Ang mga pagtulo sa datos usa ka sakit nga punto alang sa mga serbisyo sa seguridad. Ug karon nga kadaghanan sa mga tawo nagtrabaho gikan sa balay, ang kapeligrohan sa pagtulo mas dako. Mao kini ang hinungdan nga ang iladong mga grupo sa cybercriminal naghatag ug dugang nga pagtagad sa karaan ug dili igo nga luwas nga remote access protocols. Ug, makapainteres, nagkadaghan ang mga pagtulo sa datos karon nga nalangkit sa Ransomware. Giunsa, ngano ug sa unsang paagi - basaha ubos sa pagputol.
Magsugod kita sa kamatuoran nga ang pag-uswag ug pag-apod-apod sa ransomware usa ka mapuslanon nga negosyo nga kriminal sa iyang kaugalingon. Pananglitan, sumala sa American FBI, sa milabay nga tuig, mikita siya ug gibana-bana nga $1 milyon kada bulan. Ug ang mga tig-atake nga naggamit sa Ryuk nakadawat labi pa - sa pagsugod sa mga kalihokan sa grupo, ang ilang kita mikabat sa $ 3 milyon matag bulan. Mao nga dili ikatingala nga daghang mga punoan nga opisyal sa seguridad sa impormasyon (CISOs) ang naglista sa ransomware ingon usa sa ilang nanguna nga lima nga peligro sa negosyo.
Ang Acronis Cyber ββββProtection Operation Center (CPOC), nga nahimutang sa Singapore, nagpamatuod sa pagtaas sa cybercrime sa Ransomware area. Sa ikaduha nga katunga sa Mayo, 20% nga dugang nga ransomware ang gibabagan sa tibuuk kalibutan kaysa sa naandan. Pagkahuman sa usa ka gamay nga pagkunhod, karon sa Hunyo nakita namon ang pag-uswag sa kalihokan pag-usab. Ug adunay daghang mga hinungdan niini.
Adto sa computer sa biktima
Ang mga teknolohiya sa seguridad nag-uswag, ug ang mga tig-atake kinahanglan nga magbag-o sa ilang mga taktika aron makasulod sa usa ka piho nga sistema. Ang gipunting nga mga pag-atake sa Ransomware nagpadayon sa pagkaylap pinaagi sa maayong pagkadisenyo nga mga email sa phishing (lakip ang social engineering). Bisan pa, karong bag-o, ang mga nag-develop sa malware naghatag daghang pagtagad sa mga hilit nga trabahante. Aron atakehon sila, makit-an nimo ang dili maayo nga giprotektahan nga mga serbisyo sa layo nga pag-access, sama sa RDP, o mga server sa VPN nga adunay mga kahuyangan.
Mao kini ang ilang gibuhat. Adunay bisan mga ransomware-as-a-services sa darknet nga naghatag sa tanan nga imong gikinahanglan sa pag-atake sa usa ka pinili nga organisasyon o tawo.
Nangita ang mga tig-atake sa bisan unsang paagi aron makasulod sa usa ka network sa korporasyon ug mapalapad ang ilang spectrum sa pag-atake. Busa, ang mga pagsulay sa pag-impeksyon sa mga network sa mga service provider nahimong popular nga uso. Tungod kay ang mga serbisyo sa panganod bag-o lang nagkapopular karon, ang impeksyon sa usa ka sikat nga serbisyo nagpaposible sa pag-atake sa mga dosena o bisan sa gatusan nga mga biktima sa usa ka higayon.
Kung ang pagdumala sa seguridad nga nakabase sa web o mga backup nga console makompromiso, ang mga tig-atake mahimong mag-disable sa proteksyon, magtangtang sa mga backup, ug tugutan ang ilang malware nga mokaylap sa tibuuk nga organisasyon. Pinaagi sa dalan, kini ang hinungdan ngano nga girekomenda sa mga eksperto nga maampingon nga panalipdan ang tanan nga mga account sa serbisyo gamit ang multi-factor authentication. Pananglitan, ang tanan nga serbisyo sa cloud sa Acronis nagtugot kanimo sa pag-instalar sa doble nga proteksyon, tungod kay kung ang imong password makompromiso, ang mga tig-atake mahimong isalikway ang tanan nga mga benepisyo sa paggamit sa usa ka komprehensibo nga sistema sa pagpanalipod sa cyber.
