Tietovuodot ovat kipeä kohta turvallisuuspalveluille. Ja nyt, kun useimmat ihmiset työskentelevät kotoa käsin, vuotojen vaara on paljon suurempi. Tästä syystä tunnetut kyberrikollisryhmät kiinnittävät entistä enemmän huomiota vanhentuneisiin ja riittämättömästi turvallisiin etäkäyttöprotokolliin. Ja mielenkiintoista kyllä, yhä useammat tietovuodot liittyvät nykyään Ransomwareen. Miten, miksi ja millä tavalla - lue leikkauksen alta.
Aloitetaan siitä, että lunnasohjelmien kehittäminen ja jakelu on sinänsä erittäin kannattavaa rikollista liiketoimintaa. Esimerkiksi amerikkalaisen FBI:n mukaan viimeisen vuoden aikana hän ansaitsi noin miljoona dollaria kuukaudessa. Ja Ryukia käyttäneet hyökkääjät saivat vielä enemmän - ryhmän toiminnan alussa heidän tulonsa olivat 1 miljoonaa dollaria kuukaudessa. Ei siis ole yllättävää, että monet tietoturvapäälliköt (CISO) luettelevat kiristysohjelmat yhdeksi viidestä suurimmasta liiketoimintariskistään.
Singaporessa sijaitseva Acronis Cyber Protection Operation Center (CPOC) vahvistaa kyberrikollisuuden lisääntyneen Ransomware-alueella. Toukokuun jälkipuoliskolla estettiin maailmanlaajuisesti 20 % tavallista enemmän kiristysohjelmia. Pienen laskun jälkeen nyt kesäkuussa näemme taas aktiivisuuden kasvua. Ja tähän on useita syitä.
Mene uhrin tietokoneelle
Tietoturvateknologiat kehittyvät, ja hyökkääjien on muutettava taktiikkaansa jonkin verran päästäkseen tiettyyn järjestelmään. Kohdistetut Ransomware-hyökkäykset leviävät edelleen hyvin suunniteltujen tietojenkalasteluviestien kautta (mukaan lukien sosiaalinen manipulointi). Viime aikoina haittaohjelmien kehittäjät ovat kuitenkin kiinnittäneet paljon huomiota etätyöntekijöihin. Voit hyökätä niihin etsimällä huonosti suojattuja etäkäyttöpalveluita, kuten RDP, tai VPN-palvelimia, joissa on haavoittuvuuksia.
Tätä he tekevät. Darknetissä on jopa ransomware-as-a-services, jotka tarjoavat kaiken, mitä tarvitset hyökätäksesi valittua organisaatiota tai henkilöä vastaan.
Hyökkääjät etsivät mitä tahansa tapaa tunkeutua yritysverkkoon ja laajentaa hyökkäysspektriään. Siten yrityksistä tartuttaa palveluntarjoajien verkostoja on tullut suosittu trendi. Koska pilvipalvelut ovat vasta yleistymässä tänään, suositun palvelun tartunta mahdollistaa useiden kymmenien tai jopa satojen uhrien hyökkäyksen kerrallaan.
Jos verkkopohjainen tietoturvahallinta tai varmuuskopiointikonsolit vaarantuvat, hyökkääjät voivat poistaa suojauksen käytöstä, poistaa varmuuskopiot ja antaa haittaohjelmiensa levitä koko organisaatioon. Tästä syystä asiantuntijat suosittelevat kaikkien palvelutilien huolellista suojaamista monitekijätodennuksen avulla. Esimerkiksi kaikki Acronis-pilvipalvelut mahdollistavat kaksoissuojauksen asentamisen, koska jos salasanasi vaarantuu, hyökkääjät voivat mitätöidä kaikki kattavan kybersuojausjärjestelmän edut.
Hyökkäyskirjon laajentaminen
Kun vaalittu tavoite saavutetaan ja haittaohjelmat ovat jo yritysverkon sisällä, jatkojakelussa käytetään yleensä melko tavallista taktiikkaa. Hyökkääjät tutkivat tilannetta ja pyrkivät ylittämään yritykseen luodut esteet uhkien torjumiseksi. Tämä osa hyökkäyksestä voi tapahtua manuaalisesti (jos ne ovat jo pudonneet verkkoon, niin syötti on koukussa!). Tätä varten käytetään tuttuja työkaluja, kuten PowerShell, WMI PsExec sekä uudempi Cobalt Strike -emulaattori ja muita apuohjelmia. Jotkut rikollisryhmät kohdistavat erityisesti salasanojen haltijoiden tunkeutumisen syvemmälle yritysverkostoon. Ja haittaohjelmat, kuten Ragnar, nähtiin hiljattain täysin suljetussa kuvassa VirtualBox-virtuaalikoneesta, mikä auttaa piilottamaan ulkomaisten ohjelmistojen läsnäolon koneessa.
Siten, kun haittaohjelma tulee yrityksen verkkoon, se yrittää tarkistaa käyttäjän käyttöoikeustason ja käyttää varastettuja salasanoja. Apuohjelmat, kuten Mimikatz ja Bloodhound & Co. auttaa hakkeroimaan verkkotunnuksen järjestelmänvalvojatilejä. Ja vain kun hyökkääjä katsoo jakeluvaihtoehdot loppuneen, lunnasohjelma ladataan suoraan asiakasjärjestelmiin.
