Curenje podataka je bolna tačka za sigurnosne službe. A sada kada većina ljudi radi od kuće, opasnost od curenja je mnogo veća. Zbog toga poznate cyber kriminalne grupe posvećuju sve veću pažnju zastarjelim i nedovoljno sigurnim protokolima za daljinski pristup. I, zanimljivo, sve više curenja podataka danas je povezano sa Ransomware-om. Kako, zašto i na koji način - pročitajte ispod reza.
Počnimo s činjenicom da je razvoj i distribucija ransomwarea vrlo profitabilan kriminalni posao sam po sebi. Na primjer, prema američkom FBI-u, tokom prošle godine zarađivala je oko milion dolara mjesečno. A napadači koji su koristili Ryuk dobili su još više - na početku aktivnosti grupe njihov prihod iznosio je 1 miliona dolara mjesečno. Stoga ne čudi što mnogi službenici za sigurnost informacija (CISO) navode ransomware kao jedan od svojih pet najvećih poslovnih rizika.
Operativni centar Acronis Cyber Protection (CPOC), koji se nalazi u Singapuru, potvrđuje porast sajber kriminala u području Ransomware-a. U drugoj polovini maja širom svijeta je blokirano 20% više ransomware-a nego inače. Nakon blagog pada, sada u junu ponovo bilježimo porast aktivnosti. A za to postoji nekoliko razloga.
Dođite do računara žrtve
Sigurnosne tehnologije se razvijaju, a napadači moraju donekle promijeniti svoju taktiku kako bi ušli u određeni sistem. Ciljani Ransomware napadi nastavljaju da se šire kroz dobro dizajnirane phishing emailove (uključujući društveni inženjering). Međutim, u posljednje vrijeme programeri zlonamjernog softvera posvećuju veliku pažnju udaljenim radnicima. Da biste ih napali, možete pronaći loše zaštićene usluge udaljenog pristupa, kao što su RDP, ili VPN serveri sa ranjivostima.
To je ono što oni rade. Postoje čak i usluge ransomware-as-a-service na darknetu koje pružaju sve što vam je potrebno za napad na odabranu organizaciju ili osobu.
Napadači traže bilo koji način da prodru u korporativnu mrežu i prošire svoj spektar napada. Stoga su pokušaji zaraze mreža pružatelja usluga postali popularan trend. Pošto usluge u oblaku danas tek postaju sve popularnije, infekcija popularnog servisa omogućava napad na desetine ili čak stotine žrtava istovremeno.
Ako su upravljanje sigurnošću zasnovano na webu ili konzole za sigurnosne kopije ugrožene, napadači mogu onemogućiti zaštitu, izbrisati sigurnosne kopije i dozvoliti da se njihov zlonamjerni softver širi po cijeloj organizaciji. Usput, zbog toga stručnjaci preporučuju pažljivu zaštitu svih uslužnih računa korištenjem višefaktorske autentifikacije. Na primjer, sve Acronis usluge u oblaku omogućavaju vam da instalirate dvostruku zaštitu, jer ako je vaša lozinka ugrožena, napadači mogu poništiti sve prednosti korištenja sveobuhvatnog sistema sajber zaštite.
Proširivanje spektra napada
Kada je željeni cilj postignut, a zlonamjerni softver je već unutar korporativne mreže, obično se koriste sasvim standardne taktike za dalje širenje. Napadači proučavaju situaciju i nastoje prevladati barijere koje su stvorene unutar kompanije kako bi se suprotstavili prijetnjama. Ovaj dio napada može se odvijati ručno (uostalom, ako su već upali u mrežu, onda je mamac na udici!). Za to se koriste dobro poznati alati, kao što su PowerShell, WMI PsExec, kao i noviji Cobalt Strike emulator i drugi uslužni programi. Neke kriminalne grupe posebno ciljaju na menadžere lozinki kako bi prodrle dublje u korporativnu mrežu. A zlonamjerni softver kao što je Ragnar nedavno je viđen u potpuno zatvorenoj slici virtualne mašine VirtualBox, koja pomaže da se sakrije prisustvo stranog softvera na mašini.
Stoga, kada zlonamjerni softver uđe u korporativnu mrežu, pokušava provjeriti nivo pristupa korisnika i koristiti ukradene lozinke. Komunalne usluge kao što su Mimikatz i Bloodhound & Co. pomozite hakirati naloge administratora domena. I tek kada napadač smatra da su opcije distribucije iscrpljene, ransomware se preuzima direktno na klijentske sisteme.
