يعد تسرب البيانات نقطة حساسة بالنسبة للخدمات الأمنية. والآن بعد أن أصبح معظم الناس يعملون من المنزل، أصبح خطر التسربات أكبر بكثير. ولهذا السبب، تولي مجموعات مجرمي الإنترنت المعروفة اهتمامًا متزايدًا ببروتوكولات الوصول عن بُعد القديمة وغير الآمنة بشكل كافٍ. ومن المثير للاهتمام أن المزيد والمزيد من تسرب البيانات اليوم يرتبط ببرامج الفدية. كيف ولماذا وبأي طريقة - اقرأ تحت القطع.
لنبدأ بحقيقة أن تطوير وتوزيع برامج الفدية يعد في حد ذاته عملاً إجراميًا مربحًا للغاية. على سبيل المثال، وفقا لمكتب التحقيقات الفيدرالي الأمريكي، خلال العام الماضي، كسبت ما يقرب من مليون دولار شهريا. بل إن المهاجمين الذين استخدموا ريوك حصلوا على مبلغ أكبر، ففي بداية نشاط الجماعة كان دخلهم يصل إلى 1 ملايين دولار شهريا. لذلك ليس من المستغرب أن يقوم العديد من كبار مسؤولي أمن المعلومات (CISOs) بإدراج برامج الفدية كواحدة من أكبر خمسة مخاطر تجارية لديهم.
يؤكد مركز عمليات الحماية السيبرانية في Acronis (CPOC)، الموجود في سنغافورة، على زيادة الجرائم الإلكترونية في منطقة برامج الفدية. وفي النصف الثاني من شهر مايو، تم حظر المزيد من برامج الفدية بنسبة 20% في جميع أنحاء العالم مقارنة بالمعتاد. وبعد انخفاض طفيف، نشهد الآن في شهر يونيو زيادة في النشاط مرة أخرى. وهناك عدة أسباب لذلك.
الوصول إلى جهاز الكمبيوتر الخاص بالضحية
تتطور تقنيات الأمان، ويتعين على المهاجمين تغيير تكتيكاتهم إلى حد ما من أجل الوصول إلى نظام معين. تستمر هجمات برامج الفدية المستهدفة في الانتشار من خلال رسائل البريد الإلكتروني التصيدية المصممة جيدًا (بما في ذلك الهندسة الاجتماعية). ومع ذلك، في الآونة الأخيرة، أولى مطورو البرامج الضارة الكثير من الاهتمام للعاملين عن بعد. ولمهاجمتها، يمكنك العثور على خدمات الوصول عن بعد ذات الحماية الضعيفة، مثل خوادم RDP أو VPN التي بها نقاط ضعف.
هذا ما يفعلونه. هناك أيضًا برامج فدية كخدمات على شبكة الإنترنت المظلمة توفر كل ما تحتاجه لمهاجمة منظمة أو شخص مختار.
يبحث المهاجمون عن أي طريقة لاختراق شبكة الشركة وتوسيع نطاق هجماتهم. وهكذا أصبحت محاولات إصابة شبكات مقدمي الخدمات اتجاهاً شائعاً. نظرًا لأن الخدمات السحابية تكتسب شعبية اليوم، فإن الإصابة بخدمة شائعة تجعل من الممكن مهاجمة عشرات أو حتى مئات الضحايا في وقت واحد.
إذا تم اختراق إدارة الأمان المستندة إلى الويب أو وحدات التحكم الاحتياطية، فيمكن للمهاجمين تعطيل الحماية وحذف النسخ الاحتياطية والسماح للبرامج الضارة بالانتشار في جميع أنحاء المؤسسة. بالمناسبة، لهذا السبب يوصي الخبراء بحماية جميع حسابات الخدمة بعناية باستخدام المصادقة متعددة العوامل. على سبيل المثال، تتيح لك جميع خدمات Acronis السحابية تثبيت حماية مزدوجة، لأنه إذا تم اختراق كلمة المرور الخاصة بك، فيمكن للمهاجمين إبطال جميع فوائد استخدام نظام حماية إلكتروني شامل.
