Компания Microsoft предупредила, что Storm-1175, киберпреступная группа, связанная с программами-вымогателями Medusa, использует уязвимые системы, доступные из Интернета, в стремительных атаках, порой переходя от первоначального доступа к краже данных и развертыванию вымогательского ПО в течение 24 часов.
Компания сообщила, что группа активно нацеливалась на организации в сферах здравоохранения, образования, профессиональных услуг и финансов в Австралии, Великобритании и США, демонстрируя, как быстро аффилированные лица, занимающиеся программами-вымогателями, могут использовать скомпрометированные периметральные системы до того, как защитники установят исправления или даже заметят взлом.
Microsoft также заявила, что Storm-1175 в некоторых случаях использовала уязвимости нулевого дня до их публичного раскрытия.
«Хотя злоумышленник обычно использует уязвимости N-го дня, мы также наблюдали, как Storm-1175 использует эксплойты нулевого дня, в некоторых случаях за полную неделю до публичного раскрытия уязвимости», — говорится в сообщении Microsoft в блоге. «Также было замечено, что злоумышленник объединяет несколько эксплойтов для проведения действий после компрометации».
Microsoft сообщила, что с 2023 года группа использовала более 16 уязвимостей в широко распространенных корпоративных продуктах и в ряде случаев объединяла эксплойты для обеспечения постоянства присутствия, кражи учетных данных, вмешательства в работу инструментов безопасности и ускорения развертывания программ-вымогателей.
«То, что мы здесь видим, — это смерть традиционного повествования о «времени пребывания» (dwell time)», — сказала Сакши Гровер, старший менеджер по исследованиям услуг безопасности в IDC Asia Pacific. «Речь больше не идет о том, что злоумышленники тихо сидят в сети. Речь идет о скорости и дисциплинированном исполнении. Storm-1175 работает как отлаженный конвейер: первоначальный доступ, повышение привилегий, боковое перемещение, эксфильтрация и развертывание программ-вымогателей — все это сжато в один день. Большинство предприятий просто не рассчитаны на такой темп».
Гровер отметила, что большая слабость многих организаций заключается не в обнаружении, а в реагировании. Она сказала, что многие компании по-прежнему тратят слишком много времени на изоляцию затронутых систем и отзыв доступа, что дает злоумышленникам больше времени для перемещения по сетям до того, как команды смогут их сдержать.
Аналитик по кибербезопасности Сунил Варки заявил, что переход к более быстрым операциям с программами-вымогателями означает, что традиционных моделей обнаружения и реагирования, которые предполагают время пребывания в течение нескольких дней или недель, больше недостаточно, особенно когда компании медлят с установкой исправлений для активов, подверженных воздействию Интернета, и сдерживанием бокового перемещения после первоначального доступа.
«Наиболее эффективным ответом является проактивная стратегия, ориентированная на агрессивное сокращение поверхности атаки, приоритизацию быстрого устранения уязвимостей и неправильных конфигураций во всех общедоступных и критически важных системах, в сочетании с сильной сегментацией и изоляцией сети», — сказал Варки.
Где предприятия отстают
Многие предприятия по-прежнему не имеют представления в реальном времени о том, что именно подвержено воздействию Интернета, — отметил Санчит Вир Гогиа, главный аналитик Greyhound Research. Он назвал это базовой слабостью в управлении киберрисками со стороны компаний.
«То, как сегодня управляется поверхность атаки, все еще отражает устаревшее мышление», — сказал Гогиа. «Обнаружение активов, их сканирование, приоритизация проблем, планирование исправлений. Это упорядоченно и логично, но недостаточно быстро. Среды постоянно меняются. Системы запускаются для проектов, открываются для Интернета для удобства, а затем остаются без внимания. Со временем они становятся невидимыми для центральных команд, хотя и остаются видимыми для злоумышленников».
Гогиа добавил, что проблема усугубляется фрагментированной ответственностью. Системы, доступные из Интернета, часто затрагивают разные команды, что размывает подотчетность и замедляет реакцию при возникновении рисков.
Storm-1175, по-видимому, использует именно этот пробел. Ее быстрые переключения между уязвимостями и использование цепочек эксплойтов свидетельствуют о том, что злоумышленники пользуются тем, что у предприятий нет актуального представления о своей внешней подверженности.
Кит Прабху, основатель и генеральный директор Confidis, заявил, что широкое использование библиотек с открытым исходным кодом и других компонентов, требующих постоянного отслеживания и установки исправлений, еще больше усложняет задачу.
«Умный злоумышленник, такой как Storm-1175, может быстро провести отпечаток таких систем и разработать пользовательские атаки, объединяя несколько эксплойтов», — сказал Прабху. «Эффективное управление исправлениями этого сложного технологического стека является самой большой слабостью в управлении поверхностью атаки предприятий сегодня, особенно для систем, подверженных воздействию Интернета».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Prasanth Aby Thomas
