Datu-filtrazioak segurtasun-zerbitzuetarako puntu mingarriak dira. Eta orain jende gehiena etxetik lanean ari denez, ihesak izateko arriskua askoz handiagoa da. Horregatik, talde ziberkriminal ezagunek arreta handiagoa jartzen diete urruneko sarbide protokolo zaharkituei eta nahiko seguruei. Eta, interesgarria dena, gaur egun gero eta datu-isuri gehiago dago Ransomwarearekin lotuta. Nola, zergatik eta zer moduz - irakurri ebaki azpian.
Has gaitezen ransomwarearen garapena eta banaketa berez negozio kriminal oso errentagarria dela. Adibidez, FBI amerikarraren arabera, azken urtean, gutxi gorabehera milioi bat dolar irabazi zituen hilean. Eta Ryuk erabili zuten erasotzaileek are gehiago jaso zuten - taldearen jardueren hasieran, haien diru-sarrerak 1 milioi dolar ziren hilean. Beraz, ez da harritzekoa informazioaren segurtasuneko arduradun nagusi askok (CISO) ransomwarea euren negozio-arrisku nagusietako bat bezala zerrendatzea.
Singapurren kokatutako Acronis Cyber ββββProtection Operation Center (CPOC) ransomware eremuan ziberdelituen hazkundea berresten du. Maiatzaren bigarren hamabostaldian, mundu osoan ohi baino %20 ransomware gehiago blokeatu zen. Jaitsiera txiki baten ostean, orain ekainean jardueraren gorakada ikusten ari gara berriro. Eta horretarako hainbat arrazoi daude.
Sar zaitez biktimaren ordenagailura
Segurtasun teknologiak eboluzionatzen ari dira, eta erasotzaileek beren taktikak zertxobait aldatu behar dituzte sistema zehatz batean sartzeko. Norakoak Ransomware erasoek ondo diseinatutako phishing-mezuen bidez hedatzen jarraitzen dute (ingeniaritza soziala barne). Hala ere, azkenaldian, malware garatzaileek arreta handia jartzen diete urruneko langileei. Horiei erasotzeko, gaizki babestuta dauden urruneko sarbide-zerbitzuak aurki ditzakezu, hala nola RDP edo VPN zerbitzariak ahultasunak dituzten.
Hauxe da egiten dutena. Darknet-en ransomware-as-a-zerbitzuak ere badaude, aukeratutako erakunde edo pertsona bati erasotzeko behar duzun guztia eskaintzen dutenak.
Erasotzaileak sare korporatibo batean sartzeko eta eraso-espektroa zabaltzeko edozein modu bilatzen ari dira. Horrela, zerbitzu hornitzaileen sareak kutsatzeko saiakerak joera ezagun bihurtu dira. Hodeiko zerbitzuak gaur egun ospea hartzen ari direnez, zerbitzu ezagun baten infekzioa ahalbidetzen du aldi berean dozenaka edo ehunka biktimari erasotzea.
Web-oinarritutako segurtasun-kudeaketa edo babeskopien kontsolak arriskuan jartzen badira, erasotzaileek babesa desgaitu dezakete, babeskopiak ezabatu eta beren malwarea erakundean zehar zabaltzen utzi dezakete. Bide batez, horregatik adituek gomendatzen dute arretaz babestea zerbitzu-kontu guztiak faktore anitzeko autentifikazioa erabiliz. Esate baterako, Acronis hodeiko zerbitzu guztiek babes bikoitza instalatzeko aukera ematen dute, izan ere, zure pasahitza arriskuan jartzen bada, erasotzaileek ziber-babes sistema integral bat erabiltzearen abantaila guztiak ezezta ditzakete.
Eraso-espektroa zabaltzea
Helburu estimatua lortzen denean eta malwarea sare korporatiboaren barruan dagoenean, taktika nahiko estandarrak erabili ohi dira gehiago zabaltzeko. Erasotzaileek egoera aztertzen dute eta mehatxuei aurre egiteko enpresa barruan sortu diren oztopoak gainditzen ahalegintzen dira. Erasoaren zati hau eskuz egin daiteke (azken finean, sarera jada erori badira, beita amuan dago!). Horretarako, tresna ezagunak erabiltzen dira, hala nola PowerShell, WMI PsExec, baita Cobalt Strike emuladore berriagoa eta beste utilitate batzuk ere. Talde kriminal batzuek pasahitzen kudeatzaileei zuzentzen diete bereziki sare korporatibo batean sakontzeko. Eta Ragnar bezalako malwarea VirtualBox makina birtualeko irudi guztiz itxi batean ikusi zen duela gutxi, eta horrek makinan atzerriko softwarearen presentzia ezkutatzen laguntzen du.
Horrela, malwarea sare korporatiboan sartzen denean, erabiltzailearen sarbide-maila egiaztatzen eta lapurtutako pasahitzak erabiltzen saiatzen da. Mimikatz eta Bloodhound & Co bezalako erabilgarritasunak. lagundu domeinu-administratzaileen kontuak hazten. Eta erasotzaileak banaketa aukerak agortuta ikusten dituenean soilik, ransomwarea zuzenean deskargatzen da bezero-sistemetara.