Pagpalapad sa spectrum sa pag-atake
Kung ang gipangandoy nga katuyoan makab-ot, ug ang malware naa na sa sulod sa corporate network, kasagaran nga mga taktika nga sagad gigamit alang sa dugang nga pagkaylap. Gitun-an sa mga tig-atake ang sitwasyon ug naningkamot nga mabuntog ang mga babag nga nahimo sulod sa kompanya aron masumpo ang mga hulga. Kini nga bahin sa pag-atake mahimong mahitabo sa mano-mano (pagkahuman, kung nahulog na sila sa pukot, nan ang paon naa sa kaw-it!). Alang niini, gigamit ang iladong mga himan, sama sa PowerShell, WMI PsExec, ingon man ang mas bag-ong Cobalt Strike emulator ug uban pang mga utilities. Ang pipila ka mga kriminal nga grupo espesipikong nagpunting sa mga tagdumala sa password aron makasulod sa mas lawom nga network sa usa ka corporate network. Ug ang malware sama sa Ragnar bag-o lang nakita sa usa ka hingpit nga sirado nga imahe sa VirtualBox virtual machine, nga makatabang sa pagtago sa presensya sa langyaw nga software sa makina.
Busa, sa higayon nga ang malware mosulod sa corporate network, kini mosulay sa pagsusi sa lebel sa pag-access sa user ug sa paggamit sa gikawat nga mga password. Ang mga gamit sama sa Mimikatz ug Bloodhound & Co. tabangi hack domain administrator accounts. Ug kung gikonsiderar sa tig-atake nga nahurot na ang mga kapilian sa pag-apod-apod, ang ransomware direktang gi-download sa mga sistema sa kliyente.
Ransomware isip usa ka tabon
Tungod sa kaseryoso sa hulga sa pagkawala sa datos, matag tuig nagkadaghan ang mga kompanya nga nagpatuman sa gitawag nga "Disaster recovery plan". Salamat niini, dili sila kinahanglan nga mabalaka pag-ayo bahin sa na-encrypt nga datos, ug kung adunay pag-atake sa Ransomware, wala sila magsugod sa pagkolekta sa lukat, apan sugdan ang proseso sa pagbawi. Apan ang mga tig-atake dili usab matulog. Ubos sa pagtakuban sa Ransomware, nahitabo ang daghang pagpangawat sa datos. Ang Maze ang una nga migamit sa ingon nga mga taktika sa kadaghanan kaniadtong 2019, bisan kung ang ubang mga grupo kanunay nga naghiusa sa mga pag-atake. Karon, labing menos Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO ug Sekhmet nakigbahin sa pagpangawat sa datos nga susama sa pag-encrypt.
Usahay ang mga tig-atake makahimo sa pag-siphon sa napulo ka terabytes nga datos gikan sa usa ka kompanya, nga mahimo unta nga makit-an sa mga himan sa pag-monitor sa network (kung kini na-install ug gi-configure). Human sa tanan, kasagaran ang pagbalhin sa data mahitabo lamang gamit ang FTP, Putty, WinSCP o PowerShell scripts. Aron mabuntog ang DLP ug mga sistema sa pag-monitor sa network, ang mga datos mahimong ma-encrypt o ipadala isip archive nga giprotektahan sa password, usa ka bag-ong hagit alang sa mga security team nga kinahanglan nga susihon ang paggawas nga trapiko alang sa maong mga file.
Ang pagtuon sa kinaiya sa mga infostealers nagpakita nga ang mga tig-atake dili mangolekta sa tanan - sila interesado lamang sa pinansyal nga mga taho, mga database sa kliyente, personal nga datos sa mga empleyado ug kliyente, mga kontrata, mga rekord, ug legal nga mga dokumento. Ang malware nag-scan sa mga drive alang sa bisan unsang impormasyon nga mahimong magamit sa teoriya alang sa blackmail.
Kung malampuson ang ingon nga pag-atake, ang mga tig-atake kasagarang mag-publish ug gamay nga teaser, nga nagpakita sa daghang mga dokumento nga nagpamatuod nga ang data na-leak gikan sa organisasyon. Ug ang pipila ka mga grupo nagpatik sa tibuuk nga set sa datos sa ilang website kung ang oras sa pagbayad sa lukat natapos na. Aron malikayan ang pagbabag ug pagsiguro sa halapad nga coverage, ang datos gipatik usab sa TOR network.
