Məlumat sızması təhlükəsizlik xidmətləri üçün ağrılı nöqtədir. İndi insanların çoxu evdən işləyir, sızma təhlükəsi daha böyükdür. Məhz buna görə də tanınmış kibercinayətkar qruplar köhnəlmiş və kifayət qədər təhlükəsiz olmayan uzaqdan giriş protokollarına daha çox diqqət yetirirlər. Maraqlıdır ki, bu gün getdikcə daha çox məlumat sızması Ransomware ilə əlaqələndirilir. Necə, niyə və hansı şəkildə - kəsik altında oxuyun.
Gəlin ondan başlayaq ki, ransomware proqramının hazırlanması və yayılması özlüyündə çox gəlirli cinayət işidir. Məsələn, Amerika FTB-nin məlumatına görə, son bir ildə o, ayda təxminən 1 milyon dollar qazanıb. Ryukdan istifadə edən təcavüzkarlar daha çox qazandılar - qrupun fəaliyyətinin əvvəlində gəlirləri ayda 3 milyon dollar təşkil edirdi. Buna görə də, bir çox baş informasiya təhlükəsizliyi məmurlarının (CISO) ransomware proqramlarını əsas beş biznes riskindən biri kimi göstərməsi təəccüblü deyil.
Sinqapurda yerləşən Acronis Kiber Mühafizə Əməliyyat Mərkəzi (CPOC) Ransomware sahəsində kibercinayətlərin artdığını təsdiqləyir. Mayın ikinci yarısında bütün dünyada həmişəkindən 20% daha çox ransomware bloklanıb. Yüngül azalmadan sonra, indi iyun ayında yenidən aktivliyin artdığını müşahidə edirik. Və bunun bir neçə səbəbi var.
Qurbanın kompüterinə keçin
Təhlükəsizlik texnologiyaları inkişaf edir və təcavüzkarlar müəyyən bir sistemə daxil olmaq üçün taktikalarını bir qədər dəyişməli olurlar. Məqsədli Ransomware hücumları yaxşı dizayn edilmiş fişinq e-poçtları (sosial mühəndislik daxil olmaqla) vasitəsilə yayılmağa davam edir. Bununla belə, son vaxtlar zərərli proqram tərtibatçıları uzaqdan işləyən işçilərə çox diqqət yetirirlər. Onlara hücum etmək üçün siz zəif qorunan uzaqdan giriş xidmətlərini, məsələn, RDP və ya zəifliyi olan VPN serverlərini tapa bilərsiniz.
Onların etdikləri budur. Darknet-də hətta seçilmiş təşkilata və ya şəxsə hücum etmək üçün lazım olan hər şeyi təmin edən ransomware-as-a-xidmətlər var.
Hücumçular korporativ şəbəkəyə nüfuz etmək və hücum spektrini genişləndirmək üçün istənilən yol axtarırlar. Beləliklə, xidmət provayderlərinin şəbəkələrini yoluxdurmaq cəhdləri məşhur tendensiyaya çevrilib. Bulud xidmətləri bu gün yenicə populyarlıq qazandığından, populyar xidmətin yoluxması eyni anda onlarla və hətta yüzlərlə qurbana hücum etməyə imkan verir.
Veb-əsaslı təhlükəsizlik idarəçiliyi və ya ehtiyat konsolları təhlükə altına düşərsə, təcavüzkarlar mühafizəni söndürə, ehtiyat nüsxələri silə və zərərli proqramlarının təşkilat daxilində yayılmasına icazə verə bilər. Yeri gəlmişkən, buna görə mütəxəssislər çoxfaktorlu autentifikasiyadan istifadə edərək bütün xidmət hesablarını diqqətlə qorumağı tövsiyə edirlər. Məsələn, bütün Acronis bulud xidmətləri sizə ikiqat mühafizə qurmağa imkan verir, çünki parolunuz pozulursa, təcavüzkarlar hərtərəfli kibermüdafiə sistemindən istifadənin bütün üstünlüklərini inkar edə bilərlər.