Ransomware kao maska
S obzirom na ozbiljnost opasnosti od gubitka podataka, svake godine sve više kompanija implementira takozvani „plan oporavka od katastrofe“. Zahvaljujući tome, ne moraju previše brinuti o šifriranim podacima, a u slučaju Ransomware napada, ne počinju prikupljati otkupninu, već pokreću proces oporavka. Ali ni napadači ne spavaju. Pod maskom Ransomware-a dolazi do masovne krađe podataka. Maze je prvi masovno koristio takvu taktiku još 2019. godine, iako su druge grupe povremeno kombinirale napade. Sada se barem Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO i Sekhmet bave krađom podataka paralelno sa šifriranjem.
Ponekad napadači uspiju izvući desetine terabajta podataka iz kompanije, koji su mogli biti otkriveni alatima za praćenje mreže (da su bili instalirani i konfigurisani). Uostalom, najčešće se prijenos podataka događa jednostavno korištenjem FTP, Putty, WinSCP ili PowerShell skripti. Da bi se prevazišli DLP i sistemi za praćenje mreže, podaci se mogu šifrovati ili poslati kao arhiva zaštićena lozinkom, što je novi izazov za bezbednosne timove koji treba da provere odlazni saobraćaj za takve datoteke.
Proučavanje ponašanja infokradova pokazuje da napadači ne prikupljaju sve – zanimaju ih samo finansijski izvještaji, baze podataka klijenata, lični podaci zaposlenih i klijenata, ugovori, evidencije i pravni dokumenti. Zlonamjerni softver skenira diskove u potrazi za informacijama koje bi se teoretski mogle koristiti za ucjenu.
Ako je takav napad uspješan, napadači obično objavljuju mali teaser, pokazujući nekoliko dokumenata koji potvrđuju da su podaci procurili iz organizacije. A neke grupe objavljuju cijeli skup podataka na svojoj web stranici ako je vrijeme za plaćanje otkupnine već isteklo. Kako bi se izbjegla blokada i osigurala široka pokrivenost, podaci se također objavljuju na TOR mreži.
Drugi način monetizacije je prodaja podataka. Na primjer, Sodinokibi je nedavno najavio otvorene aukcije na kojima podaci idu najvišoj ponudi. Početna cijena za takve trgovine je $50-100K u zavisnosti od kvaliteta i sadržaja podataka. Na primjer, set od 10 novčanih tokova, povjerljivih poslovnih podataka i skeniranih vozačkih dozvola prodat je za samo 000 dolara, a za 100 dolara moglo se kupiti više od 000 finansijskih dokumenata plus tri baze podataka računovodstvenih datoteka i podataka o klijentima.
Lokacije na kojima se objavljuju curenja uvelike variraju. Ovo može biti jednostavna stranica na kojoj se sve ukradeno jednostavno objavljuje, ali postoje i složenije strukture sa sekcijama i mogućnošću kupovine. Ali glavna stvar je da svi služe istoj svrsi - da povećaju šanse da napadači dobiju pravi novac. Ukoliko ovaj poslovni model pokaže dobre rezultate za napadače, nema sumnje da će sličnih sajtova biti još više, a tehnike krađe i monetizacije korporativnih podataka će biti dodatno proširene.
Ovako izgledaju trenutne stranice koje objavljuju curenje podataka:
Šta učiniti sa novim napadima
Glavni izazov za sigurnosne timove u ovim uslovima je to što se u posljednje vrijeme sve više incidenata povezanih s Ransomware-om ispostavlja samo kao odvraćanje pažnje od krađe podataka. Napadači se više ne oslanjaju samo na šifriranje servera. Naprotiv, glavni cilj je organizirati curenje dok se borite protiv ransomware-a.
Stoga, samo korištenje rezervnog sistema, čak i uz dobar plan oporavka, nije dovoljno da se suprotstavi višeslojnim prijetnjama. Ne, naravno, ne možete bez rezervnih kopija, jer će napadači svakako pokušati nešto šifrirati i tražiti otkupninu. Radi se o tome da sada svaki napad korištenjem Ransomwarea treba smatrati razlogom za sveobuhvatnu analizu prometa i pokretanje istrage o mogućem napadu. Također biste trebali razmisliti o dodatnim sigurnosnim funkcijama koje bi mogle:
- Brzo otkrijte napade i analizirajte neobičnu mrežnu aktivnost koristeći AI
- Trenutačno oporavite sisteme od Ransomware napada nultog dana kako biste mogli pratiti mrežnu aktivnost
- Blokirajte širenje klasičnog zlonamjernog softvera i novih vrsta napada na korporativnu mrežu
- Analizirajte softver i sisteme (uključujući daljinski pristup) za trenutne ranjivosti i eksploatacije
- Spriječite prijenos neidentifikovanih informacija izvan korporativnog perimetra
Samo registrovani korisnici mogu učestvovati u anketi. molim.
Jeste li ikada analizirali pozadinske aktivnosti tokom Ransomware napada?
-
20,0%Da1
-
80,0%No4
Glasalo je 5 korisnika. 2 korisnika je bila uzdržana.
izvor: www.habr.com