Ransomware estalki gisa
Datuak galtzearen mehatxuaren larritasuna kontuan hartuta, urtez urte gero eta enpresa gehiagok ezartzen dute βDisaster Recovery planβ delakoa. Horri esker, ez dute enkriptatutako datuez gehiegi kezkatu behar, eta Ransomware-ren erasoa gertatuz gero, ez dira erreskatea biltzen hasten, berreskuratze-prozesua hasten da baizik. Baina erasotzaileek ere ez dute lo egiten. Ransomwarearen itxurapean, datuen lapurreta masiboa gertatzen da. Maze izan zen 2019an horrelako taktikak masiboki erabili zituen lehena, nahiz eta beste talde batzuek erasoak konbinatzen zituzten aldian-aldian. Orain, gutxienez, Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO eta Sekhmet datuen lapurreta egiten ari dira enkriptazioarekin batera.
Batzuetan, erasotzaileek enpresa baten hamarnaka terabyte datu desifonatzea lortzen dute, sareak monitorizatzeko tresnek detekta zitezkeen (instalatu eta konfiguratu izan balira). Azken finean, gehienetan datuen transferentzia FTP, Putty, WinSCP edo PowerShell script-ak erabiliz egiten da. DLP eta sareko monitorizazio sistemak gainditzeko, datuak enkriptatu edo pasahitzez babestutako artxibo gisa bidali daitezke, fitxategi horien irteerako trafikoa egiaztatu behar duten segurtasun taldeentzako erronka berri bat.
Infostealers-en jokabidea aztertzeak erakusten du erasotzaileek ez dutela dena biltzen: finantza-txostenak, bezeroen datu-baseak, langileen eta bezeroen datu pertsonalak, kontratuak, erregistroak eta legezko dokumentuak soilik interesatzen zaizkie. Malwareak unitateak aztertzen ditu teorian xantaiarako erabil daitekeen edozein informazio bilatzeko.
Eraso hori arrakastatsua bada, erasotzaileek teaser txiki bat argitaratu ohi dute, erakundetik datuak filtratu direla baieztatzen duten hainbat dokumentu erakutsiz. Eta talde batzuek datu-multzo osoa beren webgunean argitaratzen dute, baldin eta erreskatea ordaintzeko epea dagoeneko amaitu bada. Blokeoak saihesteko eta estaldura zabala bermatzeko, datuak TOR sarean ere argitaratzen dira.
Dirua irabazteko beste modu bat datuak saltzea da. Esaterako, Sodinokibik berriki enkante irekiak iragarri ditu, zeinetan datuak lizitatzaile handienarengana joaten diren. Horrelako merkataritzaren hasierako prezioa $ 50-100K da, datuen kalitatearen eta edukiaren arabera. Esaterako, 10 kutxaren erregistro, negozio-datu konfidentzialak eta eskaneatutako gidabaimenak 000 dolarren truke saltzen ziren. Eta 100 dolarren truke 000 finantza-dokumentu baino gehiago eros litezke gehi kontabilitate fitxategien eta bezeroen datuen hiru datu-base.
Isuriak argitaratzen diren guneak asko aldatzen dira. Orri soil bat izan daiteke, lapurtutako guztia besterik gabe argitaratzen den, baina egitura konplexuagoak ere badaude atalekin eta erosteko aukerarekin. Baina gauza nagusia da guztiek helburu bera dutela: erasotzaileek benetako dirua lortzeko aukerak areagotzea. Negozio-eredu honek erasotzaileentzat emaitza onak ematen baditu, ez dago dudarik antzeko gune gehiago egongo direla, eta datu korporatiboak lapurtzeko eta dirua irabazteko teknikak gehiago zabalduko dira.
Hau da datu-filtrazioak argitaratzen dituzten egungo guneak:
Zer egin eraso berriekin
Baldintza hauetan segurtasun-taldeen erronka nagusia da azkenaldian Ransomwarearekin lotutako gero eta gertakari gehiago datuen lapurretaren distrakzioa besterik ez dela bihurtzen. Erasotzaileek jada ez dute zerbitzariaren enkriptazioan soilik oinarritzen. Aitzitik, ransomwarearen aurka borrokatzen ari zaren bitartean filtrazio bat antolatzea da helburu nagusia.
Beraz, babeskopia-sistema bakarrik erabiltzea, nahiz eta berreskuratzeko plan on bat izan, ez da nahikoa geruza anitzeko mehatxuei aurre egiteko. Ez, noski, ezin duzu segurtasun kopiarik gabe egin, erasotzaileak zalantzarik gabe zerbait enkriptatzen saiatuko direlako eta erreskatea eskatuko dutelako. Kontua da orain Ransomware erabiltzen duen eraso bakoitza trafikoaren azterketa integrala egiteko eta balizko eraso bati buruzko ikerketa bat abiarazteko arrazoi gisa hartu behar dela. Hauek izan daitezkeen segurtasun-eginbide gehigarrietan ere pentsatu beharko zenuke:
- Azkar detektatu erasoak eta aztertu sareko ezohiko jarduerak AI erabiliz
- Berreskuratu berehala sistemak zero eguneko Ransomware erasoetatik, sareko jarduera kontrolatu ahal izateko
- Blokeatu malware klasikoaren eta sare korporatiboko eraso mota berrien hedapena
- Aztertu softwarea eta sistemak (urruneko sarbidea barne) egungo ahultasun eta ustiapenetarako
- Saihestu identifikatu gabeko informazioa perimetro korporatibotik kanpo transferitzea
Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. , mesedez.
Inoiz aztertu al duzu atzeko planoko jarduera Ransomware eraso batean?
-
20,0%Bai1
-
80,0%4. zenbakia
5 erabiltzailek eman dute botoa. 2 erabiltzaile abstenitu ziren.
Iturria: www.habr.com