E fughe di dati sò un puntu dulore per i servizii di sicurità. È avà chì a maiò parte di a ghjente travaglia da casa, u periculu di fughe hè assai più grande. Hè per quessa chì i gruppi cibercriminali ben cunnisciuti prestanu una più attenzione à i protokolli d'accessu remoti obsoleti è insufficienti sicuri. È, curiosamente, più è più fughe di dati oghje sò assuciati cù Ransomware. Cumu, perchè è in quale modu - leghje sottu u cut.
Cuminciamu cù u fattu chì u sviluppu è a distribuzione di ransomware hè una attività criminale assai prufittuosa in sè stessu. Per esempiu, sicondu u FBI americanu, annantu à l'annu passatu, hà guadagnatu circa $ 1 milione per mese. È l'attaccanti chì anu utilizatu Ryuk anu ricivutu ancu di più - à u principiu di l'attività di u gruppu, i so ingaghjati ammontavanu à $ 3 milioni per mese. Dunque, ùn hè micca surprisa chì parechji capi di sicurezza di l'infurmazioni (CISO) listanu ransomware cum'è unu di i so primi cinque risichi cummerciale.
U Acronis Cyber Protection Operation Center (CPOC), situatu in Singapore, cunfirma un aumentu di a cibercriminalità in l'area Ransomware. In a seconda mità di maghju, u 20% di più ransomware hè statu bluccatu in u mondu sanu chè u solitu. Dopu una ligera calata, avà in ghjugnu avemu vistu un aumentu di l'attività di novu. È ci sò parechje ragioni per questu.
Entra in l'urdinatore di a vittima
I tecnulugii di sicurezza sò in evoluzione, è l'attaccanti anu da cambià un pocu a so tattica per entre in un sistema specificu. L'attacchi di ransomware mirati cuntinueghjanu à sparghje per mezu di e-mail di phishing ben cuncepiti (cumpresa l'ingegneria suciale). Tuttavia, ultimamente, i sviluppatori di malware anu prestatu assai attenzione à i travagliadori remoti. Per attaccà à elli, pudete truvà servizii d'accessu remoti pocu prutetti, cum'è RDP, o servitori VPN cù vulnerabilità.
Questu hè ciò chì facenu. Ci sò ancu ransomware-as-a-services in u darknet chì furnisce tuttu ciò chì avete bisognu per attaccà una urganizazione o una persona scelta.
L'attaccanti cercanu ogni modu per penetrà in una reta corporativa è espansione u so spettru di attaccu. Cusì, i tentativi di infettà e rete di fornituri di servizii sò diventati una tendenza populari. Siccomu i servizii di nuvola sò appena guadagnatu pupularità oghje, l'infezzione di un serviziu populari permette di attaccà decine o ancu centinaie di vittimi à u mumentu.
Se a gestione di sicurezza basata in u web o cunsole di salvezza sò cumprumessi, l'attaccanti ponu disattivà a prutezzione, sguassate backups, è permettenu chì u so malware si sparghje in tutta l'urganizazione. A propositu, hè per quessa chì l'esperti ricumandenu di prutezzione di tutti i cunti di serviziu cù l'autentificazione multifattore. Per esempiu, tutti i servizii di nuvola Acronis permettenu di installà una doppia prutezzione, perchè se a vostra password hè cumprumessa, l'attaccanti ponu negà tutti i benefici di l'usu di un sistema di prutezzione cibernetica cumpletu.
Espansione di u spettru di attaccu
Quandu l'obiettivu apprezzatu hè rializatu, è u malware hè digià in a reta corporativa, tattiche abbastanza standard sò generalmente aduprate per più distribuzione. L'attaccanti studianu a situazione è si sforzanu di superà e barriere chì sò state create in a cumpagnia per contru à e minacce. Questa parte di l'attaccu pò esse realizatu manualmente (dopu à tuttu, si sò digià cascatu in a reta, allura l'esca hè nantu à u ganciu!). Per questu, strumenti ben cunnisciuti sò usati, cum'è PowerShell, WMI PsExec, è ancu u novu emulatore Cobalt Strike è altre utilità. Certi gruppi criminali miranu specificamente i gestori di password per penetrà più in una reta corporativa. E malware, cum'è Ragnar, hè statu vistu pocu tempu in una maghjina cumplettamente chjusa di a macchina virtuale VirtualBox, chì aiuta à ammuccià a presenza di software stranieru nantu à a macchina.
Cusì, una volta chì u malware entra in a reta corporativa, prova di verificà u nivellu d'accessu di l'utilizatori è utilizate password arrubati. Utilità cum'è Mimikatz è Bloodhound & Co. aiuta à pirate i cunti di l'amministratore di u duminiu. È solu quandu l'attaccante cunsidereghja l'opzioni di distribuzione esaurite, u ransomware hè scaricatu direttamente à i sistemi di u cliente.
