Самые используемые уязвимости и инструменты хакеров

Внешние сервисы удаленного доступа по-прежнему являются основным вектором для групп вымогателей, взламывающих корпоративные сети. Более того, наблюдается заметный всплеск использования фишинга и уязвимостей в общедоступном приложении для кражи данных и вымогательства.

По данным компании Group-IB, злоумышленники нацелены на серверы удаленных рабочих столов (Remote Desktop Protocol, RDP) для первоначального доступа в сеть. Также злоумышленники часто используют скомпрометированные учетные данные для атаки на инфраструктуру изнутри.

Согласно отчету Group-IB , в прошлом году банды вымогателей разработали эксплойты для недавно обнаруженных проблем безопасности в общедоступных приложениях. Среди наиболее используемых уязвимостей являются:

• CVE-2021-20016 (SonicWall SMA100 SSL VPN);
• CVE-2021-26084 (Atlassian Confluence);
• CVE-2021-26855 (Microsoft Exchange);
• CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 и CVE-2021-27104 (Accellion FTA);
• CVE-2021-30116 (Kaseya VSA);
• CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207 (Microsoft Exchange);
• CVE-2021-35211 (SolarWinds).

Согласно недавнему совместному отчету Cyber ​​Security Works, Securin, Cyware и Ivanti, количество уязвимостей, связанных с атаками программ-вымогателей, выросло до 310 в первом квартале 2022 года. Однако, не все ошибки являются новыми. Половина уязвимостей были обнаружены ещё в 2019 году. Для многих из них существуют общедоступные эксплойты, которые значительно облегчают работу злоумышленников.

По сообщениям Group-IB группировки опубликовали информацию 3500 жертв, 1655 жертв оказались из США. Самыми агрессивными кампаниями в 2021 году были LockBit (670 жертв), Conti (640 жертв) и Pysa (186 жертв).

Согласно исследованию компании по цифровой криминалистике и реагированию на инциденты (Digital Forensics and Incident Response, DFIR) из 700 кибератак в прошлом году в 63% случаев произошла утечка данных. В прошлом году средняя сумма выкупа составила $247 тыс. Эксфильтрация данных остается мощной тактикой хакеров, некоторые группировки даже создали собственные инструменты для продажи своим партнерам.

Среди методов злоумышленников находится использование интерпретаторов команд и сценариев, а также удаленных служб, которые являются частью всех атак. Кроме того, киберпреступники также использовали различные методы для обнаружения удаленных систем, кражи учетных данных и отключения средств безопасности.

Из самых используемых инструментов самым популярным является SoftPerfect Network Scanner. На втором месте распространенный инструмент для этапов пост-эксплуатации Cobalt Strike Beacon с широким спектром действий (выполнение скрипта, кейлоггинг, загрузка файлов).

По словам главы группы DFIR Олега Скулкина, слияние тактик, методов и процедур (Tactics, Techniques, and Procedures, TTP) из-за перехода аффилированных лиц от одной операции к другой затрудняет специалистам по безопасности отслеживать методы злоумышленника. Однако, определение основных тенденций с помощью матрицы MITRE ATT@CK должно упростить подготовку к инцидентам с программами-вымогателями.