باج افزار روشی جدید برای سازماندهی نشت داده ها است

نشت داده ها یک نقطه دردناک برای سرویس های امنیتی است. و اکنون که اکثر مردم از خانه کار می کنند، خطر نشت بسیار بیشتر است. به همین دلیل است که گروه های مجرم سایبری معروف توجه بیشتری به پروتکل های دسترسی از راه دور قدیمی و ناکافی دارند. و جالب اینجاست که امروزه بیشتر و بیشتر نشت داده ها با Ransomware همراه است. چگونه، چرا و به چه روشی - زیر برش بخوانید.

بیایید با این واقعیت شروع کنیم که توسعه و توزیع باج افزار به خودی خود یک تجارت مجرمانه بسیار سودآور است. به عنوان مثال، طبق گفته FBI آمریکا، گروه Sodinokibi در طول سال گذشته، او تقریباً 1 میلیون دلار در ماه درآمد داشت. و مهاجمانی که از Ryuk استفاده کردند حتی بیشتر دریافت کردند - در ابتدای فعالیت گروه، درآمد آنها به 3 میلیون دلار در ماه می رسید. بنابراین جای تعجب نیست که بسیاری از افسران ارشد امنیت اطلاعات (CISO) باج افزار را به عنوان یکی از پنج خطر اصلی تجاری خود فهرست می کنند.

مرکز عملیات حفاظت سایبری Acronis (CPOC)، واقع در سنگاپور، افزایش جرایم سایبری در منطقه Ransomware را تایید می کند. در نیمه دوم ماه می، 20 درصد بیشتر از حد معمول باج افزار در سراسر جهان مسدود شد. پس از اندکی کاهش، اکنون در خرداد ماه دوباره شاهد افزایش فعالیت هستیم. و چندین دلیل برای این وجود دارد.

وارد کامپیوتر قربانی شوید

فناوری‌های امنیتی در حال تکامل هستند و مهاجمان باید تاکتیک‌های خود را تا حدودی تغییر دهند تا وارد یک سیستم خاص شوند. حملات باج‌افزار هدفمند از طریق ایمیل‌های فیشینگ با طراحی خوب (از جمله مهندسی اجتماعی) گسترش می‌یابد. با این حال، اخیرا، توسعه دهندگان بدافزار توجه زیادی به کارمندان از راه دور داشته اند. برای حمله به آنها، می‌توانید سرویس‌های دسترسی از راه دور محافظت شده ضعیف، مانند سرورهای RDP یا VPN با آسیب‌پذیری را پیدا کنید.
این چیزی است که انجام می دهند. حتی باج افزار به عنوان یک سرویس در دارک نت وجود دارد که هر آنچه را که برای حمله به یک سازمان یا شخص منتخب نیاز دارید را فراهم می کند.

مهاجمان به دنبال هر راهی برای نفوذ به یک شبکه شرکتی و گسترش طیف حمله خود هستند. بنابراین، تلاش برای آلوده کردن شبکه های ارائه دهندگان خدمات به یک روند محبوب تبدیل شده است. از آنجایی که امروزه سرویس های ابری به تازگی محبوبیت پیدا می کنند، آلوده شدن یک سرویس محبوب امکان حمله به ده ها یا حتی صدها قربانی را در یک زمان ممکن می کند.

اگر مدیریت امنیت مبتنی بر وب یا کنسول‌های پشتیبان به خطر بیفتد، مهاجمان می‌توانند حفاظت را غیرفعال کنند، نسخه‌های پشتیبان را حذف کنند و اجازه دهند بدافزارشان در سراسر سازمان پخش شود. به هر حال، به همین دلیل است که کارشناسان توصیه می کنند با استفاده از احراز هویت چندعاملی، از تمام حساب های سرویس به دقت محافظت کنید. به عنوان مثال، تمام سرویس‌های ابری Acronis به شما امکان نصب محافظت مضاعف را می‌دهند، زیرا اگر رمز عبور شما به خطر بیفتد، مهاجمان می‌توانند تمام مزایای استفاده از یک سیستم جامع حفاظت سایبری را نفی کنند.

