По данным «Информзащиты» участились случаи социальной инженерии в отношении сотрудников компании, подвергшейся кибератаке. Злоумышленники представляются экспертами по расследованию киберинцидентов.
начали выдавать себя за исследователей безопасности, чтобы провести кибератаки против организаций и пользователей, которые ранее пострадали от программ-вымогателей, предупреждают эксперты по информационной безопасности.
С помощью такой тактики злоумышленники манипулируют жертвами, заставляя их совершать компрометирующие действия. В итоге хакеры получают доступ к конфиденциальной информации и повышают успешность своей атаки, избегая подозрений. А жертвы программ-вымогателей повторно подвергаются вымогательству.
Известно, что в нескольких случаях мошенники, выдавая себя за исследователей безопасности, предлагали взломать серверы первоначальной группы вымогателей и удалить оттуда взломанные данные. За свою работу хакеры, как правило, предлагали низкий выкуп. Переписку они вели в основном через интернет-мессенджер Tox, а для подтверждения доступа жертвы к данным использовали онлайн-файлообменник file.io.
По данным уже реальных исследователей безопасности, организации, которые пострадали от атаки программ-вымогателей, практически в шесть раз чаще подвергаются повторным атакам в течение следующих трех месяцев. В 2023 году 75% компаний имели опыт борьбы с повторяющимися атаками. В 2022 году, по данным экспертов, 67% организаций подверглись повторным атакам в течение одного года, в 2021 году таких компаний было 80%. Более 60% атак программ–вымогателей до сих пор начинаются с вредоносного электронного письма.
Именно те организации, которые еще не оправились от репутационного и материального ущерба и неразберихи от кибератаки, как правило, являются основными мишенями для последующих атак – либо со стороны тех же злоумышленников, либо со стороны уже другой группы вымогателей. То есть пока компания пытается смягчить удар со стороны одной группы мошенников, скорее всего, против нее уже готовится следующая кибератака.
«В то время как компания-жертва отвлекается на устранение первоначальной атаки, другие группы программ-вымогателей, которые, вероятно, сканируют потенциальные цели и следят за деятельностью своих конкурентов, также могут использовать это окно возможностей и атаковать ту же компанию», — поясняют исследователи.
В связи с этим исследователи рекомендуют пострадавшей организации иметь команду, которая ищет следующую атаку.
Как показывает и российский, и зарубежный опыт, действенным способом защиты от атак является многофакторная аутентификация. Чтобы снизить риск повторения атак, компании должны поставить во главу угла управление уязвимостями. Надлежащее управление уязвимостями не позволит киберпреступникам использовать одну и ту же уязвимость несколько раз. Кроме того, нужно обращать особое внимание на постоянное обучение сотрудников кибербезопасности. Также, возможно, в организации следует пересмотреть систему безопасности и внедрить модель Zero Trust.