توسيع نطاق الهجوم
عندما يتم تحقيق الهدف المنشود، وتكون البرامج الضارة موجودة بالفعل داخل شبكة الشركة، عادةً ما يتم استخدام تكتيكات قياسية تمامًا لمزيد من التوزيع. يدرس المهاجمون الوضع ويسعون جاهدين للتغلب على الحواجز التي تم إنشاؤها داخل الشركة لمواجهة التهديدات. يمكن أن يتم هذا الجزء من الهجوم يدويًا (بعد كل شيء، إذا سقطوا بالفعل في الشبكة، فسيكون الطعم على الخطاف!). لهذا، يتم استخدام الأدوات المعروفة، مثل PowerShell، WMI PsExec، بالإضافة إلى محاكي Cobalt Strike الأحدث والأدوات المساعدة الأخرى. تستهدف بعض الجماعات الإجرامية مديري كلمات المرور على وجه التحديد لاختراق شبكة الشركة بشكل أعمق. وشوهدت مؤخرًا برامج ضارة مثل Ragnar في صورة مغلقة تمامًا للجهاز الظاهري VirtualBox، مما يساعد على إخفاء وجود برامج أجنبية على الجهاز.
وبالتالي، بمجرد دخول البرامج الضارة إلى شبكة الشركة، فإنها تحاول التحقق من مستوى وصول المستخدم واستخدام كلمات المرور المسروقة. المرافق مثل Mimikatz وBloodhound & Co. المساعدة في اختراق حسابات مسؤول المجال. وفقط عندما يعتبر المهاجم أن خيارات التوزيع قد استنفدت، يتم تنزيل برنامج الفدية مباشرة إلى أنظمة العميل.
الفدية كغطاء
نظرًا لخطورة التهديد بفقدان البيانات، تقوم المزيد والمزيد من الشركات كل عام بتنفيذ ما يسمى "خطة التعافي من الكوارث". وبفضل هذا، لا داعي للقلق كثيرًا بشأن البيانات المشفرة، وفي حالة حدوث هجوم Ransomware، فإنهم لا يبدأون في جمع الفدية، بل يبدأون عملية الاسترداد. لكن المهاجمين لا ينامون أيضاً. تحت ستار برامج الفدية، تحدث سرقة هائلة للبيانات. كان Maze أول من استخدم مثل هذه التكتيكات بشكل جماعي في عام 2019، على الرغم من قيام مجموعات أخرى بشن هجمات بشكل دوري. الآن، على الأقل، تشارك Sodinokibi وNetfilm وNemty وNetwalker وRagnar وPsya وDoppelPaymer وCLOP وAKO وSehmet في سرقة البيانات بالتوازي مع التشفير.
في بعض الأحيان يتمكن المهاجمون من سحب عشرات التيرابايت من البيانات من الشركة، والتي كان من الممكن اكتشافها بواسطة أدوات مراقبة الشبكة (إذا تم تثبيتها وتكوينها). بعد كل شيء، يتم نقل البيانات في أغلب الأحيان ببساطة باستخدام البرامج النصية FTP أو PuTTY أو WinSCP أو PowerShell. للتغلب على أنظمة DLP ومراقبة الشبكة، يمكن تشفير البيانات أو إرسالها كأرشيف محمي بكلمة مرور، وهو تحدٍ جديد لفرق الأمان التي تحتاج إلى التحقق من حركة المرور الصادرة بحثًا عن مثل هذه الملفات.
تُظهر دراسة سلوك سارقي المعلومات أن المهاجمين لا يجمعون كل شيء - فهم مهتمون فقط بالتقارير المالية وقواعد بيانات العملاء والبيانات الشخصية للموظفين والعملاء والعقود والسجلات والمستندات القانونية. تقوم البرامج الضارة بفحص محركات الأقراص بحثًا عن أي معلومات يمكن استخدامها نظريًا للابتزاز.
إذا نجح مثل هذا الهجوم، فعادةً ما ينشر المهاجمون إعلانًا تشويقيًا صغيرًا، يعرض عدة مستندات تؤكد تسرب البيانات من المنظمة. وتقوم بعض المجموعات بنشر مجموعة البيانات الكاملة على موقعها الإلكتروني إذا كان وقت دفع الفدية قد انتهى بالفعل. ولتجنب الحجب وضمان تغطية واسعة، يتم أيضًا نشر البيانات على شبكة TOR.
