Andmelekked on turvateenuste jaoks valus punkt. Ja nüüd, mil enamik inimesi töötab kodus, on lekete oht palju suurem. Seetõttu pööravad tuntud küberkurjategijate rühmitused suuremat tähelepanu vananenud ja ebapiisavalt turvalistele kaugjuurdepääsu protokollidele. Ja huvitaval kombel seostatakse tänapäeval üha enam andmeleket Ransomware'iga. Kuidas, miks ja mil viisil – loe lõike alt.
Alustame sellest, et lunavara arendamine ja levitamine on iseenesest väga tulus kuritegelik äri. Näiteks Ameerika FBI andmetel viimase aasta jooksul teenis ta umbes miljon dollarit kuus. Ja Ryuki kasutanud ründajad said veelgi rohkem - grupi tegevuse alguses ulatus nende sissetulek 1 miljoni dollarini kuus. Seega pole üllatav, et paljud infoturbe juhid (CISO) loetlevad lunavara viie suurima äririski hulka.
Singapuris asuv Acronis Cyber Protection Operation Center (CPOC) kinnitab küberkuritegevuse kasvu Ransomware piirkonnas. Mai teises pooles blokeeriti maailmas tavapärasest 20% rohkem lunavara. Pärast kerget langust näeme nüüd juunis taas aktiivsuse tõusu. Ja sellel on mitu põhjust.
Minge ohvri arvutisse
Turvatehnoloogiad arenevad ja ründajad peavad konkreetsesse süsteemi pääsemiseks oma taktikat mõnevõrra muutma. Sihitud lunavararünnakud levivad jätkuvalt hästi läbimõeldud andmepüügimeilide kaudu (sealhulgas sotsiaalne manipuleerimine). Kuid viimasel ajal on pahavara arendajad pööranud palju tähelepanu kaugtöölistele. Nende ründamiseks võite leida nõrgalt kaitstud kaugjuurdepääsu teenuseid, nagu RDP või haavatavustega VPN-servereid.
Seda nad teevad. Darknetis on isegi lunavara-teenuseid, mis pakuvad kõike, mida vajate valitud organisatsiooni või inimese ründamiseks.
Ründajad otsivad mis tahes võimalust tungida ettevõtte võrku ja laiendada oma rünnakute spektrit. Seega on populaarseks trendiks muutunud katsed nakatada teenusepakkujate võrgustikke. Kuna pilveteenused on tänapäeval alles populaarsust kogumas, võimaldab populaarse teenuse nakatumine korraga rünnata kümneid või isegi sadu ohvreid.
Kui veebipõhine turbehaldus või varukonsoolid on ohus, saavad ründajad kaitse keelata, varukoopiaid kustutada ja lubada oma pahavaral kogu organisatsioonis levida. Muide, seepärast soovitavad eksperdid hoolikalt kaitsta kõiki teenusekontosid, kasutades mitmefaktorilist autentimist. Näiteks kõik Acronise pilveteenused võimaldavad teil paigaldada topeltkaitse, sest kui teie parool on ohus, võivad ründajad tühistada kõik tervikliku küberkaitsesüsteemi kasutamise eelised.
Rünnakuspektri laiendamine
Kui hinnaline eesmärk on saavutatud ja pahavara on juba ettevõtte võrgus sees, kasutatakse edasiseks levitamiseks tavaliselt üsna standardset taktikat. Ründajad uurivad olukorda ja püüavad ületada tõkked, mis on ettevõtte sees ohtude vastu võitlemiseks loodud. See rünnaku osa võib toimuda käsitsi (ju kui need on juba võrku kukkunud, siis on sööt konksu otsas!). Selleks kasutatakse tuntud tööriistu nagu PowerShell, WMI PsExec, aga ka uuemat Cobalt Strike emulaatorit ja muid utiliite. Mõned kuritegelikud rühmitused on spetsiaalselt suunatud paroolihalduritele, et tungida sügavamale ettevõtte võrku. Ja pahavara nagu Ragnar oli hiljuti näha virtuaalmasina VirtualBox täiesti suletud pildil, mis aitab varjata võõrtarkvara olemasolu masinas.
Seega, kui pahavara siseneb ettevõtte võrku, proovib see kontrollida kasutaja juurdepääsutaset ja kasutada varastatud paroole. Utiliidid nagu Mimikatz ja Bloodhound & Co. aidata häkkida domeeni administraatori kontosid. Ja alles siis, kui ründaja leiab, et levitamisvõimalused on ammendatud, laaditakse lunavara otse kliendisüsteemidesse alla.
Lunavara kattena
Arvestades andmete kadumise ohu tõsidust, rakendab iga aastaga üha rohkem ettevõtteid nn katastroofi taastamise plaani. Tänu sellele ei pea nad krüpteeritud andmete pärast liigselt muretsema ning Ransomware rünnaku korral ei hakka nad lunaraha koguma, vaid alustavad taastamisprotsessi. Kuid ka ründajad ei maga. Ransomware varjus toimub massiline andmevargus. Maze oli esimene, kes kasutas sellist taktikat massiliselt juba 2019. aastal, kuigi teised rühmad kombineerisid perioodiliselt rünnakuid. Nüüd tegelevad paralleelselt krüpteerimisega andmevargustega vähemalt Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO ja Sekhmet.
