نشت داده ها یک نقطه دردناک برای سرویس های امنیتی است. و اکنون که اکثر مردم از خانه کار می کنند، خطر نشت بسیار بیشتر است. به همین دلیل است که گروه های مجرم سایبری معروف توجه بیشتری به پروتکل های دسترسی از راه دور قدیمی و ناکافی دارند. و جالب اینجاست که امروزه بیشتر و بیشتر نشت داده ها با Ransomware همراه است. چگونه، چرا و به چه روشی - زیر برش بخوانید.
بیایید با این واقعیت شروع کنیم که توسعه و توزیع باج افزار به خودی خود یک تجارت مجرمانه بسیار سودآور است. به عنوان مثال، طبق گفته FBI آمریکا،
مرکز عملیات حفاظت سایبری Acronis (CPOC)، واقع در سنگاپور، افزایش جرایم سایبری در منطقه Ransomware را تایید می کند. در نیمه دوم ماه می، 20 درصد بیشتر از حد معمول باج افزار در سراسر جهان مسدود شد. پس از اندکی کاهش، اکنون در خرداد ماه دوباره شاهد افزایش فعالیت هستیم. و چندین دلیل برای این وجود دارد.
وارد کامپیوتر قربانی شوید
فناوریهای امنیتی در حال تکامل هستند و مهاجمان باید تاکتیکهای خود را تا حدودی تغییر دهند تا وارد یک سیستم خاص شوند. حملات باجافزار هدفمند از طریق ایمیلهای فیشینگ با طراحی خوب (از جمله مهندسی اجتماعی) گسترش مییابد. با این حال، اخیرا، توسعه دهندگان بدافزار توجه زیادی به کارمندان از راه دور داشته اند. برای حمله به آنها، میتوانید سرویسهای دسترسی از راه دور محافظت شده ضعیف، مانند سرورهای RDP یا VPN با آسیبپذیری را پیدا کنید.
این چیزی است که انجام می دهند. حتی باج افزار به عنوان یک سرویس در دارک نت وجود دارد که هر آنچه را که برای حمله به یک سازمان یا شخص منتخب نیاز دارید را فراهم می کند.
مهاجمان به دنبال هر راهی برای نفوذ به یک شبکه شرکتی و گسترش طیف حمله خود هستند. بنابراین، تلاش برای آلوده کردن شبکه های ارائه دهندگان خدمات به یک روند محبوب تبدیل شده است. از آنجایی که امروزه سرویس های ابری به تازگی محبوبیت پیدا می کنند، آلوده شدن یک سرویس محبوب امکان حمله به ده ها یا حتی صدها قربانی را در یک زمان ممکن می کند.
اگر مدیریت امنیت مبتنی بر وب یا کنسولهای پشتیبان به خطر بیفتد، مهاجمان میتوانند حفاظت را غیرفعال کنند، نسخههای پشتیبان را حذف کنند و اجازه دهند بدافزارشان در سراسر سازمان پخش شود. به هر حال، به همین دلیل است که کارشناسان توصیه می کنند با استفاده از احراز هویت چندعاملی، از تمام حساب های سرویس به دقت محافظت کنید. به عنوان مثال، تمام سرویسهای ابری Acronis به شما امکان نصب محافظت مضاعف را میدهند، زیرا اگر رمز عبور شما به خطر بیفتد، مهاجمان میتوانند تمام مزایای استفاده از یک سیستم جامع حفاظت سایبری را نفی کنند.
