Киберпреступность эволюционировала, защита не может строиться только на поиске вредоносного кода

Новая группа вымогателей BERT использует тактику атак на виртуальные машины VMware ESXi. Как отмечает эксперт в области кибербезопасности, руководитель GSOC компании «Газинформсервис» Александр Михайлов, мы видим не хаотичные взломы, а расчётливые удары, нацеленные на причинение максимального, каскадного ущерба всему бизнесу. Это ярко иллюстрирует то, как эволюционировала киберпреступность.

«Выбор VMware ESXi в качестве цели не случаен. Злоумышленники прекрасно понимают, что это сердце инфраструктуры современной компании, единая точка отказа. Выводя из строя один хост виртуализации, они одним махом парализуют десятки критически важных систем — от баз данных до корпоративной почты. При этом ESXi является одним из самых популярных гипервизоров в мире и до сих пор занимает лидирующие позиции и в России, несмотря на уход компании VMWare из нашей страны», — подчеркнул Михайлов.

Эксперт отметил, что главная изощрённость кроется в методе. Как следует из анализа, они сначала принудительно останавливают все виртуальные машины, а уже потом беспрепятственно шифруют их файлы, которые больше не заблокированы системой. Цель здесь — не просто зашифровать данные, а вызвать полный коллапс бизнес-процессов, создав ситуацию, в которой у компании не остаётся иного выбора, кроме как заплатить выкуп.

«Это означает, что защита не может строиться только на поиске вредоносного кода. Краеугольным камнем безопасности становятся строжайший контроль доступа, постоянный мониторинг и поведенческий анализ. Необходимо срочно внедрять многофакторную аутентификацию для администраторов, изолировать сети управления и, конечно, иметь под рукой проверенные, полностью автономные резервные копии», — заключил эксперт.