда вашей сети.

Для бизнеса, один из эффективных способов минимизации рисков от атак Ransomware - резервное копирование данных.

10 базовых правил для предотвращение атак фишинга и рансомвара (Ransomware):

1. Обучение сотрудников: Сотрудники должны регулярно проходить обучение тому, как определять подозрительные сообщения и ссылки, а также как действовать при обнаружении потенциальной угрозы.
2. Многофакторная аутентификация: Использование многофакторной аутентификации может значительно снизить риск атак.
3. Использование антивирусного ПО и брандмауэра: Регулярное обновление антивирусного ПО и брандмауэра помогут предотвратить атаки и обнаружить подозрительную активность.
4. Резервное копирование данных: Создание резервных копий данных позволяет быстро восстановить информацию в случае атаки рансомваром.
5. Использование защищенных соединений: Использование шифрованных соединений при работе с онлайн-сервисами и отправке электронной почты может помочь защитить данные от кражи.
6. Проверка достоверности отправителя: Проверка достоверности отправителя перед тем, как открыть сообщение или перейти по ссылке, может помочь избежать атак фишинга.
7. Использование средств защиты от фишинга: Использование специальных программ и расширений для защиты от фишинга может помочь обнаружить и предотвратить атаки.
8. Обновление программного обеспечения: Регулярное обновление программного обеспечения и операционной системы помогает исправлять уязвимости, которые могут быть использованы злоумышленниками для атак.
9. Использование контроля доступа: Ограничение доступа к чувствительным данным только уполномоченным сотрудникам может помочь предотвратить утечки и кражи информации.
10. Анализ и мониторинг сетевой активности: Регулярный анализ и мониторинг сетевой активности позволяет быстро обнаруживать подозрительную активность и принимать меры по ее предотвращению.

Дополнительный материал по теме:

• Что такое фишинг и как избежать атаки?
• Так ли страшны вирусы-шифровальщики?
• Где хранить резервные копии для малого бизнеса в Украине?
• Защита RDP для бизнеса в Украине — облачная приватная сеть.
• Защита RDP подключения от брутфорса при помощи IPBan.
• Устанавливаем и настраиваем Cyberarms Intrusion Detection and Defense Software (IDDS).
• Услуги по расшифровке файлов. Миф или реальность?
• Вирусы-шифровальщики. Мифы и реальность. Часть 1.