گسترش طیف حمله
هنگامی که هدف گرامی به دست می آید، و بدافزار در حال حاضر در شبکه شرکت قرار دارد، معمولاً از تاکتیک های کاملا استاندارد برای گسترش بیشتر استفاده می شود. مهاجمان وضعیت را مطالعه می کنند و برای غلبه بر موانعی که در داخل شرکت برای مقابله با تهدیدات ایجاد شده است، تلاش می کنند. این قسمت از حمله می تواند به صورت دستی انجام شود (پس از همه، اگر آنها قبلاً در تور افتاده باشند، طعمه روی قلاب است!). برای این کار از ابزارهای شناخته شده ای مانند PowerShell، WMI PsExec و همچنین شبیه ساز جدیدتر Cobalt Strike و ابزارهای دیگر استفاده می شود. برخی از گروه های مجرمانه به طور خاص مدیران رمز عبور را هدف قرار می دهند تا عمیق تر به یک شبکه شرکتی نفوذ کنند. و بدافزاری مانند Ragnar اخیراً در یک تصویر کاملاً بسته از ماشین مجازی VirtualBox دیده شده است که به پنهان کردن وجود نرم افزارهای خارجی در دستگاه کمک می کند.
بنابراین، هنگامی که بدافزار وارد شبکه شرکتی می شود، سعی می کند سطح دسترسی کاربر را بررسی کند و از رمزهای عبور دزدیده شده استفاده کند. ابزارهایی مانند Mimikatz و Bloodhound & Co. کمک به هک کردن حساب های سرپرست دامنه و تنها زمانی که مهاجم گزینه های توزیع را تمام شده در نظر بگیرد، باج افزار مستقیماً در سیستم های مشتری دانلود می شود.
باج افزار به عنوان پوشش
با توجه به جدی بودن تهدید از دست دادن داده ها، هر سال شرکت های بیشتری برنامه موسوم به "طرح بازیابی فاجعه" را اجرا می کنند. به لطف این، آنها مجبور نیستند زیاد نگران اطلاعات رمزگذاری شده باشند و در صورت حمله Ransomware، شروع به جمع آوری باج نمی کنند، بلکه فرآیند بازیابی را آغاز می کنند. اما مهاجمان هم نمی خوابند. تحت عنوان باج افزار، سرقت گسترده داده ها رخ می دهد. ماز اولین کسی بود که در سال 2019 از چنین تاکتیکهایی استفاده کرد، اگرچه گروههای دیگر به طور دورهای حملات را ترکیب میکردند. اکنون حداقل Sodinokibi، Netfilm، Nemty، Netwalker، Ragnar، Psya، DoppelPaymer، CLOP، AKO و Sekhmet به موازات رمزگذاری به سرقت اطلاعات می پردازند.
گاهی اوقات مهاجمان موفق میشوند دهها ترابایت داده را از یک شرکت جمعآوری کنند که میتوانست توسط ابزارهای نظارت شبکه (اگر نصب و پیکربندی شده بود) شناسایی شود. از این گذشته، اغلب انتقال داده ها به سادگی با استفاده از اسکریپت های FTP، Putty، WinSCP یا PowerShell انجام می شود. برای غلبه بر DLP و سیستم های مانیتورینگ شبکه، داده ها را می توان رمزگذاری کرد یا به عنوان یک بایگانی محافظت شده با رمز عبور ارسال کرد، چالشی جدید برای تیم های امنیتی که نیاز به بررسی ترافیک خروجی برای چنین فایل هایی دارند.
مطالعه رفتار دزدان اطلاعات نشان میدهد که مهاجمان همه چیز را جمعآوری نمیکنند - آنها فقط به گزارشهای مالی، پایگاههای اطلاعاتی مشتریان، دادههای شخصی کارمندان و مشتریان، قراردادها، سوابق و اسناد قانونی علاقهمند هستند. این بدافزار درایوها را برای یافتن هرگونه اطلاعاتی که از نظر تئوری می تواند برای باج گیری استفاده شود، اسکن می کند.
اگر چنین حمله ای موفقیت آمیز باشد، مهاجمان معمولا یک تیزر کوچک منتشر می کنند که چندین سند را نشان می دهد که نشان می دهد داده ها از سازمان درز کرده است. و برخی از گروه ها در صورتی که زمان پرداخت باج از قبل به پایان رسیده باشد، کل مجموعه داده ها را در وب سایت خود منتشر می کنند. برای جلوگیری از مسدود شدن و اطمینان از پوشش گسترده، داده ها در شبکه TOR نیز منتشر می شوند.
