Datenlecks sind ein wunder Punkt für Sicherheitsdienste. Und da die meisten Menschen jetzt von zu Hause aus arbeiten, ist die Gefahr von Datenlecks viel größer. Aus diesem Grund achten bekannte Cyberkriminalitätsgruppen zunehmend auf veraltete und nicht ausreichend sichere Fernzugriffsprotokolle. Und interessanterweise werden heutzutage immer mehr Datenlecks mit Ransomware in Verbindung gebracht. Wie, warum und auf welche Weise – lesen Sie unter dem Schnitt.
Beginnen wir mit der Tatsache, dass die Entwicklung und Verbreitung von Ransomware an sich ein sehr profitables kriminelles Geschäft ist. Nach Angaben des amerikanischen FBI beispielsweise Im vergangenen Jahr verdiente sie etwa 1 Million US-Dollar pro Monat. Und die Angreifer, die Ryuk nutzten, erhielten sogar noch mehr – zu Beginn der Aktivitäten der Gruppe beliefen sich ihre Einnahmen auf 3 Millionen US-Dollar pro Monat. Daher ist es keine Überraschung, dass viele Chief Information Security Officers (CISOs) Ransomware als eines ihrer fünf größten Geschäftsrisiken nennen.
Das in Singapur ansässige Acronis Cyber Protection Operation Center (CPOC) bestätigt einen Anstieg der Cyberkriminalität im Ransomware-Bereich. In der zweiten Maihälfte wurde weltweit 20 % mehr Ransomware blockiert als üblich. Nach einem leichten Rückgang sehen wir nun im Juni wieder einen Anstieg der Aktivität. Und dafür gibt es mehrere Gründe.
Gehen Sie auf den Computer des Opfers
Sicherheitstechnologien entwickeln sich weiter und Angreifer müssen ihre Taktiken etwas ändern, um in ein bestimmtes System einzudringen. Gezielte Ransomware-Angriffe verbreiten sich weiterhin über gut gestaltete Phishing-E-Mails (einschließlich Social Engineering). Allerdings widmen Malware-Entwickler in letzter Zeit den Remote-Mitarbeitern große Aufmerksamkeit. Um sie anzugreifen, können Sie schlecht geschützte Fernzugriffsdienste wie RDP oder VPN-Server mit Schwachstellen finden.
Das ist es, was sie tun. Es gibt sogar Ransomware-as-a-Services im Darknet, die alles bieten, was Sie zum Angriff auf eine ausgewählte Organisation oder Person benötigen.
Angreifer suchen nach Möglichkeiten, in ein Unternehmensnetzwerk einzudringen und ihr Angriffsspektrum zu erweitern. Daher sind Versuche, die Netzwerke von Dienstanbietern zu infizieren, zu einem beliebten Trend geworden. Da Cloud-Dienste heutzutage immer beliebter werden, ermöglicht die Infektion eines beliebten Dienstes den gleichzeitigen Angriff von Dutzenden oder sogar Hunderten von Opfern.
Wenn das webbasierte Sicherheitsmanagement oder Backup-Konsolen kompromittiert werden, können Angreifer den Schutz deaktivieren, Backups löschen und zulassen, dass sich ihre Malware im gesamten Unternehmen verbreitet. Aus diesem Grund empfehlen Experten übrigens, alle Dienstkonten sorgfältig durch eine Multi-Faktor-Authentifizierung zu schützen. Beispielsweise ermöglichen Ihnen alle Cloud-Dienste von Acronis die Installation eines doppelten Schutzes, denn wenn Ihr Passwort kompromittiert wird, können Angreifer alle Vorteile eines umfassenden Cyber-Schutzsystems zunichte machen.
