@cyberpoleshuk · Post #204 · 11.07.2024, 09:24
Cisco Talos провели разбор техник и тактик 14 групп вымогателей. Источниками данных стали как публичные утечки, так и внутренние расследования и открытые отчеты. В список вошли такие известные группировки, как LockBit, ALPHV, Play, 8base, BlackBasta, BianLian, CLOP, Cactus, Medusa, Royal, Rhysida, Hunters International, Akira и Trigona. Среди всех групп особенно выделяются AlphV/Blackcat и Rhysida благодаря широкому спектру используемых тактик. В то же время, группы BlackBasta, LockBit и Rhysida не только шифруют данные, но и повреждают системы жертв, чтобы усилить эффект атаки. Группа Clop, в отличие от других, сосредотачивается на вымогательстве через кражу данных, а не на шифровании. Типовая атака начинается с получением доступа через фишинг, скандирование сетей на наличие дефолтной конфигурации или уязвимости, поиск нужных данных в открытых источниках. Далее они закрепляются в инфраструктуре через легетимное ПО (пример такого HackTool - AnyDesk) и повышают права собирая информацию через Local Security Authority Subsystem Service (LSASS), проводят рекогносцировку внутри информационной системы для выбора вектора атаки с целью нанести максимальный ущерб, воздействуют на активы шифровальщиком, купленным в даркнете по программе "Ransomware as a Service" и уходят из сети очистив логи. Популярные уязвимости для входа: - CVE- 2020- 1472 ("ZEROLOGON") - CVE- 2018- 13379 (FORTINET FORTIOS SSL VPN VULNERABILITY) - CVE- 2023- 0669 (GOANYWHERE MFT VULNERABILITY) Не совсем релевантно для рынка в РБ, но пока есть “”цифровые нигилисты” празднующие “три года Cisco NGFW без подписок” вектора очень даже подходят. Рекомендации в отчете как всегда схожи друг на друга, но стоит помнить о тех, кому правила не писаны (“цифровые нигилисты”, я про вас помню 😡 ): 〰️ внедрить процесс устранения уязвимостей 〰️ использовать MFA так где можно 〰️ мониторинг своей инфраструктуры за счет SIEM+EDR/XDR 〰️ использовать активы с минимальным набором привилегий 〰️ минимизировать точки контакта активов с сетью Интернет (тут стоит понимать к чему это требования: у Cisco своя философия подхода Zero Trust - “Zero Trust Network Access” поэтому куда ж без намеков) #report#cisco