Les filtracions de dades són un problema per als serveis de seguretat. I ara que la majoria de gent treballa des de casa, el perill de fuites és molt més gran. És per això que els grups cibercriminals coneguts estan prestant més atenció als protocols d'accés remot obsolets i poc segurs. I, curiosament, més i més filtracions de dades avui estan associades amb Ransomware. Com, per què i de quina manera: llegiu sota el tall.
Comencem pel fet que el desenvolupament i la distribució de ransomware és un negoci criminal molt rendible en si mateix. Per exemple, segons l'FBI nord-americà, durant l'últim any, va guanyar aproximadament un milió de dòlars al mes. I els atacants que van utilitzar Ryuk van rebre encara més: al començament de les activitats del grup, els seus ingressos van ascendir a 1 milions de dòlars al mes. Per tant, no és d'estranyar que molts responsables de seguretat de la informació (CISO) enumeren el ransomware com un dels cinc principals riscos empresarials.
L'Acronis Cyber Protection Operation Center (CPOC), situat a Singapur, confirma un augment de la ciberdelinqüència a l'àrea de Ransomware. A la segona quinzena de maig, es va bloquejar un 20% més de ransomware a tot el món del que és habitual. Després d'un lleuger descens, ara al juny tornem a veure un augment de l'activitat. I hi ha diverses raons per a això.
Entra a l'ordinador de la víctima
Les tecnologies de seguretat estan evolucionant i els atacants han de canviar una mica les seves tàctiques per entrar en un sistema específic. Els atacs de ransomware dirigits continuen estenent-se a través de correus electrònics de pesca ben dissenyats (inclosa l'enginyeria social). Tanmateix, últimament, els desenvolupadors de programari maliciós han prestat molta atenció als treballadors remots. Per atacar-los, podeu trobar serveis d'accés remot mal protegits, com ara servidors RDP o VPN amb vulnerabilitats.
Això és el que fan. Fins i tot hi ha serveis de ransomware com a servei a la xarxa fosca que ofereixen tot el que necessiteu per atacar una organització o persona escollida.
Els atacants busquen qualsevol manera de penetrar en una xarxa corporativa i ampliar el seu espectre d'atac. Així, els intents d'infectar les xarxes de proveïdors de serveis s'han convertit en una tendència popular. Com que els serveis al núvol estan guanyant popularitat avui dia, la infecció d'un servei popular permet atacar desenes o fins i tot centenars de víctimes alhora.
Si la gestió de seguretat basada en web o les consoles de còpia de seguretat es veuen compromeses, els atacants poden desactivar la protecció, suprimir còpies de seguretat i permetre que el seu programari maliciós s'estengui per tota l'organització. Per cert, per això els experts recomanen protegir acuradament tots els comptes de servei mitjançant l'autenticació multifactor. Per exemple, tots els serveis al núvol d'Acronis us permeten instal·lar una protecció doble, ja que si la vostra contrasenya està compromesa, els atacants poden negar tots els avantatges d'utilitzar un sistema de protecció cibernètica integral.
Ampliant l'espectre d'atac
Quan s'aconsegueix l'objectiu estimat i el programari maliciós ja es troba dins de la xarxa corporativa, s'acostumen a utilitzar tàctiques bastant estàndard per a una major difusió. Els atacants estudien la situació i s'esforcen per superar les barreres que s'han creat dins l'empresa per contrarestar les amenaces. Aquesta part de l'atac pot tenir lloc manualment (al cap i a la fi, si ja han caigut a la xarxa, l'esquer està a l'ham!). Per a això, s'utilitzen eines conegudes, com ara PowerShell, WMI PsExec, així com el nou emulador Cobalt Strike i altres utilitats. Alguns grups criminals es dirigeixen específicament als gestors de contrasenyes per penetrar més en una xarxa corporativa. I el programari maliciós com Ragnar es va veure recentment en una imatge completament tancada de la màquina virtual VirtualBox, que ajuda a ocultar la presència de programari estranger a la màquina.
Així, un cop el programari maliciós entra a la xarxa corporativa, intenta comprovar el nivell d'accés de l'usuari i utilitzar contrasenyes robades. Utilitats com Mimikatz i Bloodhound & Co. ajuda a piratejar comptes d'administrador de dominis. I només quan l'atacant considera que les opcions de distribució s'han esgotat, el ransomware es baixa directament als sistemes del client.