گسترش طیف حمله

هنگامی که هدف گرامی به دست می آید، و بدافزار در حال حاضر در شبکه شرکت قرار دارد، معمولاً از تاکتیک های کاملا استاندارد برای گسترش بیشتر استفاده می شود. مهاجمان وضعیت را مطالعه می کنند و برای غلبه بر موانعی که در داخل شرکت برای مقابله با تهدیدات ایجاد شده است، تلاش می کنند. این قسمت از حمله می تواند به صورت دستی انجام شود (پس از همه، اگر آنها قبلاً در تور افتاده باشند، طعمه روی قلاب است!). برای این کار از ابزارهای شناخته شده ای مانند PowerShell، WMI PsExec و همچنین شبیه ساز جدیدتر Cobalt Strike و ابزارهای دیگر استفاده می شود. برخی از گروه های مجرمانه به طور خاص مدیران رمز عبور را هدف قرار می دهند تا عمیق تر به یک شبکه شرکتی نفوذ کنند. و بدافزاری مانند Ragnar اخیراً در یک تصویر کاملاً بسته از ماشین مجازی VirtualBox دیده شده است که به پنهان کردن وجود نرم افزارهای خارجی در دستگاه کمک می کند.

بنابراین، هنگامی که بدافزار وارد شبکه شرکتی می شود، سعی می کند سطح دسترسی کاربر را بررسی کند و از رمزهای عبور دزدیده شده استفاده کند. ابزارهایی مانند Mimikatz و Bloodhound & Co. کمک به هک کردن حساب های سرپرست دامنه و تنها زمانی که مهاجم گزینه های توزیع را تمام شده در نظر بگیرد، باج افزار مستقیماً در سیستم های مشتری دانلود می شود.

باج افزار به عنوان پوشش

با توجه به جدی بودن تهدید از دست دادن داده ها، هر سال شرکت های بیشتری برنامه موسوم به "طرح بازیابی فاجعه" را اجرا می کنند. به لطف این، آنها مجبور نیستند زیاد نگران اطلاعات رمزگذاری شده باشند و در صورت حمله Ransomware، شروع به جمع آوری باج نمی کنند، بلکه فرآیند بازیابی را آغاز می کنند. اما مهاجمان هم نمی خوابند. تحت عنوان باج افزار، سرقت گسترده داده ها رخ می دهد. ماز اولین کسی بود که در سال 2019 از چنین تاکتیک‌هایی استفاده کرد، اگرچه گروه‌های دیگر به طور دوره‌ای حملات را ترکیب می‌کردند. اکنون حداقل Sodinokibi، Netfilm، Nemty، Netwalker، Ragnar، Psya، DoppelPaymer، CLOP، AKO و Sekhmet به موازات رمزگذاری به سرقت اطلاعات می پردازند.

گاهی اوقات مهاجمان موفق می‌شوند ده‌ها ترابایت داده را از یک شرکت جمع‌آوری کنند که می‌توانست توسط ابزارهای نظارت شبکه (اگر نصب و پیکربندی شده بود) شناسایی شود. از این گذشته، اغلب انتقال داده ها به سادگی با استفاده از اسکریپت های FTP، Putty، WinSCP یا PowerShell انجام می شود. برای غلبه بر DLP و سیستم های مانیتورینگ شبکه، داده ها را می توان رمزگذاری کرد یا به عنوان یک بایگانی محافظت شده با رمز عبور ارسال کرد، چالشی جدید برای تیم های امنیتی که نیاز به بررسی ترافیک خروجی برای چنین فایل هایی دارند.

مطالعه رفتار دزدان اطلاعات نشان می‌دهد که مهاجمان همه چیز را جمع‌آوری نمی‌کنند - آنها فقط به گزارش‌های مالی، پایگاه‌های اطلاعاتی مشتریان، داده‌های شخصی کارمندان و مشتریان، قراردادها، سوابق و اسناد قانونی علاقه‌مند هستند. این بدافزار درایوها را برای یافتن هرگونه اطلاعاتی که از نظر تئوری می تواند برای باج گیری استفاده شود، اسکن می کند.
اگر چنین حمله ای موفقیت آمیز باشد، مهاجمان معمولا یک تیزر کوچک منتشر می کنند که چندین سند را نشان می دهد که نشان می دهد داده ها از سازمان درز کرده است. و برخی از گروه ها در صورتی که زمان پرداخت باج از قبل به پایان رسیده باشد، کل مجموعه داده ها را در وب سایت خود منتشر می کنند. برای جلوگیری از مسدود شدن و اطمینان از پوشش گسترده، داده ها در شبکه TOR نیز منتشر می شوند.

