ФБР предупредилоо новом тренде в атаках с использованием программ-вымогателей, в рамках которого злоумышленники теперь используют несколько разновидностей вымогательского ПО для шифрования систем жертв в течение всего двух дней. Информация была раскрыта в частном уведомлении для промышленности от ФБР, которое было вызвано наблюдаемыми тенденциями, начиная с июля 2023 года.
ФБР заметило случаи использования двух отдельных вариантов программ-вымогателей в целевых атаках на организации. К числу вариантов, используемых в двойных атаках, относятся AvosLocker , Diamond, Hive, Karakurt , LockBit, Quantum и Royal .
Такой подход к применению двух вариантов вымогательского ПО привел к комбинации шифрования данных, их эксфильтрации и финансовых потерь из-за выкупа. Раньше вымогателям обычно требовалось минимум 10 дней для выполнения подобных атак, а теперь подавляющее большинство инцидентов с программами-вымогателями, нацеленных на одну и ту же жертву, происходят в течение всего 48 часов.
В одной из атак в прошлом году, автомобильный поставщик был взломан 3 раза за 2 месяца группами LockBit, Hive и ALPHV/BlackCat. В то время как пострадавшая организация была занята восстановлением систем, зашифрованных LockBit и Hive после первого взлома, группа ALPHV/BlackCat подключилась к ранее скомпрометированным устройствам для кражи данных и шифрования файлов.
ФБР советует организациям поддерживать тесные связи с местными отделениями ФБР, чтобы агентство могло помочь в выявлении уязвимостей и смягчении возможных угроз. Кроме того, рекомендуется обеспечивать безопасность удаленного доступа (VNC, RDP) и других решений, доступ к которым должен быть ограничен исключительно через VPN и предоставляться только аккаунтам с надёжными паролями и многофакторной аутентификацией (multi-factor authentication, MFA, МФА).