Ransomware com a coberta
Atesa la gravetat de l'amenaça de pèrdua de dades, cada any més empreses implementen l'anomenat "Pla de recuperació de desastres". Gràcies a això, no s'han de preocupar massa per les dades xifrades i, en cas d'atac de Ransomware, no comencen a recollir el rescat, sinó que inicien el procés de recuperació. Però els atacants tampoc dormen. Sota l'aparença de Ransomware, es produeix un robatori massiu de dades. Maze va ser el primer a utilitzar aquestes tàctiques en massa el 2019, tot i que altres grups van combinar atacs periòdicament. Ara, almenys Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO i Sekhmet es dediquen al robatori de dades en paral·lel amb el xifratge.
De vegades, els atacants aconsegueixen desviar desenes de terabytes de dades d'una empresa, que podrien haver estat detectades per eines de monitorització de xarxa (si s'haguessin instal·lat i configurat). Al cap i a la fi, la majoria de les vegades la transferència de dades es produeix simplement mitjançant scripts FTP, Putty, WinSCP o PowerShell. Per superar els sistemes de monitorització de xarxes i DLP, les dades es poden xifrar o enviar com a arxiu protegit amb contrasenya, un nou repte per als equips de seguretat que necessiten comprovar el trànsit de sortida d'aquests fitxers.
L'estudi del comportament dels robatoris d'informació mostra que els atacants no recullen tot: només els interessen informes financers, bases de dades de clients, dades personals d'empleats i clients, contractes, registres i documents legals. El programari maliciós escaneja les unitats a la recerca de qualsevol informació que teòricament es podria utilitzar per fer xantatge.
Si aquest atac té èxit, els atacants solen publicar un petit teaser, que mostra diversos documents que confirmen que les dades s'han filtrat de l'organització. I alguns grups publiquen tot el conjunt de dades al seu lloc web si el temps per pagar el rescat ja ha expirat. Per evitar bloquejos i garantir una àmplia cobertura, les dades també es publiquen a la xarxa TOR.
Una altra manera de monetitzar és venent dades. Per exemple, Sodinokibi va anunciar recentment subhastes obertes en què les dades van al millor postor. El preu inicial d'aquestes operacions és de $ 50-100K depenent de la qualitat i el contingut de les dades. Per exemple, un conjunt de 10 registres de fluxos d'efectiu, dades comercials confidencials i llicències de conduir escanejades es van vendre per només 000 dòlars, i per 100 dòlars es podria comprar més de 000 documents financers més tres bases de dades de fitxers comptables i dades de clients.
Els llocs on es publiquen les filtracions varien molt. Pot tractar-se d'una pàgina senzilla on simplement es penja tot el robat, però també hi ha estructures més complexes amb apartats i possibilitat de compra. Però el més important és que tots tenen el mateix propòsit: augmentar les possibilitats que els atacants obtinguin diners reals. Si aquest model de negoci mostra bons resultats per als atacants, no hi ha dubte que encara hi haurà més llocs semblants, i les tècniques per robar i monetitzar dades corporatives s'ampliaran encara més.
Així són els llocs actuals que publiquen filtracions de dades:
Què fer amb els nous atacs
El principal repte per als equips de seguretat en aquestes condicions és que recentment, cada cop més incidents relacionats amb Ransomware resulten ser simplement una distracció del robatori de dades. Els atacants ja no depenen només del xifratge del servidor. Al contrari, l'objectiu principal és organitzar una filtració mentre estàs lluitant contra el ransomware.
Per tant, utilitzar només un sistema de còpia de seguretat, fins i tot amb un bon pla de recuperació, no és suficient per contrarestar les amenaces de diverses capes. No, per descomptat, tampoc podeu prescindir de còpies de seguretat, perquè els atacants definitivament intentaran xifrar alguna cosa i demanaran un rescat. La qüestió és més aviat que ara cada atac amb Ransomware s'ha de considerar com un motiu per a una anàlisi exhaustiva del trànsit i per iniciar una investigació sobre un possible atac. També hauríeu de pensar en funcions de seguretat addicionals que podrien:
- Detecteu atacs ràpidament i analitzeu l'activitat inusual de la xarxa mitjançant la IA
- Recupereu sistemes a l'instant d'atacs de ransomware de dia zero perquè pugueu controlar l'activitat de la xarxa
- Bloqueja la propagació de programari maliciós clàssic i nous tipus d'atac a la xarxa corporativa
- Analitzeu el programari i els sistemes (inclòs l'accés remot) per detectar vulnerabilitats i exploits actuals
- Evitar la transferència d'informació no identificada més enllà del perímetre corporatiu
Només els usuaris registrats poden participar en l'enquesta. si us plau.
Alguna vegada has analitzat l'activitat de fons durant un atac de ransomware?
-
20,0%Sí 1
-
80,0%No4
Han votat 5 usuaris. 2 usuaris es van abstenir.
Font: www.habr.com