Сложная киберугроза, отслеживаемая как Storm-1175 и связанная с Китаем, была замечена в использовании уязвимостей нулевого дня (zero-day) для развертывания ransomware Medusa с беспрецедентной скоростью. Эта кампания представляет собой значительную эскалацию в тактике групп, связанных с государствами, которые выходят за рамки традиционного шпионажа, включая разрушительные и финансово мотивированные атаки с использованием программ-вымогателей. Операционная безопасность группы и быстрый цикл эксплуатации создают серьезную проблему для традиционных моделей кибербезопасности, основанных на исправлениях и защите, подчеркивая критическую необходимость в продвинутом поведенческом обнаружении и проактивной охоте за угрозами.
Цепочка атаки начинается с эксплуатации ранее неизвестных уязвимостей (zero-day) в широко используемых публичных приложениях или инфраструктуре. Storm-1175 использует эти изъяны для получения первоначального доступа, обходя средства безопасности, которые полагаются на известные сигнатуры угроз. Попав в сеть, злоумышленники применяют методы «жизни за счет земли» (living-off-the-land), используя легитимные инструменты системного администрирования для перемещения вбок, повышения привилегий и отключения программ безопасности. Этот скрытный подход позволяет им установить постоянное присутствие перед развертыванием конечной полезной нагрузки: варианта программы-вымогателя Medusa.
Medusa — это программа-вымогатель с двойным шантажом. Она не только шифрует файлы жертвы, делая системы неработоспособными, но и похищает конфиденциальные данные до шифрования. Затем злоумышленники угрожают опубликовать эти украденные данные на сайтах-сливах, если выкуп не будет выплачен, увеличивая давление на организации. Быстрое развертывание, обеспеченное использованием уязвимостей zero-day, резко сокращает временное окно для защитников, чтобы обнаружить вторжение и отреагировать на него до блокировки критических систем и кражи данных.
Организации должны принять многоуровневую стратегию защиты для противодействия таким продвинутым постоянным угрозам (APT). Это включает строгое управление исправлениями, хотя этого недостаточно против уязвимостей zero-day, что требует надежной сегментации сети, составления белых списков приложений и строгого соблюдения принципа наименьших привилегий. Командам безопасности следует развертывать решения для обнаружения и реагирования на конечных точках (EDR), способные выявлять аномальное поведение, а также использовать такие инструменты, как услуги управляемого обнаружения и реагирования (MDR), для круглосуточного мониторинга. Обмен разведданными об угрозах, касающихся таких групп, как Storm-1175, имеет paramount важность для более широкого сообщества, чтобы усилить коллективную оборону против этих быстро развивающихся киберопераций, связанных с государствами.
