Изтичането на данни е болна точка за службите за сигурност. И сега, когато повечето хора работят от вкъщи, опасността от течове е много по-голяма. Ето защо известни киберпрестъпни групи обръщат повишено внимание на остарелите и недостатъчно сигурни протоколи за отдалечен достъп. И, което е интересно, все повече и повече изтичания на данни днес са свързани с Ransomware. Как, защо и по какъв начин – четете под разрез.
Нека започнем с факта, че разработването и разпространението на ransomware само по себе си е много печеливш престъпен бизнес. Например, според американското ФБР, през изминалата година тя спечели приблизително 1 милион долара на месец. А нападателите, които използваха Ryuk, получиха още повече - в началото на дейността на групата доходите им възлизаха на 3 милиона долара на месец. Така че не е изненадващо, че много главни служители по информационна сигурност (CISO) изброяват ransomware като един от петте най-големи бизнес риска.
Acronis Cyber Protection Operation Center (CPOC), разположен в Сингапур, потвърждава увеличение на киберпрестъпленията в областта на Ransomware. През втората половина на май 20% повече ransomware бяха блокирани в световен мащаб от обикновено. След лек спад, сега през юни отново наблюдаваме повишение на активността. И има няколко причини за това.
Влезте в компютъра на жертвата
Технологиите за сигурност се развиват и нападателите трябва да променят донякъде тактиката си, за да влязат в конкретна система. Целевите Ransomware атаки продължават да се разпространяват чрез добре проектирани фишинг имейли (включително социално инженерство). Напоследък обаче разработчиците на зловреден софтуер обръщат много внимание на отдалечените работници. За да ги атакувате, можете да намерите лошо защитени услуги за отдалечен достъп, като RDP или VPN сървъри с уязвимости.
Това е, което те правят. Има дори ransomware като услуги в тъмната мрежа, които предоставят всичко необходимо за атака на избрана организация или човек.
Нападателите търсят всякакъв начин да проникнат в корпоративна мрежа и да разширят своя спектър на атака. По този начин опитите за заразяване на мрежите на доставчиците на услуги се превърнаха в популярна тенденция. Тъй като облачните услуги тепърва набират популярност днес, заразяването на популярна услуга прави възможно атакуването на десетки или дори стотици жертви наведнъж.
Ако уеб базираното управление на сигурността или конзолите за архивиране са компрометирани, атакуващите могат да деактивират защитата, да изтрият резервни копия и да позволят на техния злонамерен софтуер да се разпространи в цялата организация. Между другото, ето защо експертите препоръчват внимателно да се защитят всички акаунти за услуги с помощта на многофакторно удостоверяване. Например, всички облачни услуги на Acronis ви позволяват да инсталирате двойна защита, защото ако паролата ви бъде компрометирана, нападателите могат да отменят всички предимства на използването на цялостна система за киберзащита.
Разширяване на спектъра на атака
Когато заветната цел е постигната и злонамереният софтуер вече е вътре в корпоративната мрежа, обикновено се използват доста стандартни тактики за по-нататъшно разпространение. Нападателите изучават ситуацията и се стремят да преодолеят бариерите, които са създадени в компанията за противодействие на заплахите. Тази част от атаката може да се извърши ръчно (в края на краищата, ако те вече са паднали в мрежата, тогава стръвта е на куката!). За това се използват добре познати инструменти, като PowerShell, WMI PsExec, както и по-новият емулатор Cobalt Strike и други помощни програми. Някои престъпни групи специално се насочват към мениджърите на пароли, за да проникнат по-дълбоко в корпоративна мрежа. И зловреден софтуер като Ragnar наскоро беше видян в напълно затворен образ на виртуалната машина VirtualBox, който помага да се скрие присъствието на чужд софтуер на машината.
По този начин, след като зловредният софтуер влезе в корпоративната мрежа, той се опитва да провери нивото на достъп на потребителя и да използва откраднати пароли. Помощни програми като Mimikatz и Bloodhound & Co. помогнете за хакване на администраторски акаунти на домейн. И само когато атакуващият прецени, че опциите за разпространение са изчерпани, рансъмуерът се изтегля директно в клиентските системи.