Erweiterung des Angriffsspektrums
Wenn das liebgewonnene Ziel erreicht ist und sich die Schadsoftware bereits im Unternehmensnetzwerk befindet, werden für die weitere Verbreitung meist ganz normale Taktiken eingesetzt. Angreifer studieren die Situation und versuchen, die Barrieren zu überwinden, die innerhalb des Unternehmens zur Abwehr von Bedrohungen geschaffen wurden. Dieser Teil des Angriffs kann manuell erfolgen (wenn sie nämlich bereits ins Netz gefallen sind, ist der Köder am Haken!). Hierzu werden bekannte Tools wie PowerShell, WMI PsExec sowie der neuere Cobalt Strike-Emulator und andere Dienstprogramme verwendet. Einige kriminelle Gruppen zielen gezielt auf Passwort-Manager ab, um tiefer in ein Unternehmensnetzwerk einzudringen. Und Malware wie Ragnar wurde kürzlich in einem vollständig geschlossenen Image der virtuellen VirtualBox-Maschine gesehen, was dabei hilft, das Vorhandensein fremder Software auf der Maschine zu verbergen.
Sobald die Malware in das Unternehmensnetzwerk eindringt, versucht sie, die Zugriffsebene des Benutzers zu überprüfen und gestohlene Passwörter auszunutzen. Dienstprogramme wie Mimikatz und Bloodhound & Co. Helfen Sie dabei, Domänenadministratorkonten zu hacken. Und erst wenn der Angreifer die Verbreitungsmöglichkeiten für ausgeschöpft hält, wird die Ransomware direkt auf die Client-Systeme heruntergeladen.
Ransomware als Deckmantel
Angesichts der Ernsthaftigkeit der Gefahr eines Datenverlusts implementieren jedes Jahr immer mehr Unternehmen den sogenannten „Disaster Recovery Plan“. Dadurch müssen sie sich keine allzu großen Sorgen um die verschlüsselten Daten machen und beginnen im Falle eines Ransomware-Angriffs nicht mit der Eintreibung des Lösegelds, sondern mit dem Wiederherstellungsprozess. Aber auch die Angreifer schlafen nicht. Unter dem Deckmantel von Ransomware kommt es zu massivem Datendiebstahl. Maze war 2019 der erste, der solche Taktiken massenhaft einsetzte, obwohl andere Gruppen regelmäßig Angriffe kombinierten. Mittlerweile sind zumindest Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO und Sekhmet parallel zur Verschlüsselung an Datendiebstahl beteiligt.
Manchmal gelingt es Angreifern, Dutzende Terabyte an Daten von einem Unternehmen abzugreifen, die von Netzwerküberwachungstools hätten erkannt werden können (sofern diese installiert und konfiguriert worden wären). Schließlich erfolgt die Datenübertragung meist einfach über FTP-, Putty-, WinSCP- oder PowerShell-Skripte. Um DLP- und Netzwerküberwachungssysteme zu überwinden, können Daten verschlüsselt oder als passwortgeschütztes Archiv gesendet werden – eine neue Herausforderung für Sicherheitsteams, die den ausgehenden Datenverkehr auf solche Dateien überprüfen müssen.
Die Untersuchung des Verhaltens von Infostealern zeigt, dass Angreifer nicht alles sammeln – sie sind nur an Finanzberichten, Kundendatenbanken, persönlichen Daten von Mitarbeitern und Kunden, Verträgen, Aufzeichnungen und Rechtsdokumenten interessiert. Die Malware durchsucht Laufwerke nach Informationen, die theoretisch für Erpressungen genutzt werden könnten.
Wenn ein solcher Angriff erfolgreich ist, veröffentlichen die Angreifer normalerweise einen kleinen Teaser, in dem mehrere Dokumente gezeigt werden, die bestätigen, dass Daten aus der Organisation durchgesickert sind. Und einige Gruppen veröffentlichen den gesamten Datensatz auf ihrer Website, wenn die Frist für die Zahlung des Lösegelds bereits abgelaufen ist. Um Blockierungen zu vermeiden und eine breite Abdeckung zu gewährleisten, werden die Daten auch im TOR-Netzwerk veröffentlicht.
