Уцечкі дадзеных - балючае пытанне для службы бяспекі. А зараз, калі большасць працуе з дому, небяспека ўцечак аказваецца нашмат вышэй. Менавіта таму вядомыя кіберзлачынныя групы надаюць падвышаную ўвагу састарэлым і нядосыць абароненым пратаколам выдаленага доступу. І, што цікава, усё больш уцечак дадзеных на сённяшні дзень звязана з Ransomware. Як, чаму і якім чынам - чытайце пад катом.
Пачнем з таго, што распрацоўка і распаўсюджванне праграм-вымагальнікаў - сам па сабе вельмі прыбытковы злачынны бізнэс. Напрыклад, паводле ацэнак амерыканскага ФБР, на працягу мінулага года зарабляла прыкладна $1 мільён за месяц. А зламыснікі, якія выкарыстоўвалі Ryuk, атрымлівалі яшчэ больш - у пачатку дзейнасці групоўкі іх даходы складалі да $ 3 мільёнаў у месяц. Так што не дзіўна, што многія дырэктары па інфармацыйнай бяспецы (CISO) адзначаюць праграмы-вымагальнікі як адзін з пяці асноўных рызык для бізнесу.
Цэнтр бяспекі Acronis Cyber Protection Operation Center (CPOC), размешчаны ў Сінгапуры, пацвярджае актывізацыю кіберзлачыннасці ў вобласці Ransomware. У другой палове траўня па ўсім свеце было заблакавана на 20% больш праграм-вымагальнікаў, чым звычайна. Пасля невялікага спаду зараз, у чэрвені, мы зноў назіраем рост актыўнасці. І для гэтага ёсць адразу некалькі прычын.
Патрапіць на кампутар ахвяры
Тэхналогіі абароны развіваюцца, і зламыснікам даводзіцца некалькі мяняць сваю тактыку, каб патрапіць на пэўную сістэму. Мэтавыя атакі Ransomware па-ранейшаму распаўсюджваюцца пры дапамозе добра прадуманых фішынгавых лістоў (тут справа не абыходзіцца без сацыяльнай інжынерыі). Аднак у апошні час распрацоўнікі шкоднаснага ПА надаюць шмат увагі менавіта выдаленым супрацоўнікам. Каб атакаваць іх, можна знайсці дрэнна абароненыя сэрвісы выдаленага доступу, напрыклад, RDP, ці VPN-серверы з уразлівасцямі.
Гэтым яны і займаюцца. У даркнеце з'явіліся нават сэрвісы ransomware-as-a-service, якія падаюць усё неабходнае, каб атакаваць абраную арганізацыю ці чалавека.
Зламыснікі шукаюць любыя спосабы пракрасціся ў карпаратыўную сетку і пашырыць спектр нападу. Так, папулярным напрамкам сталі спробы заразіць сеткі сэрвіс-правайдэраў. Паколькі хмарныя паслугі сёння толькі набіраюць папулярнасць, заражэнне папулярнага сэрвісу дазваляе атакаваць адразу дзясяткі ці нават сотні ахвяр за адзін раз.
У выпадку ўзлому вэб-кансоляў кіравання сістэмамі бяспекі ці рэзервовага капіявання, атакавалыя могуць адключыць абарону, выдаліць рэзервовыя копіі, а таксама забяспечыць свайму шкоднаснаму ПА разгортванне па ўсёй арганізацыі. Дарэчы, менавіта таму эксперты рэкамендуюць старанна абараняць усе сэрвісныя ўліковыя запісы пры дапамозе шматфактарнага аўтарызацыі. Напрыклад, усе хмарныя сэрвісы Acronis дазваляюць усталяваць падвойную абарону, таму што ў выпадку кампраметацыі пароля, зламыснікі могуць звесці на нішто ўсе перавагі ад выкарыстання комплекснай сістэмы кіберабароны.