Hücum spektrinin genişləndirilməsi
Sevilən məqsədə çatdıqda və zərərli proqram artıq korporativ şəbəkədə olduqda, daha da yayılmaq üçün adətən kifayət qədər standart taktikalardan istifadə olunur. Hücumçular vəziyyəti öyrənir və təhdidlərə qarşı çıxmaq üçün şirkət daxilində yaradılmış maneələri aşmağa çalışırlar. Hücumun bu hissəsi əl ilə baş verə bilər (axı, əgər onlar artıq tora düşüblərsə, yem çəngəldədir!). Bunun üçün PowerShell, WMI PsExec kimi tanınmış alətlərdən, həmçinin daha yeni Cobalt Strike emulyatoru və digər yardım proqramlarından istifadə olunur. Bəzi cinayətkar qruplar korporativ şəbəkəyə daha dərindən nüfuz etmək üçün xüsusi olaraq parol menecerlərini hədəf alır. Və Ragnar kimi zərərli proqram bu yaxınlarda VirtualBox virtual maşınının tamamilə qapalı görüntüsündə göründü ki, bu da maşında xarici proqram təminatının mövcudluğunu gizlətməyə kömək edir.
Beləliklə, zərərli proqram korporativ şəbəkəyə daxil olduqdan sonra istifadəçinin giriş səviyyəsini yoxlamağa və oğurlanmış parollardan istifadə etməyə çalışır. Mimikatz və Bloodhound & Co kimi kommunal xidmətlər. domen administrator hesablarını sındırmağa kömək edin. Və yalnız təcavüzkar paylama seçimlərini tükənmiş hesab etdikdə, ransomware birbaşa müştəri sistemlərinə endirilir.
Ransomware örtük kimi
Məlumatların itirilməsi təhlükəsinin ciddiliyini nəzərə alaraq, hər il daha çox şirkət “Fəlakətdən xilasetmə planı” adlanan planı həyata keçirir. Bunun sayəsində onlar şifrələnmiş məlumatlarla bağlı çox narahat olmayacaqlar və Ransomware hücumu baş verərsə, onlar fidyəni toplamağa başlamır, bərpa prosesinə başlayırlar. Lakin hücum edənlər də yatmır. Ransomware adı altında kütləvi məlumat oğurluğu baş verir. Digər qruplar vaxtaşırı hücumları birləşdirsə də, Maze 2019-cu ildə kütləvi şəkildə bu cür taktikalardan ilk dəfə istifadə etdi. İndi ən azı Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO və Sekhmet şifrələmə ilə paralel olaraq məlumat oğurluğu ilə məşğuldur.
Bəzən təcavüzkarlar şəbəkə monitorinq alətləri (əgər onlar quraşdırılıb və konfiqurasiya edilmişsə) tərəfindən aşkarlana bilən şirkətdən onlarla terabayt məlumatı sifonlamağı bacarırlar. Axı, çox vaxt məlumat ötürülməsi sadəcə FTP, Putty, WinSCP və ya PowerShell skriptlərindən istifadə etməklə baş verir. DLP və şəbəkə monitorinq sistemlərinin öhdəsindən gəlmək üçün məlumatlar şifrələnə və ya parolla qorunan arxiv kimi göndərilə bilər, bu cür fayllar üçün gedən trafiki yoxlamalı olan təhlükəsizlik qrupları üçün yeni problemdir.
Məlumat oğurlayanların davranışının öyrənilməsi göstərir ki, təcavüzkarlar hər şeyi toplamırlar - onları yalnız maliyyə hesabatları, müştəri məlumat bazaları, işçilərin və müştərilərin şəxsi məlumatları, müqavilələr, qeydlər və hüquqi sənədlər maraqlandırır. Zərərli proqram nəzəri olaraq şantaj üçün istifadə oluna biləcək hər hansı məlumat üçün diskləri skan edir.
