የመረጃ ፍንጣቂዎች ለደህንነት አገልግሎቶች በጣም አሳሳቢ ነጥብ ናቸው። እና አሁን አብዛኛው ሰው ከቤት እየሰሩ ስለሆነ የመፍሰሱ አደጋ የበለጠ ነው። ለዚህም ነው የታወቁ የሳይበር ወንጀለኞች ቡድኖች ጊዜ ያለፈባቸው እና በበቂ ሁኔታ ደህንነታቸው ያልተጠበቁ የርቀት መዳረሻ ፕሮቶኮሎች ላይ ትኩረት እየሰጡ ያሉት። እና፣ የሚገርመው፣ ዛሬ ቁጥራቸው ከጊዜ ወደ ጊዜ እየጨመረ የመጣ የውሂብ ፍንጣቂዎች ከ Ransomware ጋር ተያይዘዋል። እንዴት, ለምን እና በምን መንገድ - በቆራጩ ስር ያንብቡ.
የራንሰምዌር ልማት እና ስርጭት በራሱ በጣም ትርፋማ የወንጀል ንግድ በመሆኑ እንጀምር። ለምሳሌ የአሜሪካ ኤፍቢአይ እንደሚለው እ.ኤ.አ. ባለፈው አመት በወር ወደ 1 ሚሊዮን ዶላር የሚጠጋ ገቢ አግኝታለች። እና Ryuk የተጠቀሙ አጥቂዎች የበለጠ ተቀበሉ - በቡድኑ እንቅስቃሴ መጀመሪያ ላይ ገቢያቸው በወር 3 ሚሊዮን ዶላር ነበር። ስለዚህ ብዙ ዋና የመረጃ ደህንነት መኮንኖች (CISOs) ራንሰምዌር ከአምስቱ ዋና ዋና የንግድ ስጋቶች ውስጥ አንዱ አድርገው መመዝገባቸው አያስደንቅም።
በሲንጋፖር የሚገኘው አክሮኒስ ሳይበር ጥበቃ ኦፕሬሽን ሴንተር (ሲፒኦሲ) በራንሰምዌር አካባቢ የሳይበር ወንጀል መጨመሩን ያረጋግጣል። በግንቦት ወር ሁለተኛ አጋማሽ ላይ፣ 20% ተጨማሪ ቤዛ ዌር በዓለም ዙሪያ ከወትሮው ታግዷል። ከትንሽ ማሽቆልቆል በኋላ፣ አሁን በሰኔ ወር የእንቅስቃሴ ጭማሪ እያየን ነው። እና ለዚህ በርካታ ምክንያቶች አሉ.
ወደ ተጎጂው ኮምፒውተር ይግቡ
የደህንነት ቴክኖሎጂዎች እየተሻሻሉ ነው፣ እና አጥቂዎች ወደ አንድ የተወሰነ ስርዓት ለመግባት ስልቶቻቸውን በመጠኑ መቀየር አለባቸው። የታለሙ የራንሰምዌር ጥቃቶች በደንብ በተዘጋጁ የማስገር ኢሜይሎች (ማህበራዊ ምህንድስናን ጨምሮ) መስፋፋታቸውን ቀጥለዋል። ይሁን እንጂ ከቅርብ ጊዜ ወዲህ የማልዌር ገንቢዎች ለርቀት ሰራተኞች ከፍተኛ ትኩረት እየሰጡ ነው። እነሱን ለማጥቃት እንደ RDP ወይም ቪፒኤን ያሉ ተጋላጭነቶች ያሉ በደንብ ያልተጠበቁ የርቀት መዳረሻ አገልግሎቶችን ማግኘት ይችላሉ።
የሚያደርጉትም ይህንኑ ነው። የተመረጠውን ድርጅት ወይም ሰው ለማጥቃት የሚያስፈልግዎትን ሁሉ የሚያቀርቡ ራንሰምዌር-እንደ-አገልገሎቶች እንኳን አሉ።
አጥቂዎች የድርጅት መረብ ውስጥ ዘልቀው ለመግባት እና የጥቃት ስፔሻቸውን ለማስፋት ማንኛውንም መንገድ ይፈልጋሉ። ስለዚህ የአገልግሎት ሰጪዎችን ኔትወርኮች ለመበከል የሚደረጉ ሙከራዎች ተወዳጅ አዝማሚያዎች ሆነዋል. የደመና አገልግሎቶች በአሁኑ ጊዜ ተወዳጅነት እያገኙ ስለሆነ፣ የአንድ ታዋቂ አገልግሎት ኢንፌክሽን በአንድ ጊዜ በደርዘን የሚቆጠሩ አልፎ ተርፎም በመቶዎች የሚቆጠሩ ተጎጂዎችን ማጥቃት ያስችላል።
