Команды угрозовой разведки Amazon Web Services (AWS) выявили и детализировали сложную кампанию программ-вымогателей, активно нацеленную на межсетевые экраны корпоративного уровня. Кампания, приписываемая группе вымогателей Interlock, использует уязвимости в устройствах безопасности периметра сети для получения первоначального доступа в корпоративные среды. Это открытие подчеркивает критический сдвиг в тактике злоумышленников, которые выходят за рамки традиционных конечных точек, таких как рабочие станции и серверы, чтобы скомпрометировать сами устройства, предназначенные для их защиты. Нацеливаясь на межсетевые экраны, субъекты угроз могут потенциально отключить мониторинг безопасности, перехватывать сетевой трафик и установить постоянное скрытое присутствие для запуска дальнейших атак, включая эксфильтрацию данных и распространение программ-вымогателей по всей сети.
Технический анализ, предоставленный экспертами по безопасности Amazon, указывает на то, что кампания использует известные и часто неисправленные уязвимости в программном обеспечении межсетевых экранов. После получения доступа злоумышленники развертывают полезную нагрузку вымогателя Interlock, предназначенную для шифрования критических файлов конфигурации и данных на самом устройстве. Это действие может парализовать сетевое функционирование, вызывая широкомасштабные простои. Что еще более тревожно, компрометация межсетевого экрана предоставляет злоумышленникам стратегическое преимущество. Они могут развертывать дополнительное вредоносное ПО, создавать бэкдоры для постоянного доступа и перемещаться латерально в более широкую сеть для атак на хранилища конфиденциальных данных и критическую инфраструктуру, максимизируя воздействие инцидента с программой-вымогателем и потенциальный размер выкупа.
Для корпоративных команд безопасности эта кампания служит суровым напоминанием о насущной необходимости всестороннего управления активами и исправлениями, особенно для сетевых security-устройств, которые иногда упускаются из виду в циклах обновлений. Организациям рекомендуется немедленно провести аудит развернутых межсетевых экранов, обеспечить обновление всего программного обеспечения до последних исправленных версий и проверить настройки конфигурации на наличие несанкционированных изменений. Кроме того, реализация строгой сетевой сегментации может помочь ограничить радиус воздействия такого вторжения, предотвращая превращение скомпрометированного межсетевого экрана в шлюз ко всему цифровому имуществу. Также крайне важен мониторинг аномальных исходящих соединений или неожиданных попыток административного доступа к этим устройствам.
Публичное раскрытие этой угрозы со стороны AWS подчеркивает совместный характер современной облачной безопасности, когда крупные провайдеры активно вносят вклад в защиту более широкой экосистемы. Предоставляя подробные индикаторы компрометации (IoC), тактики, техники и процедуры (TTP), Amazon позволяет организациям по всему миру выявлять подобные угрозы в своих собственных журналах и сетевых потоках. Такое проактивное обмен разведданными жизненно важен для создания коллективной устойчивости к расширенным постоянным угрозам (APT) и бандам программ-вымогателей, которые постоянно развивают свои методы, чтобы эксплуатировать любое слабое звено в корпоративной security-цепочке.