Рансъмуер като капак
Като се има предвид сериозността на заплахата от загуба на данни, всяка година все повече компании прилагат така наречения „план за възстановяване след бедствие“. Благодарение на това те не трябва да се тревожат твърде много за криптираните данни и в случай на Ransomware атака не започват да събират откупа, а започват процеса на възстановяване. Но и нападателите не спят. Под прикритието на Ransomware се извършва масивна кражба на данни. Maze беше първият, който използва масово подобни тактики през 2019 г., въпреки че други групи периодично комбинираха атаки. Сега най-малко Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO и Sekhmet се занимават с кражба на данни успоредно с криптирането.
Понякога нападателите успяват да източат десетки терабайти данни от компания, които биха могли да бъдат открити от инструменти за наблюдение на мрежата (ако са били инсталирани и конфигурирани). В края на краищата, най-често прехвърлянето на данни става просто с помощта на FTP, Putty, WinSCP или PowerShell скриптове. За да преодолеят DLP и системите за наблюдение на мрежата, данните могат да бъдат криптирани или изпратени като защитен с парола архив, ново предизвикателство за екипите по сигурността, които трябва да проверяват изходящия трафик за такива файлове.
Проучването на поведението на крадците на информация показва, че нападателите не събират всичко - те се интересуват само от финансови отчети, клиентски бази данни, лични данни на служители и клиенти, договори, записи и правни документи. Злонамереният софтуер сканира устройства за всяка информация, която теоретично може да се използва за изнудване.
Ако такава атака е успешна, нападателите обикновено публикуват малък тийзър, показващ няколко документа, потвърждаващи, че данните са изтекли от организацията. А някои групи публикуват целия набор от данни на уебсайта си, ако времето за плащане на откупа вече е изтекло. За да се избегне блокирането и да се осигури широко покритие, данните се публикуват и в мрежата TOR.
Друг начин за монетизиране е чрез продажба на данни. Например Sodinokibi наскоро обяви открити търгове, при които данните отиват при предложилия най-висока цена. Началната цена за такива сделки е $50-100K в зависимост от качеството и съдържанието на данните. Например набор от 10 000 записа за парични потоци, поверителни бизнес данни и сканирани шофьорски книжки се продават само за $100 000. А за $50 000 човек може да купи повече от 20 000 финансови документа плюс три бази данни със счетоводни файлове и клиентски данни.
Сайтовете, където се публикуват течове, са много различни. Това може да бъде проста страница, на която всичко откраднато е просто публикувано, но има и по-сложни структури със секции и възможност за покупка. Но основното е, че всички те служат на една и съща цел - да увеличат шансовете на нападателите да получат истински пари. Ако този бизнес модел покаже добри резултати за нападателите, няма съмнение, че ще има още повече подобни сайтове, а техниките за кражба и монетизиране на корпоративни данни ще бъдат допълнително разширени.
Ето как изглеждат настоящите сайтове, които публикуват изтичане на данни:
Какво да правим с нови атаки
Основното предизвикателство за екипите по сигурността в тези условия е, че напоследък все повече и повече инциденти, свързани с Ransomware, се оказват просто отвличане на вниманието от кражбата на данни. Нападателите вече не разчитат само на сървърно криптиране. Напротив, основната цел е да организирате изтичане, докато се борите с ransomware.
Следователно използването само на система за архивиране, дори и с добър план за възстановяване, не е достатъчно за противодействие на многопластови заплахи. Не, разбира се, не можете да правите и без резервни копия, защото нападателите определено ще се опитат да криптират нещо и ще поискат откуп. Въпросът е по-скоро, че сега всяка атака с Ransomware трябва да се разглежда като причина за цялостен анализ на трафика и започване на разследване за евентуална атака. Трябва също така да помислите за допълнителни функции за сигурност, които биха могли:
- Бързо откривайте атаки и анализирайте необичайна мрежова активност с помощта на AI
- Незабавно възстановявайте системи от атаки на рансъмуер от нулев ден, за да можете да наблюдавате мрежовата активност
- Блокирайте разпространението на класически зловреден софтуер и нови видове атаки в корпоративната мрежа
- Анализирайте софтуера и системите (включително отдалечен достъп) за текущи уязвимости и експлойти
- Предотвратете прехвърлянето на неидентифицирана информация извън корпоративния периметър
В анкетата могат да участват само регистрирани потребители. , Моля те.
Анализирали ли сте някога фоновата активност по време на Ransomware атака?
-
20,0%да 1
-
80,0%No4
5 потребители гласуваха. 2 потребители се въздържаха.
Източник: www.habr.com