በድር ላይ የተመሰረተ የደህንነት አስተዳደር ወይም የመጠባበቂያ ኮንሶሎች ከተበላሹ አጥቂዎች ጥበቃን ማሰናከል፣ ምትኬዎችን መሰረዝ እና ማልዌሮቻቸው በድርጅቱ ውስጥ እንዲሰራጭ መፍቀድ ይችላሉ። በነገራችን ላይ ባለሙያዎች ባለብዙ ደረጃ ማረጋገጫን በመጠቀም ሁሉንም የአገልግሎት መለያዎች በጥንቃቄ እንዲጠብቁ የሚመክሩት ለዚህ ነው. ለምሳሌ፣ ሁሉም የአክሮኒስ ደመና አገልግሎቶች ድርብ ጥበቃን እንዲጭኑ ያስችሉዎታል፣ ምክንያቱም የይለፍ ቃልዎ ከተጣሰ አጥቂዎች አጠቃላይ የሳይበር ጥበቃ ስርዓትን የመጠቀም ሁሉንም ጥቅሞች ሊሽሩ ይችላሉ።
የጥቃት ስፔክትረምን ማስፋፋት።
የተወደደው ግብ ሲሳካ እና ማልዌር ቀድሞውኑ በድርጅት አውታረመረብ ውስጥ ሲገኝ ፣ በጣም መደበኛ የሆኑ ዘዴዎች ብዙውን ጊዜ ለቀጣይ ስርጭት ያገለግላሉ። አጥቂዎች ሁኔታውን ያጠናሉ እና አደጋዎችን ለመከላከል በድርጅቱ ውስጥ የተፈጠሩትን መሰናክሎች ለማሸነፍ ይጥራሉ. ይህ የጥቃቱ ክፍል በእጅ ሊከናወን ይችላል (ከሁሉም በኋላ, ቀድሞውኑ ወደ መረቡ ውስጥ ከወደቁ, ማጥመጃው መንጠቆው ላይ ነው!). ለዚህም እንደ ፓወር ሼል፣ WMI PsExec፣ እንዲሁም አዲሱ የኮባልት ስትሮክ ኢሙሌተር እና ሌሎች መገልገያዎች ያሉ የታወቁ መሳሪያዎች ጥቅም ላይ ይውላሉ። አንዳንድ የወንጀል ቡድኖች ወደ ኮርፖሬት አውታረመረብ ጠለቅ ብለው ለመግባት በተለይ የይለፍ ቃል አስተዳዳሪዎችን ኢላማ ያደርጋሉ። እና እንደ Ragnar ያሉ ማልዌሮች በቅርቡ ሙሉ በሙሉ በተዘጋው የቨርቹዋል ቦክስ ቨርቹዋል ማሽን ምስል ታይቷል፣ይህም በማሽኑ ላይ የውጭ ሶፍትዌሮችን ለመደበቅ ይረዳል።
ስለዚህ ማልዌር አንዴ ወደ ኮርፖሬት አውታረመረብ ከገባ የተጠቃሚውን የመዳረሻ ደረጃ ለመፈተሽ እና የተሰረቁ የይለፍ ቃላትን ለመጠቀም ይሞክራል። እንደ Mimikatz እና Bloodhound እና Co ያሉ መገልገያዎች እገዛ የጎራ አስተዳዳሪ መለያዎችን ለመጥለፍ። እና አጥቂው የማከፋፈያ አማራጮቹን እንደደከመ ሲቆጥር ብቻ፣ ራንሰምዌር በቀጥታ ወደ ደንበኛ ስርዓቶች ይወርዳል።
Ransomware እንደ ሽፋን
የውሂብ መጥፋት ስጋትን አሳሳቢነት ከግምት ውስጥ በማስገባት በየዓመቱ ቁጥራቸው እየጨመረ የመጣ ኩባንያዎች "የአደጋ ማገገሚያ ዕቅድ" ተብሎ የሚጠራውን ተግባራዊ ያደርጋሉ. ለዚህም ምስጋና ይግባውና ስለ ኢንክሪፕትድ መረጃ ብዙ መጨነቅ አይኖርባቸውም, እና ራንሰምዌር ጥቃት በሚደርስበት ጊዜ ቤዛውን መሰብሰብ አይጀምሩም, ነገር ግን የመልሶ ማግኛ ሂደቱን ይጀምሩ. ነገር ግን አጥቂዎቹ አይተኙም. በ Ransomware ሽፋን ከፍተኛ የመረጃ ስርቆት ይከሰታል። እ.ኤ.አ. በ2019 እንዲህ አይነት ስልቶችን በጅምላ ሲጠቀም Maze የመጀመሪያው ነበር፣ ምንም እንኳን ሌሎች ቡድኖች በየጊዜው ጥቃቶችን ቢቀላቀሉም። አሁን ቢያንስ ሶዲኖኪቢ፣ ኔትፊልም፣ ኔምቲ፣ ኔትዎከር፣ ራግናር፣ ፒሲያ፣ ዶፔል ፓይመር፣ CLOP፣ AKO እና ሴክሜት ከኢንክሪፕሽን ጋር በትይዩ የመረጃ ስርቆት ላይ ተሰማርተዋል።
