Datalekkasies is 'n seer punt vir sekuriteitsdienste. En noudat die meeste mense van die huis af werk, is die gevaar van lekkasies baie groter. Dit is hoekom bekende kuberkriminele groepe meer aandag gee aan verouderde en onvoldoende veilige afstandtoegangprotokolle. En interessant genoeg word meer en meer datalekkasies vandag met Ransomware geassosieer. Hoe, hoekom en op watter manier – lees onder die snit.
Kom ons begin met die feit dat die ontwikkeling en verspreiding van losprysware op sigself 'n baie winsgewende kriminele besigheid is. Byvoorbeeld, volgens die Amerikaanse FBI, oor die afgelope jaar het sy ongeveer $1 miljoen per maand verdien. En die aanvallers wat Ryuk gebruik het, het selfs meer ontvang - aan die begin van die groep se aktiwiteite het hul inkomste $3 miljoen per maand beloop. Dit is dus geen verrassing dat baie hoofinligtingsekuriteitsbeamptes (CISO's) losprysware as een van hul top vyf besigheidsrisiko's noem nie.
Die Acronis Cyber Protection Operation Centre (CPOC), geleë in Singapoer, bevestig 'n toename in kubermisdaad in die Ransomware-gebied. In die tweede helfte van Mei is 20% meer losprysware wêreldwyd geblokkeer as gewoonlik. Na 'n effense afname, nou in Junie, sien ons weer 'n toename in aktiwiteit. En daar is verskeie redes hiervoor.
Klim op die slagoffer se rekenaar
Sekuriteitstegnologieë ontwikkel, en aanvallers moet hul taktiek ietwat verander om by 'n spesifieke stelsel in te kom. Geteikende Ransomware-aanvalle versprei steeds deur goed ontwerpte uitvissing-e-posse (insluitend sosiale ingenieurswese). Onlangs het wanware-ontwikkelaars egter baie aandag aan afgeleë werkers gegee. Om hulle aan te val, kan u swak beskermde afstandtoegangsdienste, soos RDP, of VPN-bedieners met kwesbaarhede vind.
Dit is wat hulle doen. Daar is selfs losprysware-as-'n-dienste op die donkernet wat alles verskaf wat jy nodig het om 'n gekose organisasie of persoon aan te val.
Aanvallers soek enige manier om 'n korporatiewe netwerk binne te dring en hul aanvalspektrum uit te brei. So het pogings om die netwerke van diensverskaffers te besmet 'n gewilde neiging geword. Aangesien wolkdienste vandag net gewild raak, maak infeksie van 'n gewilde diens dit moontlik om dosyne of selfs honderde slagoffers op 'n slag aan te val.
As webgebaseerde sekuriteitsbestuur of rugsteunkonsoles in die gedrang kom, kan aanvallers beskerming deaktiveer, rugsteune uitvee en toelaat dat hul wanware deur die organisasie versprei. Terloops, dit is hoekom kenners aanbeveel om alle diensrekeninge noukeurig te beskerm met behulp van multi-faktor-verifikasie. Byvoorbeeld, alle Acronis-wolkdienste laat jou toe om dubbele beskerming te installeer, want as jou wagwoord gekompromitteer word, kan aanvallers al die voordele van die gebruik van 'n omvattende kuberbeskermingstelsel ontken.
Brei die aanvalspektrum uit
Wanneer die gekoesterde doelwit bereik word, en die wanware is reeds binne die korporatiewe netwerk, word redelik standaard taktiek gewoonlik gebruik vir verdere verspreiding. Aanvallers bestudeer die situasie en streef daarna om die hindernisse te oorkom wat binne die maatskappy geskep is om bedreigings teë te werk. Hierdie deel van die aanval kan met die hand plaasvind (as hulle immers reeds in die net geval het, dan is die aas aan die haak!). Hiervoor word bekende gereedskap gebruik, soos PowerShell, WMI PsExec, asook die nuwer Cobalt Strike-emulator en ander nutsprogramme. Sommige kriminele groepe teiken spesifiek wagwoordbestuurders om dieper in 'n korporatiewe netwerk binne te dring. En malware soos Ragnar is onlangs gesien in 'n heeltemal geslote beeld van die VirtualBox virtuele masjien, wat help om die teenwoordigheid van buitelandse sagteware op die masjien te verberg.
Sodra die wanware die korporatiewe netwerk binnekom, probeer dit dus die gebruiker se toegangsvlak nagaan en gesteelde wagwoorde gebruik. Nutsprogramme soos Mimikatz en Bloodhound & Co. help om domeinadministrateurrekeninge te hack. En slegs wanneer die aanvaller die verspreidingsopsies as uitgeput beskou, word die ransomware direk na die kliëntstelsels afgelaai.
Ransomware as 'n omslag
Gegewe die erns van die bedreiging van dataverlies, implementeer meer en meer maatskappye elke jaar die sogenaamde "Rampherstelplan". Danksy dit hoef hulle nie te veel bekommerd te wees oor die geënkripteerde data nie, en in die geval van 'n Ransomware-aanval, begin hulle nie die losprys insamel nie, maar begin die herstelproses. Maar die aanvallers slaap ook nie. Onder die dekmantel van Ransomware vind massiewe datadiefstal plaas. Maze was die eerste wat sulke taktiek in 2019 massaal gebruik het, hoewel ander groepe periodiek aanvalle gekombineer het. Nou is ten minste Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO en Sekhmet besig met datadiefstal parallel met enkripsie.
