Сложная угроза, отслеживаемая Группой анализа угроз (TAG) Google под обозначением Storm-1175, активно эксплуатирует уязвимости в публично доступных веб-приложениях для развертывания программ-вымогателей против организаций в сферах здравоохранения и услуг в США, Великобритании и Австралии. Эта кампания представляет собой значительную эскалацию в целевых атаках на критическую инфраструктуру, использующую распространенные недостатки веб-серверов в качестве основной точки входа. После получения первоначального доступа злоумышленники перемещаются латерально по сетям, похищают конфиденциальные данные и в конечном итоге развертывают шифровальщики, чтобы парализовать операции и вымогать платежи. Эта двойная угроза, сочетающая кражу данных и шифрование, создает максимальное давление на организации-жертвы, особенно в таких чувствительных ко времени отраслях, как здравоохранение, где непрерывность операций имеет первостепенное значение.
Исходный вектор компрометации злоумышленников сосредоточен на непропатченных или неправильно сконфигурированных веб-серверах, часто нацеливаясь на конкретные уязвимости в таких платформах, как Confluence, GitLab и Laravel. Storm-1175 использует общедоступный доказательный код эксплуатации, автоматизируя процесс сканирования и эксплуатации для широкого охвата. После успешного взлома группа использует комбинацию техник «живи за счет земли» и собственных скриптов для установления персистентности, отключения средств безопасности и проведения разведки. Финальная полезная нагрузка обычно представляет собой вариант известного ransomware, такого как LockBit или Babuk, который развертывается для шифрования файлов по всей сети. Тактика группы демонстрирует четкое понимание методов уклонения от сетевой защиты, что затрудняет обнаружение и устранение для целевых объектов.
Особую тревогу вызывает фокус на здравоохранении и профессиональных услугах. Медицинские организации управляют огромными объемами конфиденциальной информации о здоровье (PHI) и часто находятся под огромным давлением, чтобы быстро восстановить системы для обеспечения безопасности пациентов, что делает их прибыльными целями для операторов программ-вымогателей. Аналогично, компании сферы профессиональных услуг хранят конфиденциальные данные клиентов, интеллектуальную собственность и финансовые записи. Атака, нарушающая их работу, может привести к серьезному договорному и репутационному ущербу. Географическое распространение по США, Великобритании и Австралии указывает на стратегическую кампанию, направленную на англоязычные страны с развитой цифровой экономикой, где потенциальная возможность получения высоких выкупов воспринимается как более вероятная.
Организации должны уделять первостепенное внимание безопасности своих активов, обращенных в интернет, как критической первой линии обороны. Неотложные действия включают незамедлительное применение патчей безопасности для всех веб-приложений и серверов, внедрение надежных межсетевых экранов веб-приложений (WAF) и обеспечение строгой сетевой сегментации для ограничения латерального перемещения. Полное, автономное резервное копирование критических данных остается наиболее эффективным инструментом восстановления после атак программ-вымогателей. Кроме того, командам безопасности следует отслеживать аномальный сетевой трафик, особенно неожиданные исходящие соединения, которые могут сигнализировать об эксфильтрации данных, и проводить регулярное обучение по вопросам безопасности для предотвращения атак на основе учетных данных, которые часто следуют за первоначальным доступом. Также жизненно важно сотрудничество с отраслевыми центрами анализа и обмена информацией (ISAC) для получения информации о последних индикаторах компрометации и тактиках, используемых такими группами, как Storm-1175.