አንዳንድ ጊዜ አጥቂዎች ከኩባንያው በአስር ቴራባይት ዳታ ሊያገኙ ይችላሉ፣ይህም በኔትወርክ መከታተያ መሳሪያዎች ሊታወቅ ይችል ነበር (ከተጫኑ እና ከተዋቀሩ)። ከሁሉም በላይ ፣ ብዙ ጊዜ የውሂብ ማስተላለፍ የሚከናወነው በቀላሉ FTP ፣ Putty ፣ WinSCP ወይም PowerShell ስክሪፕቶችን በመጠቀም ነው። DLP እና የአውታረ መረብ መከታተያ ስርዓቶችን ለማሸነፍ ዳታ ኢንክሪፕት ማድረግ ወይም በይለፍ ቃል የተጠበቀ ማህደር ሆኖ መላክ ይቻላል፣ ለእንደዚህ አይነት ፋይሎች የወጪ ትራፊክን መፈተሽ ለሚፈልጉ የደህንነት ቡድኖች አዲስ ፈተና ነው።
የኢንፎስቴለሮች ባህሪን በማጥናት አጥቂዎች ሁሉንም ነገር እንደማይሰበስቡ ያሳያል - ፍላጎት ያላቸው የፋይናንስ ሪፖርቶች, የደንበኛ የውሂብ ጎታዎች, የሰራተኞች እና የደንበኞች ግላዊ መረጃ, ኮንትራቶች, መዝገቦች እና ህጋዊ ሰነዶች ብቻ ናቸው. ተንኮል አዘል ዌር በንድፈ ሃሳባዊ መልኩ ለጥቁር መልእክት ሊያገለግል የሚችል ማንኛውንም መረጃ ሾፌሮችን ይፈትሻል።
እንዲህ ዓይነቱ ጥቃት ከተሳካ አጥቂዎቹ ብዙውን ጊዜ ትንሽ ቲዘርን ያትማሉ, ይህም መረጃ ከድርጅቱ መውጣቱን የሚያረጋግጡ በርካታ ሰነዶችን ያሳያል. እና አንዳንድ ቡድኖች ቤዛውን የሚከፍሉበት ጊዜ ካለፈበት ሙሉውን መረጃ በድር ጣቢያቸው ላይ ያትማሉ። ማገድን ለማስቀረት እና ሰፊ ሽፋንን ለማረጋገጥ መረጃው በ TOR አውታረመረብ ላይም ታትሟል።
ገቢ የሚፈጠርበት ሌላው መንገድ መረጃን በመሸጥ ነው። ለምሳሌ፣ ሶዲኖኪቢ በቅርብ ጊዜ ውሂቡ ወደ ከፍተኛው ተጫራች የሚሄድባቸው ክፍት ጨረታዎችን አሳውቋል። የእንደዚህ አይነት ግብይቶች መነሻ ዋጋ እንደ መረጃው ጥራት እና ይዘት ከ50-100ሺህ ዶላር ነው። ለምሳሌ የ10 የገንዘብ ፍሰት መዝገቦች፣ ሚስጥራዊ የንግድ መረጃዎች እና የተቃኙ የመንጃ ፈቃዶች እስከ 000 ዶላር ይሸጣሉ።በ100 ዶላር ደግሞ አንድ ሰው ከ000 በላይ የፋይናንሺያል ሰነዶችን እና ሶስት የመረጃ ቋቶችን የሂሳብ መዝገብ እና የደንበኛ ዳታ መግዛት ይችላል።
ፍንጣቂዎች የሚታተሙባቸው ጣቢያዎች በስፋት ይለያያሉ። ይህ የተሰረቀ ነገር ሁሉ በቀላሉ የሚለጠፍበት ቀላል ገጽ ሊሆን ይችላል ነገር ግን ክፍሎች ያሉት እና የመግዛት እድሉ የበለጠ ውስብስብ መዋቅሮችም አሉ። ነገር ግን ዋናው ነገር ሁሉም ለአንድ ዓላማ ያገለግላሉ - አጥቂዎች እውነተኛ ገንዘብ የማግኘት እድልን ለመጨመር. ይህ የንግድ ሞዴል ለአጥቂዎች ጥሩ ውጤቶችን ካሳየ የበለጠ ተመሳሳይ ጣቢያዎች እንደሚኖሩ ምንም ጥርጥር የለውም, እና የኮርፖሬት መረጃን ለመስረቅ እና ገቢ የመፍጠር ዘዴዎች የበለጠ ይሰፋሉ.