راه دیگر برای کسب درآمد، فروش داده است. به عنوان مثال، Sodinokibi اخیراً مزایده های آزاد را اعلام کرد که در آن داده ها به بالاترین پیشنهاد داده می شود. قیمت شروع چنین معاملاتی بسته به کیفیت و محتوای داده ها 50 تا 100 هزار دلار است. به عنوان مثال، مجموعه ای از 10 سوابق جریان نقدی، داده های تجاری محرمانه و گواهینامه های رانندگی اسکن شده به قیمت 000 دلار فروخته می شود و با 100 دلار می توان بیش از 000 سند مالی به اضافه سه پایگاه داده از فایل های حسابداری و داده های مشتریان را خریداری کرد.
سایت هایی که در آن نشت منتشر می شود بسیار متفاوت است. این می تواند یک صفحه ساده باشد که همه چیز به سرقت رفته در آن به سادگی پست می شود، اما ساختارهای پیچیده تری با بخش ها و امکان خرید نیز وجود دارد. اما نکته اصلی این است که همه آنها به یک هدف عمل می کنند - افزایش شانس دریافت پول واقعی توسط مهاجمان. اگر این مدل کسبوکار نتایج خوبی را برای مهاجمان نشان دهد، بدون شک سایتهای مشابه بیشتری وجود خواهند داشت و تکنیکهای سرقت و کسب درآمد از دادههای شرکتی گسترش بیشتری خواهند یافت.
سایت های فعلی که نشت داده ها را منتشر می کنند به این صورت است:
با حملات جدید چه کنیم
چالش اصلی تیمهای امنیتی در این شرایط این است که اخیراً حوادث بیشتر و بیشتر مربوط به باجافزار صرفاً منحرفکنندهای از سرقت دادهها هستند. مهاجمان دیگر تنها به رمزگذاری سرور متکی نیستند. در مقابل، هدف اصلی سازماندهی نشت در حالی است که شما در حال مبارزه با باج افزار هستید.
بنابراین، استفاده از یک سیستم پشتیبان به تنهایی، حتی با یک برنامه بازیابی خوب، برای مقابله با تهدیدات چند لایه کافی نیست. نه، البته، بدون نسخههای پشتیبان نیز نمیتوانید کار کنید، زیرا مهاجمان قطعاً سعی میکنند چیزی را رمزگذاری کنند و درخواست باج کنند. نکته این است که در حال حاضر هر حمله با استفاده از باج افزار باید به عنوان دلیلی برای تجزیه و تحلیل جامع ترافیک و شروع تحقیقات در مورد حمله احتمالی در نظر گرفته شود. همچنین باید به ویژگی های امنیتی اضافی فکر کنید که می توانند:
- شناسایی سریع حملات و تجزیه و تحلیل فعالیت غیرعادی شبکه با استفاده از هوش مصنوعی
- فورا سیستم ها را از حملات باج افزار روز صفر بازیابی کنید تا بتوانید بر فعالیت شبکه نظارت کنید
- جلوگیری از گسترش بدافزارهای کلاسیک و انواع جدید حملات در شبکه شرکتی
- تجزیه و تحلیل نرم افزارها و سیستم ها (از جمله دسترسی از راه دور) برای آسیب پذیری ها و سوء استفاده های فعلی
- جلوگیری از انتقال اطلاعات ناشناس به خارج از محیط شرکت
فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند.
آیا تا به حال فعالیت پس زمینه را در طول حمله باج افزار تجزیه و تحلیل کرده اید؟
-
٪۱۰۰بله 1
-
٪۱۰۰شماره 4
5 کاربر رای دادند. 2 کاربر رای ممتنع دادند.
منبع: www.habr.com