Пашырэнне спектра нападу
Калі запаветная мэта дасягнута, і шкоднаснае ПА ужо знаходзіцца ўсярэдзіне карпаратыўнай сеткі, для наступнага распаўсюджвання, як правіла, выкарыстоўваюцца суцэль тыпавыя тактыкі. Зламыснікі вывучаюць сітуацыю і імкнуцца пераадолець тыя бар'еры, якія створаны ўнутры кампаніі для супрацьдзеяння пагрозам. Гэтая частка нападу можа адбывацца ў ручным рэжыме (бо калі яны ўжо патрапілі ў сетку, значыць прынада на гапліку!). Для гэтага выкарыстоўваюцца ўжо добра вядомыя прылады, такія як PowerShell, WMI PsExec, а таксама навейшы эмулятар Cobalt Strike і іншыя ўтыліты. Некаторыя крымінальныя групы мэтанакіравана атакуюць менеджэры пароляў, каб пракрасціся глыбей у карпаратыўную сетку. А такое шкоднаснае ПА як Ragnar нядаўна было заўважана ў цалкам зачыненай выяве віртуальнай машыны VirtualBox, якая дапамагае хаваць прысутнасць старонняга ПА на машыне.
Такім чынам, трапляючы ў карпаратыўную сетку, шкоднаснае ПЗ імкнецца праверыць узровень доступу карыстальніка і прымяніць скрадзеныя паролі. Такія ўтыліты як Mimikatz і Bloodhound & Co. дапамагаюць узломваць уліковыя запісы адміністратараў даменаў. І толькі тады, калі атакавалы лічыць магчымасці распаўсюджвання вычарпанымі, на кліенцкія сістэмы загружаецца непасрэдна праграма-вымагальнік.
Ransomware як прыкрыццё
Улічваючы сур'ёзнасць пагрозы страты дадзеных, з кожным годам усё больш кампаній увасабляюць у жыццё так званы "Disaster recovery plan". Дзякуючы гэтаму яны не вельмі турбавацца аб зашыфраваных дадзеных, і ў выпадку нападу Ransomware не пачынаюць збіраць выкуп, а запускаюць працэс узнаўлення. Але і зламыснікі не спяць. Пад прычыненнем Ransomware адбываецца масавы крадзеж дадзеных. Першымі прымяняць масава такую тактыку пачалі Maze яшчэ ў 2019 годзе, хаця і іншыя групы перыядычна камбінавалі атакі. Цяпер жа крадзяжом дадзеных раўналежна з шыфраваннем займаюцца прынамсі Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO і Sekhmet.
Часам зламыснікам атрымоўваецца выпампаваць з кампаніі дзясяткі тэрабайт дадзеных, якія маглі быць выяўлены сродкамі сеткавага маніторынгу (калі б яны былі ўсталяваныя і настроеныя). Бо часцей за ўсё перадача дадзеных адбываецца проста пры дапамозе FTP, Putty, WinSCP ці скрыптоў PowerShell. Для пераадолення DLP і сістэм сеткавага маніторынгу дадзеныя можна зашыфраваць ці адправіць як архіў з паролем, і гэта новы выклік для службаў бяспекі, якім трэба правяраць выходны трафік на наяўнасць падобных файлаў.
Вывучэнне паводзінаў infostealer'аў паказвае, што зламыснікі не збіраюць усё запар - іх цікавяць менавіта фінансавыя справаздачы, кліенцкія базы, персанальныя дадзеныя супрацоўнікаў і кліентаў, кантракты, запісы, юрыдычныя дакументы. Шкоднаснае ПА скануе дыскі ў пошуку любой інфармацыі, якая тэарэтычна магла б быць скарыстана для шантажу.
Калі падобная атака прайшла паспяхова, звычайна зламыснікі публікуюць невялікі цізер, паказваючы некалькі дакументаў у пацверджанне, што дадзеныя выцяклі з арганізацыі. А некаторыя групы публікуюць увогуле ўвесь набор дадзеных на сваім сайце, калі час выплаты выкупу ўжо выйшаў. Каб пазбегнуць блакіроўкі і забяспечыць шырокі ахоп, дадзеныя публікуюць у тым ліку ў сетцы TOR.