አሁን ያሉት የመረጃ ፍንጮችን የሚያትሙ ገፆች ይህን ይመስላል።
ከአዳዲስ ጥቃቶች ጋር ምን እንደሚደረግ
በነዚህ ሁኔታዎች ውስጥ ለደህንነት ቡድኖች ዋናው ፈተና ከቅርብ ጊዜ ወዲህ ከ Ransomware ጋር የተያያዙ ጉዳዮች ቁጥራቸው እየጨመረ መምጣቱ ከውሂብ ስርቆት ማዘናጋት ሆነዋል። አጥቂዎች ከአሁን በኋላ በአገልጋይ ምስጠራ ላይ ብቻ አይተማመኑም። በተቃራኒው፣ ዋናው ግብ እርስዎ ransomware በሚዋጉበት ጊዜ ልቅነትን ማደራጀት ነው።
ስለዚህ, የመጠባበቂያ ስርዓትን ብቻ መጠቀም, ጥሩ የማገገሚያ እቅድ ቢኖረውም, ባለብዙ ሽፋን ስጋቶችን ለመቋቋም በቂ አይደለም. አይ፣ በእርግጥ፣ ያለ ምትኬ ቅጂዎችም ማድረግ አይችሉም፣ ምክንያቱም አጥቂዎች በእርግጠኝነት የሆነ ነገር ለማመስጠር እና ቤዛ ለመጠየቅ ይሞክራሉ። ነጥቡ አሁን Ransomwareን የሚጠቀም እያንዳንዱ ጥቃት ለትራፊክ አጠቃላይ ትንተና እና ሊደርስ ስለሚችል ጥቃት ምርመራ እንደ ምክንያት መቆጠር አለበት። እንዲሁም የሚከተሉትን ስለሚያደርጉ ተጨማሪ የደህንነት ባህሪያት ማሰብ አለብዎት:
- ጥቃቶችን በፍጥነት ያግኙ እና AIን በመጠቀም ያልተለመዱ የአውታረ መረብ እንቅስቃሴዎችን ይተንትኑ
- የኔትወርክ እንቅስቃሴን መከታተል እንድትችሉ ከዜሮ-ቀን Ransomware ጥቃቶች ስርአቶችን ወዲያውኑ መልሰው ያግኙ
- የጥንታዊ ማልዌር ስርጭትን እና በኮርፖሬት አውታረመረብ ላይ አዲስ አይነት ጥቃቶችን አግድ
- ሶፍትዌሮችን እና ስርዓቶችን (የርቀት መዳረሻን ጨምሮ) ለአሁኑ ተጋላጭነቶች እና ብዝበዛዎች ይተንትኑ
- ከድርጅቱ ፔሪሜትር በላይ ያልታወቀ መረጃ ማስተላለፍን ይከለክላል
በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። እባክህን።
በ Ransomware ጥቃት ወቅት የጀርባ እንቅስቃሴን ተንትነህ ታውቃለህ?
-
20,0%አዎ 1
-
80,0%No4
5 ተጠቃሚዎች ድምጽ ሰጥተዋል። 2 ተጠቃሚዎች ድምፀ ተአቅቦ አድርገዋል።
ምንጭ: hab.com