Belə bir hücum uğurlu olarsa, təcavüzkarlar adətən məlumatların təşkilatdan sızdığını təsdiqləyən bir neçə sənədi göstərən kiçik tizer dərc edirlər. Bəzi qruplar, əgər fidyənin ödənilmə vaxtı artıq başa çatıbsa, bütün məlumat dəstini öz veb saytında dərc edirlər. Bloklamanın qarşısını almaq və geniş əhatə dairəsini təmin etmək üçün məlumatlar TOR şəbəkəsində də dərc olunur.
Pul qazanmağın başqa bir yolu məlumat satmaqdır. Məsələn, Sodinokibi bu yaxınlarda məlumatların ən yüksək təklif verənə getdiyi açıq auksionlar elan etdi. Bu cür ticarətlər üçün başlanğıc qiyməti məlumatların keyfiyyətindən və məzmunundan asılı olaraq 50-100 min dollardır. Məsələn, 10 pul vəsaitlərinin hərəkəti qeydləri, məxfi biznes məlumatları və skan edilmiş sürücülük vəsiqələri dəsti 000 dollara satılır və 100 dollara isə 000-dən çox maliyyə sənədi, həmçinin üç mühasibat faylı və müştəri məlumat bazası əldə edilə bilər.
Sızıntıların dərc olunduğu saytlar çox müxtəlifdir. Bu, oğurlanmış hər şeyin sadəcə yerləşdirildiyi sadə bir səhifə ola bilər, lakin bölmələr və satın alma imkanı olan daha mürəkkəb strukturlar da var. Ancaq əsas odur ki, onların hamısı eyni məqsədə xidmət edir - təcavüzkarların real pul əldə etmə şansını artırmaq. Bu biznes modeli təcavüzkarlar üçün yaxşı nəticələr göstərərsə, şübhəsiz ki, daha çox oxşar saytlar olacaq və korporativ məlumatların oğurlanması və pul qazanması üsulları daha da genişləndiriləcəkdir.
Məlumat sızıntılarını dərc edən cari saytlar belə görünür:
Yeni hücumlarla nə etməli
Bu şəraitdə təhlükəsizlik qrupları üçün əsas problem son zamanlar Ransomware ilə bağlı getdikcə daha çox insidentlərin sadəcə məlumat oğurluğundan yayındırılmasıdır. Təcavüzkarlar artıq yalnız server şifrələməsinə etibar etmirlər. Əksinə, əsas məqsəd ransomware ilə mübarizə apararkən sızma təşkil etməkdir.
Beləliklə, təkbaşına ehtiyat sistemindən istifadə, hətta yaxşı bir bərpa planı olsa belə, çox qatlı təhlükələrə qarşı durmaq üçün kifayət deyil. Xeyr, əlbəttə ki, ehtiyat nüsxələri olmadan da edə bilməzsiniz, çünki təcavüzkarlar mütləq bir şeyi şifrələməyə və fidyə istəyəcəklər. Məsələ burasındadır ki, indi Ransomware proqramından istifadə edən hər bir hücum trafikin hərtərəfli təhlili və mümkün hücumun araşdırılması üçün səbəb kimi qəbul edilməlidir. Siz həmçinin əlavə təhlükəsizlik xüsusiyyətləri haqqında düşünməlisiniz:
- Süni intellektdən istifadə edərək hücumları tez aşkar edin və qeyri-adi şəbəkə fəaliyyətini təhlil edin
- Sistemləri sıfır günlük Ransomware hücumlarından dərhal bərpa edin ki, şəbəkə fəaliyyətinə nəzarət edə biləsiniz
- Korporativ şəbəkəyə klassik zərərli proqramların və yeni hücum növlərinin yayılmasının qarşısını alın
- Cari zəifliklər və istismarlar üçün proqram təminatı və sistemləri (uzaqdan giriş daxil olmaqla) təhlil edin
- Naməlum məlumatların korporativ perimetrdən kənara ötürülməsinin qarşısını alın
Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər. xahiş edirəm.
Ransomware hücumu zamanı fon fəaliyyətini heç təhlil etmisinizmi?
-
20,0%Bəli 1
-
80,0%№4
5 istifadəçi səs verib. 2 istifadəçi bitərəf qalıb.
Mənbə: www.habr.com