Ang laing paagi sa pag-monetize mao ang pagbaligya sa datos. Pananglitan, bag-o lang gipahibalo sa Sodinokibi ang bukas nga mga subasta diin ang datos moadto sa labing taas nga bidder. Ang pagsugod nga presyo alang sa ingon nga mga patigayon mao ang $ 50-100K depende sa kalidad ug sulud sa datos. Pananglitan, ang usa ka set sa 10 nga cash flow nga mga rekord, kompidensyal nga datos sa negosyo ug gi-scan nga mga lisensya sa pagmaneho gibaligya sa labing gamay nga $ 000. Ug alang sa $ 100 ang usa makapalit ug labaw sa 000 nga mga dokumento sa panalapi ug tulo ka database sa mga file sa accounting ug data sa kustomer.
Ang mga site diin gipatik ang mga pagtulo magkalainlain. Mahimo kini nga usa ka yano nga panid diin ang tanan nga gikawat gi-post ra, apan adunay usab mas komplikado nga mga istruktura nga adunay mga seksyon ug ang posibilidad sa pagpalit. Apan ang nag-unang butang mao nga silang tanan nagsilbi sa parehas nga katuyoan - aron madugangan ang kahigayonan sa mga tig-atake nga makakuha og tinuod nga salapi. Kung kini nga modelo sa negosyo nagpakita og maayong mga resulta alang sa mga tig-atake, walay duhaduha nga adunay mas susama nga mga site, ug ang mga teknik sa pagpangawat ug pag-monetize sa datos sa korporasyon mapalapad pa.
Mao kini ang hitsura sa karon nga mga site nga nagpatik sa mga pagtulo sa datos:
Unsa ang buhaton sa bag-ong mga pag-atake
Ang panguna nga hagit alang sa mga tim sa seguridad sa kini nga mga kondisyon mao nga bag-ohay lang nagkadaghan ang mga insidente nga may kalabutan sa Ransomware nahimo nga usa ka pagkalinga lamang gikan sa pagpangawat sa datos. Ang mga tig-atake wala na nagsalig lamang sa pag-encrypt sa server. Sa kasukwahi, ang panguna nga katuyoan mao ang pag-organisar sa usa ka pagtulo samtang nakig-away ka sa ransomware.
Sa ingon, ang paggamit sa usa ka backup nga sistema nga nag-inusara, bisan sa usa ka maayo nga plano sa pagbawi, dili igo aron makontra ang daghang mga hulga. Dili, siyempre, dili nimo mahimo nga walaβy backup nga mga kopya usab, tungod kay ang mga tig-atake siguradong mosulay sa pag-encrypt sa usa ka butang ug mangayo alang sa usa ka lukat. Ang punto mao nga karon ang matag pag-atake gamit ang Ransomware kinahanglan nga isipon nga hinungdan sa usa ka komprehensibo nga pag-analisar sa trapiko ug paglansad sa usa ka imbestigasyon sa usa ka posible nga pag-atake. Kinahanglan usab nimong hunahunaon ang dugang nga mga bahin sa seguridad nga mahimo:
- Dali nga makit-an ang mga pag-atake ug analisa ang dili kasagaran nga kalihokan sa network gamit ang AI
- Pagbawi dayon sa mga sistema gikan sa zero-day nga pag-atake sa Ransomware aron mamonitor nimo ang kalihokan sa network
- I-block ang pagkaylap sa klasiko nga malware ug bag-ong mga matang sa pag-atake sa corporate network
- Analisaha ang software ug mga sistema (lakip ang hilit nga pag-access) alang sa kasamtangan nga mga kahuyangan ug mga pagpahimulos
- Paglikay sa pagbalhin sa wala mailhi nga impormasyon lapas sa corporate perimeter
Ang mga rehistradong tiggamit lamang ang makaapil sa survey. , walay sapayan.
Naka-analisar na ba nimo ang kalihokan sa background sa panahon sa pag-atake sa Ransomware?
-
20,0%Oo1
-
80,0%Dili4
5 ka tiggamit ang miboto. 2 ka tiggamit ang nag- abstain.
Source: www.habr.com