Ransomware cum'è una copertura
Data a gravità di a minaccia di perdita di dati, ogni annu più è più cumpagnie implementanu u cusì chjamatu "Piano di ricuperazione di disastru". Grazie à questu, ùn anu micca da preoccupassi troppu di i dati criptati, è in casu di un attaccu di Ransomware, ùn cumincianu micca à cullà u riscattu, ma cumincianu u prucessu di ricuperazione. Ma l'attaccanti ùn dormenu mancu. Sottu a scusa di Ransomware, un furtu massivu di dati si trova. Maze hè statu u primu à aduprà tali tattiche in massa in u 2019, anche se altri gruppi anu cumminatu periodicamente attacchi. Avà, almenu Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO è Sekhmet sò impegnati in u furtu di dati in parallelu cù a criptografia.
A volte l'attaccanti riescenu à sifone decine di terabytes di dati da una cumpagnia, chì puderia esse rilevatu da l'arnesi di monitorizazione di a rete (se sò stati installati è cunfigurati). Dopu tuttu, u più spessu u trasferimentu di dati si faci solu cù script FTP, Putty, WinSCP o PowerShell. Per superà i DLP è i sistemi di monitoraghju di a rete, i dati ponu esse criptati o mandati cum'è un archiviu prutettu da password, una nova sfida per i squadre di sicurità chì anu bisognu di verificà u trafficu in uscita per tali schedari.
Studià u cumpurtamentu di l'infostealers mostra chì l'attaccanti ùn recullanu micca tuttu - sò solu interessate in rapporti finanziarii, basa di dati di i clienti, dati persunali di l'impiegati è i clienti, cuntratti, registri è documenti legali. U malware scans drives per ogni infurmazione chì puderia esse teoricamente utilizata per u ricattamentu.
Se un tali attaccu hè successu, l'attaccanti di solitu publicanu un picculu teaser, chì mostra parechji documenti chì cunfirmanu chì e dati sò filtrati da l'urganizazione. È certi gruppi publicanu tuttu u settore di dati in u so situ web se u tempu per pagà u riscattu hè digià scadutu. Per evitari di bluccà è assicurà una larga cobertura, i dati sò ancu publicati nantu à a reta TOR.
Un altru modu di monetizà hè di vende dati. Per esempiu, Sodinokibi hà annunziatu recentemente l'asta aperta in quale i dati vanu à u più altu offerente. U prezzu di partenza per tali cummerciu hè $ 50-100K secondu a qualità è u cuntenutu di e dati. Per esempiu, un settore di 10 000 registri di flussu di cassa, dati di cummerciale cunfidenziale è licenze di guida scansate sò venduti per pocu di $ 100 000. È per $ 50 000 puderia cumprà più di 20 000 documenti finanziarii più trè basa di dati di schedarii di cuntabilità è dati di i clienti.
I siti induve e fughe sò publicati varianu assai. Questa pò esse una pagina simplice nantu à quale tuttu ciò chì arrubbatu hè simpliciamente publicatu, ma ci sò ancu strutture più cumplesse cù rùbbriche è a pussibilità di compra. Ma a cosa principal hè chì tutti servenu u stessu scopu - per aumentà e probabilità di l'attaccanti uttene soldi veri. Se stu mudellu di cummerciale mostra boni risultati per l'attaccanti, ùn ci hè dubbitu chì ci saranu ancu più siti simili, è e tecniche per arrubà è monetizà e dati corporativi seranu più allargate.
Eccu ciò chì i siti attuali chì publicanu fughe di dati sò cum'è:
Cosa da fà cù novi attacchi
A sfida principale per i squadre di sicurezza in questu ambiente hè chì recentemente più è più incidenti ligati à Ransomware sò solu una distrazione da u furtu di dati. L'attaccanti ùn si basanu più solu in a criptografia di u servitore. À u cuntrariu, u scopu principale hè d'urganizà una fuga mentre combatte ransomware.
Cusì, aduprendu un sistema di salvezza solu, ancu cù un bonu pianu di ricuperazione, ùn hè micca abbastanza per contru à e minacce multi-layered. Innò, sicuru, ùn pudete micca fà senza copie di salvezza, perchè l'attaccanti certamente pruvate à criptà qualcosa è dumandà un riscattu. U puntu hè piuttostu chì avà ogni attaccu cù Ransomware deve esse cunsideratu cum'è un mutivu per una analisi cumpleta di u trafficu è lancià una investigazione in un attaccu pussibule. Duvete ancu pensà à e funzioni di sicurezza supplementari chì puderanu:
- Detecta rapidamente attacchi è analizà l'attività di a rete inusual usendu AI
- Recupera istantaneamente i sistemi da attacchi di ransomware zero-day per pudè monitorà l'attività di a rete
- Bloccà a diffusione di malware classicu è novi tipi di attacchi nantu à a reta corporativa
- Analizà u software è i sistemi (cumpresu l'accessu remotu) per vulnerabili è sfruttamenti attuali
- Impedisce u trasferimentu di informazioni micca identificate fora di u perimetru corporativu
Solu l'utilizatori registrati ponu participà à l'indagine. , per piacè.
Avete mai analizatu l'attività di fondo durante un attaccu di Ransomware?
-
20,0%Iè 1
-
80,0%No 4
5 utilizatori anu vutatu. 2 utilizatori si sò astenuti.
Source: www.habr.com