Эксперты по информационной безопасности зафиксировали атаку нового вайпера (вредоносного ПО, цель которого — уничтожить данные на диске компьютера-жертвы) на российские региональные организации осенью 2022 года. Вредонос CryWiper выдаёт себя за программу-вымогатель и требует выкуп, однако не шифрует, а уничтожает файлы.
После заражения устройства CryWiper портил файлы жертвы и отображал сообщение с требованиями выкупа. В записке злоумышленники оставляли адрес электронной почты и биткоин-кошелька, указав сумму за расшифровку более 500 тысяч рублей (0,5 BTС). Однако файлы были испорчены без возможности восстановления. Анализ программного кода троянца показал, что это не ошибка разработчика, как иногда бывает, а его изначальный замысел.
Специалисты отмечают, что адрес почты, который оставляли злоумышленники, ранее фигурировал в других атаках. Так, образцы, некоторые из которых относятся к семейству вредоносного ПО Xorist, после шифрования устройств давали жертвам те же контактные данные. Это говорит о том, что либо распространитель ранее использовал программы-шифровальщики, а в новой атаке переключился на вайперы, либо подставил сторонние данные, чтобы ввести в заблуждение исследователей. Также, вероятно, чтобы ещё больше усложнить работу экспертов в области информационной безопасности, CryWiper запрещает доступ к атакованному устройству по RDP.
Вайпер уничтожает содержимое файлов всех форматов, за исключением тех, которые отвечают за работу самой системы. Под прицелом — базы данных, архивы, отдельно лежащие пользовательские документы. При этом программа не принимает решение об уничтожении файлов автономно: она отправляет запрос на командный сервер и только после получения разрешения от него начинает свою разрушительную деятельность. Файлы с испорченным содержимым получают дополнительное расширение .CRY.
Эксперты по информационной безопасности отмечают, что для противодействия таким угрозам компаниям важно использовать комплексную защиту периметра корпоративной сети и обучать сотрудников базовым правилам кибергигиены, поскольку атаки часто начинаются с фишинга или других техник социальной инженерии.
В первую очередь, компаниям необходимо:
- Запретить подключаться к службам удалённого рабочего стола (таким как RDP) из общественных сетей, если в этом нет серьёзной необходимости, и всегда использовать надёжные пароли для таких служб.
- Оперативно устанавливать доступные исправления для коммерческих VPN-решений, обеспечивающих подключение удалённых сотрудников и выступающих в качестве шлюзов в сети.
- Всегда обновлять программное обеспечение на используемых устройствах, чтобы предотвратить эксплуатацию уязвимостей.
- Не забывать фокусироваться на обнаружении горизонтальных перемещений и эксфильтрации данных в интернет. Обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников. Регулярно выполнять резервное копирование данных. Убедиться, что в экстренной ситуации возможно быстро получить доступ к бэкапу.
- Использовать актуальные данные Threat Intelligence, чтобы оставаться в курсе актуальных TTP, используемых злоумышленниками.
- Применять комплексные защитные решения, которые позволят выстроить гибкую эффективную систему безопасности, включающую обеспечение надёжной защиты рабочих мест, выявление и остановку атак любой сложности на ранних стадиях, сбор актуальных данных о кибератаках в мире и обучение сотрудников базовым навыкам цифровой грамотности.
- Обучать сотрудников цифровой грамотности. В этом могут помочь специализированные курсы и тренинги.