Mõnikord õnnestub ründajatel ettevõttelt välja võtta kümneid terabaite andmeid, mida oleks võinud tuvastada võrgu jälgimise tööriistad (kui need oleksid installitud ja konfigureeritud). Lõppude lõpuks toimub andmeedastus enamasti lihtsalt FTP, Putty, WinSCP või PowerShelli skriptide abil. DLP- ja võrguseiresüsteemide ületamiseks saab andmeid krüpteerida või saata parooliga kaitstud arhiivina, mis on uus väljakutse turvameeskondadele, kes peavad kontrollima selliste failide väljaminevat liiklust.
Infovarastajate käitumist uurides selgub, et ründajad ei kogu kõike – neid huvitavad ainult finantsaruanded, kliendiandmebaasid, töötajate ja klientide isikuandmed, lepingud, dokumendid ja juriidilised dokumendid. Pahavara otsib draividelt teavet, mida teoreetiliselt saaks kasutada väljapressimiseks.
Kui selline rünnak õnnestub, avaldavad ründajad tavaliselt väikese teaseri, kus näidatakse mitmeid dokumente, mis kinnitavad, et andmed on organisatsioonist lekkinud. Ja mõned rühmad avaldavad kogu andmestiku oma veebisaidil, kui lunaraha maksmise aeg on juba möödas. Blokeerimise vältimiseks ja laia leviala tagamiseks avaldatakse andmed ka TOR võrgus.
Teine võimalus raha teenimiseks on andmete müümine. Näiteks Sodinokibi kuulutas hiljuti välja avatud oksjonid, kus andmed lähevad kõrgeima pakkumise tegijale. Selliste tehingute alghind on sõltuvalt andmete kvaliteedist ja sisust 50-100 10 dollarit. Näiteks 000 100 rahavoogude kirjet, konfidentsiaalseid äriandmeid ja skannitud juhilube müüdi kõigest $ 000 50. Ja 000 20 dollari eest võis osta üle 000 XNUMX finantsdokumendi pluss kolm andmebaasi raamatupidamisfailide ja kliendiandmetega.
Saidid, kus lekkeid avaldatakse, on väga erinevad. See võib olla lihtne leht, kuhu kõik varastatu lihtsalt üles riputatakse, kuid on ka keerulisemaid struktuure koos sektsioonide ja ostuvõimalusega. Kuid peamine on see, et need kõik täidavad sama eesmärki – suurendada võimalusi, et ründajad saavad pärisraha. Kui see ärimudel näitab ründajate jaoks häid tulemusi, pole kahtlustki, et sarnaseid saite tuleb veelgi juurde ning ettevõtte andmete varastamise ja monetiseerimise tehnikaid laiendatakse veelgi.
Praegused andmeleket avaldavad saidid näevad välja sellised:
Mida teha uute rünnakutega
Peamiseks väljakutseks turvameeskondadele sellistes tingimustes on see, et viimasel ajal osutuvad üha enam Ransomwarega seotud intsidente lihtsalt andmevargustelt kõrvalejuhtimiseks. Ründajad ei tugine enam ainult serveri krüptimisele. Vastupidi, peamine eesmärk on korraldada leke, kui võitlete lunavaraga.
Seega ei piisa mitmekihiliste ohtude vastu võitlemiseks ainuüksi varusüsteemi kasutamisest isegi hea taastamisplaani korral. Ei, loomulikult ei saa te ka ilma varukoopiateta hakkama, sest ründajad proovivad kindlasti midagi krüpteerida ja lunaraha küsida. Asi on pigem selles, et nüüd tuleks igat Ransomware’i kasutavat rünnakut käsitleda kui põhjust liikluse igakülgseks analüüsiks ja võimaliku ründe uurimise algatamiseks. Samuti peaksite mõtlema täiendavatele turvafunktsioonidele, mis võiksid:
- Tuvastage kiiresti rünnakud ja analüüsige AI abil ebatavalist võrgutegevust
- Taastage süsteemid viivitamatult null-päeva Ransomware rünnakutest, et saaksite võrgutegevust jälgida
- Blokeerige klassikalise pahavara ja uut tüüpi rünnakute levik ettevõtte võrgus
- Analüüsige tarkvara ja süsteeme (sh kaugjuurdepääsu) praeguste haavatavuste ja ärakasutamiste osas
- Vältige tundmatu teabe edastamist ettevõtte piiridest väljapoole
Küsitluses saavad osaleda ainult registreerunud kasutajad. palun.
Kas olete kunagi Ransomware rünnaku ajal taustategevust analüüsinud?
-
20,0%jah 1
-
80,0%Ei 4
5 kasutajat hääletas. 2 kasutajat jäi erapooletuks.
Allikas: www.habr.com