Яшчэ адзін спосаб манетызацыі - продаж дадзеных. Напрыклад, Sodinokibi нядаўна абвясцілі аб правядзенні адкрытых аўкцыёнаў, на якіх дадзеныя дастаюцца ўдзельніку, які зрабіў самую высокую стаўку. Стартавая цана такіх таргоў складае $50-100K у залежнасці ад якасці і зместу дадзеных. Напрыклад, набор з 10 000 запісаў аб патоках наяўнасці, канфідэнцыйных бізнес-дадзеных і адсканаваных правоў кіроўцы прадаваліся па кошце ад $ 100 000. А за $ 50 000 можна было купіць больш за 20 000 фінансавых дакументаў плюс тры базы дадзеных з бухгалтарскімі файламі і кліенцкімі дадзенымі.
Сайты, на якіх публікуюцца ўцечкі, бываюць самымі рознымі. Гэта можа быць простая старонка, на якую папросту выклалі ўсё скрадзенае, а бываюць і больш складаныя структуры з раздзеламі і магчымасцю пакупкі. Але галоўнае, што ўсе яны служаць адной мэты - павысіць шанцы атакавалых на атрыманне рэальных грошай. Калі ж гэтая бізнэс-мадэль пакажа добрыя вынікі для зламыснікаў, можна не сумнявацца, што падобных сайтаў стане яшчэ больш, а тэхнікі крадзяжу і манетызацыі карпаратыўных дадзеных будуць пашыраны дадаткова.
Вось так выглядаюць актуальныя сайты, на якіх публікуюцца ўцечкі даных:
Што рабіць з новымі нападамі
Асноўны выклік для службаў бяспекі ў гэтых умовах складаецца ў тым, што ў апошні час усё больш інцыдэнтаў, злучаных з Ransomware, апыняюцца проста метадам адцягнення ад крадзяжу дадзеных. Зламыснікі ўжо не робяць стаўку толькі на шыфраванне сервераў. Наадварот, асноўнай мэтай аказваецца арганізацыя ўцечкі, пакуль вы змагаецеся з шыфравальшчыкамі.
Такім чынам, выкарыстанне адной толькі сістэмы рэзервовага капіявання нават з добрым планам аднаўлення недастаткова для процідзеяння шматслойным пагрозам. Не, вядома, без рэзервовых копій таксама не абысціся, бо зламыснікі абавязкова паспрабуюць што-небудзь зашыфраваць і папросяць выкуп. Гаворка ідзе хутчэй аб тым, што зараз кожны напад з выкарыстаннем Ransomware павінна разглядацца як падстава для ўсебаковага аналізу трафіку і запуску расследавання магчымага нападу. А таксама варта падумаць аб дадатковых сродках бяспекі, якія маглі б:
- Хутка выяўляць напады і аналізаваць нетыповую актыўнасць у сетцы з выкарыстаннем ІІ
- Маментальна аднаўляць сістэмы ў выпадку нападаў Ransomware нулявога дня, каб вы маглі адсочваць сеткавую актыўнасць
- Блакаваць распаўсюджванне класічнага шкоднаснага ПЗ і новых відаў нападаў у карпаратыўнай сетцы
- Аналізаваць ПЗ і сістэмы (у тым ліку аддаленага доступу) на наяўнасць актуальных уразлівасцяў і эксплойтаў
- Перашкаджаць перадачы неапазнанай інфармацыі за межы карпаратыўнага перыметра
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
Вы калі-небудзь аналізавалі фонавую актыўнасць падчас нападу Ransomware?
-
20,0%Так1
-
80,0%Няма4
Прагаласавалі 5 карыстальнікаў. Устрымаліся 2 карыстальніка.
Крыніца: habr.com