Анализ 1,8 млн украденных вредоносами паролей к порталам администрирования показал, что чаще всего (более чем в 40 тыс. случаев) пользователи всё ещё предпочитают использовать простые логины и пароли, такие как "admin" и "123456". Исследование было проведено специалистами компании Outpost24, которые занимаются управлением киберрисками. Данные были собраны с января по сентябрь 2023 года.
Как оказалось, администраторы также не всегда меняют установленные по умолчанию пароли и выбирают легко угадываемые ключи. Это делает их уязвимыми для атак по словарю или перебору вариантов. Дефолтные учетные данные часто являются основной причиной успешных кибератак, считают Американское Агентство по кибербезопасности и АНБ США.
Для защиты корпоративных сетей необходимо выбирать крепкие и уникальные пароли для аккаунтов. Это особенно важно, когда доступ к ресурсам ограничен. Специалисты Outpost24 также советуют использовать EDR и антивирусы с актуальными базами сигнатур, отключить сохранение паролей и автозаполнение в браузерах, проверять сайты на подделку при переходе по ссылкам и воздерживаться от использования кряков.
2
Будьте бдительны, если вас взломают, то пострадать может не только ваша организация, но и ваши клиенты. Скачайте наше ПО для проверки осведомленности ваших сотрудников и узнайте, какой сейчас у вас уровень безопасности.
Неизвестная ранее группировка получает доступ к системам государственных организаций в России и Беларуси
Хакерская группа Sticky Werewolf («Липкий оборотень») была ответственна за атаки на государственные организации в России и Беларуси. С этого апреля они провели более 30 атак.
Группа использовала фишинговые электронные письма для получения доступа к системам. Они создавали фишинговые ссылки с помощью сервиса IP Logger, который также позволял им собирать информацию о жертвах. Они использовали собственные доменные имена, чтобы ссылки выглядели максимально легитимно.
Фишинговые ссылки вели к вредоносным файлам, замаскированным под документы Microsoft Word или PDF. При открытии такого файла происходила установка вредоносной программы NetWire RAT. Они использовали документы, такие как экстренные предупреждения МЧС России или исковые заявления, чтобы отвлечь внимание жертв.
В случае атак на белорусские организации, они использовали предписания об устранении нарушений законодательства в качестве документов.
NetWire позволял группе собирать информацию о системе, управлять файлами, процессами и службами, получать данные из буфера обмена и о нажатиях клавиш, записывать видео с экрана и микрофона, выполнять команды с помощью командной строки и получать аутентификационные данные.
Важно отметить, что один из продавцов NetWire был задержан в Хорватии в марте 2023 года, и их доменное имя и сервер были конфискованы.
Чтобы обнаружить следы Sticky Werewolf, необходимо обратить внимание на подозрительные исполняемые файлы из временных папок, появление исполняемых файлов, замаскированных под легитимные приложения, в нестандартных местах, и мониторить доступ подозрительных процессов к файлам с аутентификационными данными.
Обучайте своих сотрудников основам кибербезопасности и проводите регулярные тренировки на предмет распознавания фишинговых атак. Мы с радостью предоставим вам необходимые для этого инструменты совершенно бесплатно. Обращайтесь!
3
Фишинг в LinkedIn
Новая фишинговая кампания с LinkedIn Smart Links была обнаружена Cofense. Атака продолжалась с июля по август 2023 года и велась против секторов финансов, производства и энергетики.
Эксперты Cofense установили, что целью атаки было не конкретное предприятие или сектор, а получение максимального количества учетных данных. Для этой цели злоумышленники использовали бизнес-аккаунты LinkedIn и слинки (смарт-ссылки), которые применяются в LinkedIn Sales Navigator.
В этих слинках использовался параметр code с восьмизначным идентификатором. Хакеры также использовали доверенный домен LinkedIn, чтобы обойти механизмы обнаружения вредоносных писем и других систем защиты. Как только жертва открывала электронное письмо, она автоматически перенаправлялась на фишинговую страницу с помощью смарт-ссылки LinkedIn. И здесь хитрость хакеров проявлялась в полной мере!
Фишинговая страница в точности копировала официальную страницу входа в Microsoft, приводя пользователей в заблуждение. На самом деле, они попадали на страницу, где хакеры собирали их учетные данные.
Сделаем выводы: для борьбы с фишингом технические средства, безусловно, помогают. Но не стоит забывать о том, что человек является слабым звеном в кибербезопасности. Регулярно проверяйте навыки сотрудников и обучайте их распознавать и противостоять современным уловкам злоумышленников.
Чтобы узнать насколько ваша организация защищена от фишинга, скачайте наше бесплатное ПО StopPhish и протестируйте своих сотрудников. Также вы можете получить доступ к базовым курсам по кибербезопасности.