Soms kry aanvallers dit reg om tientalle teragrepe se data van 'n maatskappy af te haal, wat deur netwerkmoniteringnutsmiddels opgespoor kon word (as dit geïnstalleer en gekonfigureer was). Per slot van rekening vind data-oordrag meestal eenvoudig met behulp van FTP-, Putty-, WinSCP- of PowerShell-skrifte plaas. Om DLP en netwerkmoniteringstelsels te oorkom, kan data geïnkripteer word of gestuur word as 'n wagwoordbeskermde argief, 'n nuwe uitdaging vir sekuriteitspanne wat uitgaande verkeer vir sulke lêers moet nagaan.
Die bestudering van die gedrag van inligtingstelers toon dat aanvallers nie alles versamel nie – hulle stel net belang in finansiële verslae, kliëntdatabasisse, persoonlike data van werknemers en kliënte, kontrakte, rekords en regsdokumente. Die wanware skandeer aandrywers vir enige inligting wat teoreties vir afpersing gebruik kan word.
As so 'n aanval suksesvol is, publiseer die aanvallers gewoonlik 'n klein teaser, wat verskeie dokumente wys wat bevestig dat data van die organisasie gelek het. En sommige groepe publiseer die hele datastel op hul webwerf as die tyd vir die betaling van die losprys reeds verstryk het. Om blokkering te vermy en wye dekking te verseker, word die data ook op die TOR-netwerk gepubliseer.
Nog 'n manier om geld te verdien, is deur data te verkoop. Sodinokibi het byvoorbeeld onlangs oop veilings aangekondig waarin data na die hoogste bieër gaan. Die beginprys vir sulke transaksies is $ 50-100K, afhangende van die kwaliteit en inhoud van die data. Byvoorbeeld, 'n stel van 10 000 kontantvloeirekords, vertroulike besigheidsdata en geskandeerde bestuurslisensies verkoop vir so min as $ 100 000. En vir $ 50 000 kan 'n mens meer as 20 000 finansiële dokumente koop plus drie databasisse van rekeningkundige lêers en klantdata.
Die webwerwe waar lekkasies gepubliseer word, verskil baie. Dit kan 'n eenvoudige bladsy wees waarop alles wat gesteel is eenvoudig geplaas word, maar daar is ook meer komplekse strukture met afdelings en die moontlikheid van aankoop. Maar die belangrikste ding is dat hulle almal dieselfde doel dien - om die kanse te verhoog dat aanvallers regte geld kry. As hierdie sakemodel goeie resultate vir aanvallers toon, is daar geen twyfel dat daar selfs meer soortgelyke werwe sal wees nie, en tegnieke om korporatiewe data te steel en te monetiseer, sal verder uitgebrei word.
Dit is hoe die huidige werwe lyk wat datalekkasies publiseer:
Wat om te doen met nuwe aanvalle
Die grootste uitdaging vir sekuriteitspanne in hierdie toestande is dat onlangs meer en meer voorvalle wat met Ransomware verband hou, bloot 'n afleiding van datadiefstal blyk te wees. Aanvallers vertrou nie meer net op bedienerkodering nie. Inteendeel, die hoofdoel is om 'n lekkasie te organiseer terwyl u losprysware beveg.
Dus, die gebruik van 'n rugsteunstelsel alleen, selfs met 'n goeie herstelplan, is nie genoeg om multi-laag bedreigings teë te werk nie. Nee, jy kan natuurlik ook nie sonder rugsteunkopieë klaarkom nie, want aanvallers sal beslis probeer om iets te enkripteer en vra vir 'n losprys. Die punt is eerder dat elke aanval wat Ransomware gebruik nou beskou moet word as 'n rede vir 'n omvattende ontleding van die verkeer en 'n ondersoek na 'n moontlike aanval te loods. Jy moet ook dink aan bykomende sekuriteitskenmerke wat kan:
- Bespeur aanvalle vinnig en ontleed ongewone netwerkaktiwiteit met AI
- Herstel stelsels onmiddellik van nul-dag Ransomware-aanvalle sodat jy netwerkaktiwiteit kan monitor
- Blokkeer die verspreiding van klassieke wanware en nuwe soorte aanvalle op die korporatiewe netwerk
- Ontleed sagteware en stelsels (insluitend afstandtoegang) vir huidige kwesbaarhede en misbruik
- Voorkom die oordrag van ongeïdentifiseerde inligting buite die korporatiewe omtrek
Slegs geregistreerde gebruikers kan aan die opname deelneem. , asseblief.
Het jy al ooit agtergrondaktiwiteit tydens 'n Ransomware-aanval ontleed?
-
20,0%Ja 1
-
80,0%No4
5 gebruikers het gestem. 2 gebruikers het buite stemming gebly.
Bron: will.com