Eine weitere Möglichkeit zur Monetarisierung ist der Verkauf von Daten. Beispielsweise hat Sodinokibi kürzlich offene Auktionen angekündigt, bei denen die Daten an den Meistbietenden gehen. Der Startpreis für solche Trades liegt je nach Qualität und Inhalt der Daten zwischen 50 und 100 US-Dollar. Beispielsweise wurde ein Satz von 10 Cashflow-Aufzeichnungen, vertraulichen Geschäftsdaten und gescannten Führerscheinen für nur 000 US-Dollar verkauft. Und für 100 US-Dollar konnte man mehr als 000 Finanzdokumente sowie drei Datenbanken mit Buchhaltungsdateien und Kundendaten kaufen.
Die Seiten, auf denen Leaks veröffentlicht werden, sind sehr unterschiedlich. Das kann eine einfache Seite sein, auf der einfach alles Gestohlene gepostet wird, es gibt aber auch komplexere Strukturen mit Rubriken und der Möglichkeit zum Kauf. Aber die Hauptsache ist, dass sie alle dem gleichen Zweck dienen – die Chancen für Angreifer zu erhöhen, echtes Geld zu bekommen. Wenn dieses Geschäftsmodell für Angreifer gute Ergebnisse zeigt, besteht kein Zweifel daran, dass es noch mehr ähnliche Websites geben wird und Techniken zum Diebstahl und zur Monetarisierung von Unternehmensdaten weiter ausgebaut werden.
So sehen die aktuellen Seiten aus, die Datenlecks veröffentlichen:
Was tun bei neuen Angriffen?
Die größte Herausforderung für Sicherheitsteams besteht unter diesen Bedingungen darin, dass sich in letzter Zeit immer mehr Vorfälle im Zusammenhang mit Ransomware als bloße Ablenkung vom Datendiebstahl erweisen. Angreifer verlassen sich nicht mehr nur auf die Serververschlüsselung. Im Gegenteil, das Hauptziel besteht darin, ein Leck zu organisieren, während Sie Ransomware bekämpfen.
Daher reicht die alleinige Verwendung eines Backup-Systems selbst mit einem guten Wiederherstellungsplan nicht aus, um mehrschichtigen Bedrohungen entgegenzuwirken. Nein, auf Sicherheitskopien geht es natürlich auch nicht, denn Angreifer werden auf jeden Fall versuchen, etwas zu verschlüsseln und ein Lösegeld zu verlangen. Der Punkt ist vielmehr, dass jetzt jeder Angriff mit Ransomware als Anlass für eine umfassende Analyse des Datenverkehrs und die Einleitung einer Untersuchung eines möglichen Angriffs angesehen werden sollte. Sie sollten auch über zusätzliche Sicherheitsfunktionen nachdenken, die:
- Erkennen Sie mithilfe von KI schnell Angriffe und analysieren Sie ungewöhnliche Netzwerkaktivitäten
- Stellen Sie Systeme sofort nach Zero-Day-Ransomware-Angriffen wieder her, damit Sie die Netzwerkaktivität überwachen können
- Blockieren Sie die Ausbreitung klassischer Malware und neuartiger Angriffe auf das Unternehmensnetzwerk
- Analysieren Sie Software und Systeme (einschließlich Fernzugriff) auf aktuelle Schwachstellen und Exploits
- Verhindern Sie die Übertragung nicht identifizierter Informationen über die Unternehmensgrenzen hinaus
An der Umfrage können nur registrierte Benutzer teilnehmen. bitte.
Haben Sie schon einmal die Hintergrundaktivität während eines Ransomware-Angriffs analysiert?
-
20,0%Ja1
-
80,0%Nr. 4
5 Benutzer haben abgestimmt. 2 Benutzer enthielten sich der Stimme.
Source: habr.com