Скрытые опасности могут таиться в неожиданных местах, например, в вредоносных обновлениях безопасности. Кибербезопасность в последнее время является горячей темой в новостях. СМИ быстро сообщают все подробности горячих историй об источниках угроз со стороны национальных государств, угрозах для инфраструктуры и рекордных выкупах.

Но они не так охотно освещают менее привлекательный риск, который может быть более опасным и разрушительным, чем кибератаки, и эта ловушка, которая может привести к катастрофическим последствиям, таким как утечка данных или даже что-то еще худшее. Злодей? Вредоносные обновления безопасности.

Как часто вы выполняете плановое техническое обслуживание? Это не весело, но применение исправлений, обработка обновлений и общее обслуживание — это реальность жизни ИТ-команд. Эти задачи часто не входят в список приоритетных, и они часто поручаются наименее опытным сотрудникам или даже стажерам. Но иногда рутинные задачи, такие как обновление и установка исправлений программного обеспечения, не так просты, как кажется — на самом деле они чреваты риском и прекрасной возможностью для киберпреступников нанести удар в самое сердце вашего бизнеса.

 

Вредоносное ПО делает это возможным

Киберпреступники использовали всевозможные уловки, чтобы убедить предприятия в том, что они действительно рассылают законные сообщения с важными исправлениями, новыми данными об угрозах, функциональными обновлениями и т. д. Сложные трюки, в том числе высококачественная имитация бренда, спуфинг и тщательная социальная инженерия, заманивают неосторожных. Но на самом деле они заманивают технических специалистов для загрузки или установки программ-вымогателей, скиммеров платежей, клавиатурных шпионов и другого вредоносного ПО. В некоторых случаях эти поддельные обновления также создают лазейку в ваших системах, которую киберпреступники могут использовать позже.

Когда дело доходит до киберпреступников, создающих и использующих лазейки, один из наиболее ярких примеров этого сценария разыгрывался для всего мира в одной из самых значительных катастроф в области кибербезопасности, с которыми когда-либо сталкивалось правительство США: взлом SolarWinds. Киберпреступники использовали фишинг, чтобы проникнуть в дверь и получить доступ к грядущему патчу, который должен был быть отправлен клиентам SolarWinds с разрушительными последствиями.

Злоумышленники незаметно вставили в это обновление вредоносный код. Обычный патч был разослан, как и планировалось, и когда клиенты применили его, этот небольшой кусок вредоносного кода открывал лазейку, которую хакеры могли использовать в любое время. В данном случае эти лазейки к важным целям в области обороны, национальной безопасности и бизнеса были доступны и использовались субъектами угроз в течение нескольких месяцев, что позволяло им получать доступ к конфиденциальным данным по своему желанию. Пока они не были окончательно разоблачены FireEye.

 

Опасность скрывается на виду

Выдача себя за бренд — мощный инструмент, который киберпреступники могут использовать, чтобы заставить ничего не подозревающих ИТ-сотрудников загрузить вредоносное ПО, замаскированное под безобидное обновление. В дарквебе полно боеприпасов для подпитки этих афер. Изощренные киберпреступные банды прилагают массу усилий, чтобы реализовать эти схемы, но выплаты при этом немалые. Киберпреступники будут создавать очень правдоподобные сообщения, информирующие цели о том, что им необходимо загрузить и установить, казалось бы, обычный файл. Иногда обмен сообщениями улучшается с помощью методов социальной инженерии, чтобы вызвать у цели ощущение срочности.

Цель этих умных фишинговых сообщений — направить жертву на целевую страницу или тщательно замаскированный веб-сайт. Киберпреступники предпримут все меры предосторожности, чтобы этот сайт выглядел ничем не примечательным и полностью аутентичным, точно воспроизводя логотип, брендинг, темы, шрифты и изображения, которые обычно размещаются на законном веб-сайте фиктивной компании. Как только несчастная жертва клюнет на приманку и переходит на веб-сайт, ей предлагается загрузить «патч» или «обновление». Ему дается безобидное имя, которое соответствует правилам присвоения имен настоящей компании, что делает его совершенно безопасным. Это также обычно делается для имитации правительственных коммуникаций.

Но на самом деле это ловушка, и эта загрузка — билет в мир дорогостоящих повреждений. Например, жертвам может быть предложено загрузить файл под названием «KittyCat_Ransomware_Update.exe», а затем установить его, чтобы защитить свои системы и данные от новой опасной программы-вымогателя KittyCat. За исключением того, что вымогателей KittyCat не существует, и этот файл не является важным обновлением безопасности. Вместо этого жертва фактически установила инструмент проникновения, который злоумышленники используют для установки вредоносного ПО, включая свои собственные программы-вымогатели.

 

Три вещи, которые не следует забывать, чтобы избежать ловушек при обновлении вредоносного ПО

Это пагубная проблема, которая может иметь разрушительные последствия для бизнеса, но есть несколько разумных защитных мер, которые можно предпринять для защиты систем и данных от сбоев.

1) Не игнорируйте свои инстинкты

ИТ-специалисты видят огромное количество разнообразных сообщений от вендоров, поставщиков услуг, производителей программного обеспечения, производителей оборудования и всевозможных коммуникаций технических фирм. Почему они не могут внимательно изучать каждую часть? Они действительно знакомы с общим видом сообщений, которые они регулярно получают. Что-то не так в последнем сообщении от Microsoft? Это немного пахнет фишингом? Доверяйте своим инстинктам, потому что всегда лучше перестараться, чем сожалеть. Внимательно изучайте каждое сообщение и сайты, на которые они вас отправляют. Если что-то даже немного шаткое, не увлекайтесь этим. Фактически, если сообщение исходит от Microsoft, одного из самых имитируемых брендов в мире, у компании есть ресурсы, которые ИТ-специалисты могут использовать для определения подлинности сообщений.

2) Не поддавайтесь их уловкам

Одна из общих черт кибератак, замаскированных под патчи и обновления, заключается в том, что они почти неизбежно начинаются с простого фишингового письма. Именно поэтому обучение по вопросам безопасности с защитой от фишинга так важно. Убедившись, что все следят за подозрительными сообщениями, вы назначаете всех в группу безопасности и повышаете свои шансы на обнаружение и остановку угроз.

3) Не рискуйте с учетными данными

Один из самых мощных инструментов, которые киберпреступник может получить для использования против вашей организации, — это учетные данные, особенно учетные данные привилегированного администратора. Преступники придумали множество способов их перехвата, например поддельные запросы на обновление системы безопасности, которые приводят к поддельной фишинг-странице. Защитите свою компанию от опасностей компрометации учетных данных с помощью безопасного управления идентификацией и доступом.

 

Оригинал материала

16 июля, 2021