هناك طريقة أخرى لتحقيق الدخل وهي بيع البيانات. على سبيل المثال، أعلنت شركة Sodinokibi مؤخرًا عن مزادات مفتوحة تذهب فيها البيانات إلى من يدفع أعلى سعر. السعر المبدئي لمثل هذه الصفقات هو 50-100 ألف دولار اعتمادًا على جودة البيانات ومحتواها. على سبيل المثال، تم بيع مجموعة مكونة من عشرة آلاف سجل للتدفقات النقدية، وبيانات تجارية سرية، ورخص قيادة ممسوحة ضوئيا بمبلغ لا يقل عن 10 ألف دولار. وفي مقابل 000 ألف دولار، يستطيع المرء شراء أكثر من 100 ألف مستند مالي بالإضافة إلى ثلاث قواعد بيانات للملفات المحاسبية وبيانات العملاء.
تختلف المواقع التي يتم نشر التسريبات فيها بشكل كبير. يمكن أن تكون هذه صفحة بسيطة يتم فيها نشر كل شيء مسروق، ولكن هناك أيضًا هياكل أكثر تعقيدًا تحتوي على أقسام وإمكانية الشراء. لكن الشيء الرئيسي هو أن جميعها تخدم نفس الغرض - وهو زيادة فرص حصول المهاجمين على أموال حقيقية. إذا أظهر نموذج العمل هذا نتائج جيدة للمهاجمين، فلا شك أنه سيكون هناك المزيد من المواقع المماثلة، وسيتم توسيع تقنيات سرقة بيانات الشركات وتحقيق الدخل منها.
وهذا هو شكل المواقع الحالية التي تنشر تسريبات البيانات:
ما يجب القيام به مع الهجمات الجديدة
التحدي الرئيسي الذي يواجه فرق الأمن في هذه الظروف هو أن المزيد والمزيد من الحوادث المتعلقة ببرامج الفدية في الآونة الأخيرة أصبحت مجرد وسيلة إلهاء عن سرقة البيانات. لم يعد المهاجمون يعتمدون فقط على تشفير الخادم. على العكس من ذلك، فإن الهدف الرئيسي هو تنظيم التسريب أثناء مكافحة برامج الفدية.
وبالتالي، فإن استخدام نظام النسخ الاحتياطي وحده، حتى مع وجود خطة استرداد جيدة، لا يكفي لمواجهة التهديدات متعددة الطبقات. لا، بالطبع، لا يمكنك الاستغناء عن النسخ الاحتياطية أيضًا، لأن المهاجمين سيحاولون بالتأكيد تشفير شيء ما وطلب فدية. النقطة المهمة هي أنه يجب الآن اعتبار كل هجوم باستخدام Ransomware سببًا لإجراء تحليل شامل لحركة المرور وبدء تحقيق في هجوم محتمل. يجب عليك أيضًا التفكير في ميزات الأمان الإضافية التي يمكنها:
- اكتشف الهجمات بسرعة وقم بتحليل نشاط الشبكة غير المعتاد باستخدام الذكاء الاصطناعي
- يمكنك استعادة الأنظمة على الفور من هجمات Ransomware الفورية حتى تتمكن من مراقبة نشاط الشبكة
- منع انتشار البرامج الضارة الكلاسيكية والأنواع الجديدة من الهجمات على شبكة الشركة
- تحليل البرامج والأنظمة (بما في ذلك الوصول عن بعد) بحثًا عن نقاط الضعف والثغرات الحالية
- منع نقل المعلومات مجهولة الهوية خارج محيط الشركة
يمكن للمستخدمين المسجلين فقط المشاركة في الاستطلاع. ، من فضلك.
هل سبق لك أن قمت بتحليل نشاط الخلفية أثناء هجوم Ransomware؟
-
20,0%نعم 1
-
80,0%رقم 4
صوت 5 مستخدمًا. امتنع 2 مستخدما عن التصويت.
المصدر: www.habr.com