Специалисты корпорации Cisco полагают, что новое поколение троянов-вымогателей будет прицельно атаковать корпоративные сети организаций и автоматически распространяться по ним, как сетевые черви. Публикация на сайте компании подробно описывает, как будут выглядеть подобные атаки.
Современные трояны-вымогатели, как правило, распространяются при помощи массовых фишинговых кампаний, через заражённые рекламные баннеры и эксплойт-киты. Они стремятся обработать как можно больше потенциальных жертв в надежде, что какой-то процент попадётся на их уловки.
В начале 2016 года специалисты по информационной безопасности обратили внимание на изменение характера атак. Авторы трояна-вымогателя под названием Samsam тщательно выбирали жертв. Они атаковали сети организаций, связанных со здравоохранением и требовали крупный выкуп,
Внедрение Samsam выполняется вручную. Злоумышленники используют такие инструменты, как Jexboss, чтобы отыскать серверы, на которых работает непропатченная версия JBoss, и внедряются в сеть. Затем при помощи других общедоступных средств они добывают необходимую информацию и устанавливают троян.
В Cisco отмечают, что Samsam несложен и несамодостаточен. Тем не менее, он демонстрирует некоторые качества, которые роднят его с сетевыми червями. Samsam быстро распространяется по атакуемой сети, попутно прилагая усилия для того, чтобы замедлить или сделать невозможным восстановление поражённых компьютеров.
В Cisco смоделировали атаку, выполняемую при помощи более совершенного червя-вымогателя, и описали результаты эксперимента на сайте компании. Рассматриваемый сценарий начинается с того, что группа высококвалифицированных злоумышленников тщательно готовится к атаке, собирая информацию о будущей жертве.
Сначала они должны получить локальные администраторские права хотя бы на одном из компьютеров в корпоративной сети атакуемой организации. Используя его, они пытаются повысить свои права доступа.
Теперь необходимо разобраться, каким образом осуществляется бэкап. Чтобы выкуп остался единственным способом восстановления зашифрованных данных, бэкап нужно остановить, а старые резервные копии уничтожить или испортить.
Их следующей целью становятся системы, которые служат для взаимодействия между членами организации — корпоративная электронная почта, внутренние чаты, видеоконференции и т.п. Это замедляет организацию противодействия.
Одновременно злоумышленники разыскивают в сети жертвы критически важную информацию и сервисы. Именно их возьмут в «заложники», чтобы потребовать выкуп.
После этого в сеть внедряется червь-вымогатель, который автоматически распространяется по атакуемым машинам. Для ускорения процесса могут использоваться сервисы, предназначенные для централизованного обновления программного обеспечения.
Остановить червя на этой стадии практически невозможно. «В течение часа поражены более 800 серверов и 3200 рабочих компьютеров в сети; половина цифровых активов и большая часть данных компании зашифрована, — так описывает исход эксперимента публикация Cisco. — Жертва отброшена в восьмидесятые годы прошлого века: пишущие машинки, блокноты, факсы, бумажные чеки и прочее в таком духе».
Всё это — результат того, что сети проектировали и развивали, экономя на информационной безопасности, подытоживают авторы публикации. А так нельзя, потому что платить всё равно придётся, вопрос только за что: за восстановление захваченных данных или за их защиту. Очевидно, что для Cisco выгоднее последний вариант.
Павел Жовнер, основатель проекта Flipper Zero, наглядно показал, как можно открыть электронный сейф с помощью портативного мультитула, используя уязвимость в протоколе управления контроллера.
Напомним, что Flipper Zero является универсальным хакерским инструментом для пентестеров и гиков.
Павел Жовнер использовал для видео сейфы компании SentrySafe. Ниже можно посмотреть сам процесс перехвата данных по протоколу UART и эксплуатации уязвимости сейфов.
С помощью данной техники можно открыть электронный сейф, не владея ПИН-кодом. Релиз данного гаджета состоялся в июле 2020 года на Kickstarter. Не прошло и суток, как Flipper Zero собрал более $1 млн.
Спустя месяц сбор заявок на электронный мультитул закончился. Сумма, полученная с продаж гаджета, составила $4 882 784. У проекта нашлось 37 987 сторонников на краудфандинговой платформе. В нескольких странах мира начались проблемы с торговлей Flipper Zero.
Например, в Канаде официальная продажа данного устройства была запрещена в феврале. Правительство аргументировало это возросшим числом случаев угона автомобилей в стране.
В марте 2023 года бразильская таможня задержала и арестовала партию Flipper Zero, чтобы предотвратить использование мультитулов в преступных целях. Из-за санкций, наложенных на РФ, 15 декабря 2022 немецкая таможня уничтожила партию посылок с гаджетами на сумму $200 тысяч.
30 марта 2023 года представители Flipper Zero сообщили, что заказы всё же добрались до своих получателей с помощью альтернативных схем поставок.
В апреле 2023 года современная торговая площадка Amazon внесла запрет на продажу Flipper Zero, так как посчитала, что данный продукт относится к устройствам для взлома и краж.
Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