راه دیگر برای کسب درآمد، فروش داده است. به عنوان مثال، Sodinokibi اخیراً مزایده های آزاد را اعلام کرد که در آن داده ها به بالاترین پیشنهاد داده می شود. قیمت شروع چنین معاملاتی بسته به کیفیت و محتوای داده ها 50 تا 100 هزار دلار است. به عنوان مثال، مجموعه ای از 10 سوابق جریان نقدی، داده های تجاری محرمانه و گواهینامه های رانندگی اسکن شده به قیمت 000 دلار فروخته می شود و با 100 دلار می توان بیش از 000 سند مالی به اضافه سه پایگاه داده از فایل های حسابداری و داده های مشتریان را خریداری کرد.

سایت هایی که در آن نشت منتشر می شود بسیار متفاوت است. این می تواند یک صفحه ساده باشد که همه چیز به سرقت رفته در آن به سادگی پست می شود، اما ساختارهای پیچیده تری با بخش ها و امکان خرید نیز وجود دارد. اما نکته اصلی این است که همه آنها به یک هدف عمل می کنند - افزایش شانس دریافت پول واقعی توسط مهاجمان. اگر این مدل کسب‌وکار نتایج خوبی را برای مهاجمان نشان دهد، بدون شک سایت‌های مشابه بیشتری وجود خواهند داشت و تکنیک‌های سرقت و کسب درآمد از داده‌های شرکتی گسترش بیشتری خواهند یافت.

سایت های فعلی که نشت داده ها را منتشر می کنند به این صورت است:

با حملات جدید چه کنیم

چالش اصلی تیم‌های امنیتی در این شرایط این است که اخیراً حوادث بیشتر و بیشتر مربوط به باج‌افزار صرفاً منحرف‌کننده‌ای از سرقت داده‌ها هستند. مهاجمان دیگر تنها به رمزگذاری سرور متکی نیستند. در مقابل، هدف اصلی سازماندهی نشت در حالی است که شما در حال مبارزه با باج افزار هستید.

بنابراین، استفاده از یک سیستم پشتیبان به تنهایی، حتی با یک برنامه بازیابی خوب، برای مقابله با تهدیدات چند لایه کافی نیست. نه، البته، بدون نسخه‌های پشتیبان نیز نمی‌توانید کار کنید، زیرا مهاجمان قطعاً سعی می‌کنند چیزی را رمزگذاری کنند و درخواست باج کنند. نکته این است که در حال حاضر هر حمله با استفاده از باج افزار باید به عنوان دلیلی برای تجزیه و تحلیل جامع ترافیک و شروع تحقیقات در مورد حمله احتمالی در نظر گرفته شود. همچنین باید به ویژگی های امنیتی اضافی فکر کنید که می توانند:

• شناسایی سریع حملات و تجزیه و تحلیل فعالیت غیرعادی شبکه با استفاده از هوش مصنوعی
• فورا سیستم ها را از حملات باج افزار روز صفر بازیابی کنید تا بتوانید بر فعالیت شبکه نظارت کنید
• جلوگیری از گسترش بدافزارهای کلاسیک و انواع جدید حملات در شبکه شرکتی
• تجزیه و تحلیل نرم افزارها و سیستم ها (از جمله دسترسی از راه دور) برای آسیب پذیری ها و سوء استفاده های فعلی
• جلوگیری از انتقال اطلاعات ناشناس به خارج از محیط شرکت

فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ورود، لطفا.

آیا تا به حال فعالیت پس زمینه را در طول حمله باج افزار تجزیه و تحلیل کرده اید؟

• ٪۱۰۰بله 1

• ٪۱۰۰شماره 4

5 کاربر رای دادند. 2 کاربر رای ممتنع دادند.

منبع: www.habr.com