Вредоносы нацелились на виртуальную инфраструктуру

Все больше злоумышленников разрабатывают свое ВПО для проведения атак на среды виртуализации, а некоторые пытаются активно эксплуатировать уже найденные уязвимости в ПО для развертывания виртуальной инфраструктуры. Прежде всего, эксперты связывают это с глобальным процессом переноса ИТ-инфраструктуры компаний в виртуальную среду.

Директор по анализу защищенности Positive Technologies Дмитрий Серебрянников отмечает, что злоумышленники тщательно отслеживают информацию о новых уязвимостях и стараются как можно скорее найти им применение в своих атаках.

"В начале 2021 г. наши специалисты помогли устранить несколько критически опасных уязвимостей в продуктах VMware, в том числе CVE-2021-21972 в vCenter Server, позволяющую удаленно выполнить код. После появления в начале февраля обновлений безопасности от вендора и публикации бюллетеня исследователи компании Bad Packets обнаружили множественные сканирования сетей с целью поиска уязвимых узлов. Мы настоятельно рекомендуем установить обновления безопасности как можно скорее", - советует Дмитрий Серебрянников.

Аналитик Positive Technologies Яна Юракова считает, что эта тенденция получит развитие, однако резкого взлета количества атак ожидать не стоит. Это направление интересно злоумышленникам, поскольку виртуализация используется практически повсеместно, а любые популярные решения рано или поздно становятся объектами атак. Во всех решениях, особенно получивших широкое распространение, периодически выявляются уязвимости - системы виртуализации не исключение. По мере накопления инструментария для проведения атак и появления готовых эксплойтов для выявленных уязвимостей злоумышленники начинают либо полностью переключаться на новые объекты, или как минимум включать эти системы в перечень целей своих атак.

Руководитель отдела аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев отмечает, что еще весной 2020 г. произошел всплеск активности киберпреступников, направленной на виртуальную инфраструктуру. Это было вызвано массовым спросом компаний на средства виртуализации, прежде всего технологии VDI для организации удаленных рабочих мест. Нельзя забывать, что виртуальная инфраструктура уязвима практически так же, как физическая, поэтому требует особой защиты.

"Хакеры нацелены на эксплуатацию уязвимостей в продуктах VMWare и других программных средствах виртуализации. Если компания оперативно не установила подложенный производителем ПО патч, то она сильно рискует. Кроме того, пользователи виртуальных рабочих мест могут подвергаться фишинговым атакам, переходя по вредоносным ссылкам и открывая тем самым для злоумышленников путь к сети компании. Также хакеры могут подбирать учётные данные для аккаунтов пользователей VDI и даже вступать в сговор с отдельными сотрудниками на удаленке с целью получения конфиденциальной информации", - подчеркивает Андрей Арсентьев.

Эксперт считает, что виртуальная инфраструктура с каждым годом становится все более актуальной для компаний по всему миру (в ближайшие пять лет рынок вырастет более чем вдвое), поэтому и киберугрозы в этом направлении будут нарастать, пусть и не такими высокими темпами, как в первый год пандемии.

Технический директор Varonis Systems в России Александр Коновалов отмечает, что сейчас наблюдается тенденция к увеличению активности программ-вымогателей. Более того, повышается сложность программ-вымогателей.

"Увеличение активности, на наш взгляд, связано с общим повышением технического и организационного уровня атакующих (хакеров), а также с тем фактом, что по-прежнему значительное число атакуемых организаций пренебрегают общепринятыми правилами информационной безопасности. Данная тенденция продолжит развиваться в ближайшем будущем, так как хакеры получают значительный опыт в противоборстве со средствами защиты, а потенциальные жертвы по-прежнему не спешат внедрить полный набор средств информационной безопасности и не устраняют уже выявленные уязвимости - либо даже не знают о существовании у себя уязвимостей", - подчеркивает Александр Коновалов.

По его мнению, нельзя сказать, что именно атаки на виртуальную инфраструктуру станут трендом ближайших нескольких кварталов, хотя доля таких атак может и увеличиться. Это происходит из-за того, что компании-вендоры систем виртуализации (например, VMWare) оперативно выпускают патчи и рекомендации по минимизации площади атаки, а объем ресурсов и систем, которые нужно срочно защитить, относительно невелик (обычно от одного до десяти серверов vSphere) и не создает значительных трудозатрат для ИТ/ИБ-сотрудников атакуемой компании. Доля заказчиков, полностью перешедших на виртуальные рабочие станции (VDI), относительно невелика.

"Основной целью вымогателей в обозримом будущем продолжат являться традиционные рабочие станции сотрудников, а также файловые серверы. Дело в том, что в большинстве организаций права доступа к файловым ресурсам слишком обширны и избыточны, что позволяет злоумышленникам относительно легко нанести максимальный ущерб даже с помощью одной скомпрометированной непривилегированной учетной записи обычного сотрудника, не являющегося администратором", - отмечает Александр Коновалов.

Также у большинства заказчиков отсутствуют средства мониторинга операций с файлами и средства поведенческого анализа пользователей на файловых ресурсах. Александр Коновалов подчеркивает, что это не позволяет ни вовремя выявить активность шифровальщика (не обнаруженного антивирусом), ни провести расследование причин и последствий.

"Дополнительным фактором риска является неосведомленность заказчиков о реальном расположении файлов с конфиденциальной информацией на файловых ресурсах и отсутствие понимания, кому доступны конфиденциальные файлы. Соблюдение общепринятых в индустрии мер защиты файловых ресурсов и Active Directory позволит если и не уберечься от проникновения, то хотя бы вовремя выявить злонамеренную активность и минимизировать ущерб", - отмечает Александр Коновалов.