Ransomware suojana
Tietojen katoamisen uhan vakavuuden vuoksi yhä useammat yritykset toteuttavat joka vuosi niin sanotun "katastrofipalautussuunnitelman". Tämän ansiosta heidän ei tarvitse huolehtia liikaa salatuista tiedoista, ja Ransomware-hyökkäyksen sattuessa he eivät aloita lunnaiden keräämistä, vaan aloittavat palautusprosessin. Mutta hyökkääjät eivät myöskään nuku. Ransomwaren varjolla tapahtuu massiivisia tietovarkauksia. Maze oli ensimmäinen, joka käytti tällaista taktiikkaa massiivisesti vuonna 2019, vaikka muut ryhmät yhdistivät ajoittain hyökkäyksiä. Nyt ainakin Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO ja Sekhmet harjoittavat tietovarkauksia rinnakkain salauksen kanssa.
Joskus hyökkääjät onnistuvat sifonkimaan kymmeniä teratavuja yrityksen tietoja, jotka olisivat voitu havaita verkon valvontatyökaluilla (jos ne olisi asennettu ja määritetty). Loppujen lopuksi tiedonsiirto tapahtuu useimmiten yksinkertaisesti käyttämällä FTP-, Putty-, WinSCP- tai PowerShell-skriptejä. DLP- ja verkonvalvontajärjestelmien voittamiseksi tiedot voidaan salata tai lähettää salasanalla suojattuna arkistona, mikä on uusi haaste turvallisuustiimeille, joiden on tarkistettava tällaisten tiedostojen lähtevä liikenne.
Tietovarastajien käyttäytymisen tutkiminen osoittaa, että hyökkääjät eivät kerää kaikkea - heitä kiinnostavat vain talousraportit, asiakastietokannat, työntekijöiden ja asiakkaiden henkilötiedot, sopimukset, asiakirjat ja juridiset asiakirjat. Haittaohjelma etsii asemista tietoja, joita voitaisiin teoriassa käyttää kiristykseen.
Jos tällainen hyökkäys onnistuu, hyökkääjät julkaisevat yleensä pienen teaserin, joka näyttää useita asiakirjoja, jotka vahvistavat tietojen vuotamisen organisaatiosta. Ja jotkut ryhmät julkaisevat koko datajoukon verkkosivuillaan, jos lunnaiden maksuaika on jo umpeutunut. Tukkeutumisen välttämiseksi ja laajan kattavuuden varmistamiseksi tiedot julkaistaan myös TOR-verkossa.
Toinen tapa ansaita rahaa on myymällä tietoja. Esimerkiksi Sodinokibi ilmoitti hiljattain avoimista huutokaupoista, joissa tiedot menevät eniten tarjoavalle. Tällaisten kauppojen lähtöhinta on 50-100 10 dollaria tietojen laadusta ja sisällöstä riippuen. Esimerkiksi joukko 000 100 kassavirtatietuetta, luottamuksellisia yritystietoja ja skannattuja ajokortteja myytiin vain 000 50 dollarilla. Ja 000 20 dollarilla voi ostaa yli 000 XNUMX talousasiakirjaa sekä kolme tietokantaa kirjanpitotiedostoja ja asiakastietoja.
Sivustot, joilla vuotoja julkaistaan, vaihtelevat suuresti. Tämä voi olla yksinkertainen sivu, jolle kaikki varastettu yksinkertaisesti julkaistaan, mutta on myös monimutkaisempia rakenteita, joissa on osiot ja ostomahdollisuus. Mutta tärkeintä on, että ne kaikki palvelevat samaa tarkoitusta - lisätä hyökkääjien mahdollisuuksia saada oikeaa rahaa. Jos tämä liiketoimintamalli näyttää hyviä tuloksia hyökkääjille, ei ole epäilystäkään siitä, että samankaltaisia sivustoja tulee vielä enemmän, ja yritystietojen varastamisen ja kaupallistamisen tekniikoita laajennetaan entisestään.
Tältä näyttävät nykyiset tietovuotoja julkaisevat sivustot:
Mitä tehdä uusille hyökkäyksille
Turvatiimien suurin haaste näissä olosuhteissa on se, että viime aikoina yhä useammat Ransomware-ohjelmiin liittyvät tapaukset osoittautuvat vain häiriötekijöiksi tietovarkauksilta. Hyökkääjät eivät enää luota vain palvelimen salaukseen. Päinvastoin, päätavoitteena on järjestää vuoto, kun taistelet lunnasohjelmia vastaan.
Näin ollen pelkän varmuuskopiojärjestelmän käyttö, edes hyvällä elvytyssuunnitelmalla, ei riitä torjumaan monikerroksisia uhkia. Ei, tietenkään et tule toimeen ilman varmuuskopioita, koska hyökkääjät yrittävät ehdottomasti salata jotain ja pyytää lunnaita. Asia on pikemminkin siinä, että nyt jokaista Ransomwarea käyttävää hyökkäystä tulisi pitää syynä kattavaan liikenteen analysointiin ja mahdollisen hyökkäyksen tutkinnan käynnistämiseen. Sinun tulisi myös harkita muita suojausominaisuuksia, jotka voivat:
- Tunnista nopeasti hyökkäykset ja analysoi epätavallista verkkotoimintaa tekoälyn avulla
- Palauta järjestelmät välittömästi nollapäivän Ransomware-hyökkäyksistä, jotta voit seurata verkon toimintaa
- Estä klassisten haittaohjelmien ja uudentyyppisten hyökkäysten leviäminen yritysverkkoon
- Analysoi ohjelmistoja ja järjestelmiä (mukaan lukien etäkäyttö) nykyisten haavoittuvuuksien ja hyväksikäyttöjen varalta
- Estä tunnistamattomien tietojen siirto yrityksen rajojen ulkopuolelle
Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. , ole kiltti.
Oletko koskaan analysoinut taustatoimintaa Ransomware-hyökkäyksen aikana?
-
20,0%Kyllä 1
-
80,0%Nro 4
5 käyttäjää äänesti. 2 käyttäjää pidättyi äänestämästä.
Lähde: will.com