As fugas de datos son un punto doloroso para os servizos de seguridade. E agora que a maioría da xente traballa desde casa, o perigo de fugas é moito maior. É por iso que os coñecidos grupos cibercriminales están prestando maior atención aos protocolos de acceso remoto obsoletos e insuficientemente seguros. E, curiosamente, cada vez máis fugas de datos están asociadas con Ransomware. Como, por que e de que xeito - le baixo o corte.
Comecemos co feito de que o desenvolvemento e distribución de ransomware é un negocio criminal moi rendible en si mesmo. Por exemplo, segundo o FBI estadounidense, durante o ano pasado, gañou aproximadamente 1 millón de dólares ao mes. E os atacantes que usaron Ryuk recibiron aínda máis: ao comezo das actividades do grupo, os seus ingresos ascendían a 3 millóns de dólares ao mes. Polo tanto, non é de estrañar que moitos xefes de seguridade da información (CISO) inclúan o ransomware como un dos seus cinco principais riscos comerciais.
O Acronis Cyber Protection Operation Center (CPOC), situado en Singapur, confirma un aumento da ciberdelincuencia na área de Ransomware. Na segunda quincena de maio bloqueouse un 20 % máis de ransomware en todo o mundo do habitual. Despois dun lixeiro descenso, agora en xuño volvemos a ver un aumento da actividade. E hai varias razóns para iso.
Entra no ordenador da vítima
As tecnoloxías de seguridade están a evolucionar e os atacantes teñen que cambiar un pouco as súas tácticas para entrar nun sistema específico. Os ataques de ransomware dirixidos seguen estendéndose a través de correos electrónicos de phishing ben deseñados (incluída a enxeñaría social). Non obstante, ultimamente, os desenvolvedores de malware están a prestar moita atención aos traballadores remotos. Para atacalos, podes atopar servizos de acceso remoto mal protexidos, como RDP ou servidores VPN con vulnerabilidades.
Isto é o que fan. Incluso hai ransomware-as-a-services na darknet que proporcionan todo o que precisa para atacar a unha organización ou persoa escollida.
Os atacantes buscan calquera forma de penetrar nunha rede corporativa e ampliar o seu espectro de ataque. Así, os intentos de infectar as redes de provedores de servizos convertéronse nunha tendencia popular. Dado que os servizos na nube están a gañar popularidade hoxe en día, a infección dun servizo popular fai posible atacar decenas ou mesmo centos de vítimas á vez.
Se a xestión da seguridade baseada na web ou as consolas de copia de seguranza están comprometidas, os atacantes poden desactivar a protección, eliminar copias de seguridade e permitir que o seu malware se propague por toda a organización. Por certo, é por iso que os expertos recomendan protexer coidadosamente todas as contas de servizo mediante a autenticación de varios factores. Por exemplo, todos os servizos na nube de Acronis permítenche instalar unha dobre protección, porque se o teu contrasinal se ve comprometido, os atacantes poden negar todos os beneficios do uso dun sistema completo de protección cibernética.
Ampliación do espectro de ataque
Cando se alcanza o obxectivo querido e o malware xa está dentro da rede corporativa, adoitan utilizarse tácticas bastante estándar para a súa posterior distribución. Os atacantes estudan a situación e esfórzanse por superar as barreiras que se crearon dentro da empresa para contrarrestar as ameazas. Esta parte do ataque pode ocorrer manualmente (despois de todo, se xa caeron na rede, entón o cebo está no anzuelo!). Para iso utilízanse ferramentas coñecidas, como PowerShell, WMI PsExec, así como o novo emulador Cobalt Strike e outras utilidades. Algúns grupos criminais apuntan especificamente aos xestores de contrasinais para penetrar máis profundamente nunha rede corporativa. E malware como Ragnar foi visto recentemente nunha imaxe completamente pechada da máquina virtual VirtualBox, que axuda a ocultar a presenza de software estranxeiro na máquina.
Así, unha vez que o malware entra na rede corporativa, intenta comprobar o nivel de acceso do usuario e utilizar contrasinais roubados. Utilidades como Mimikatz e Bloodhound & Co. axuda a piratear contas de administrador de dominios. E só cando o atacante considera esgotadas as opcións de distribución, o ransomware descárgase directamente nos sistemas cliente.
Ransomware como tapa
Dada a gravidade da ameaza de perda de datos, cada ano son máis as empresas que implementan o chamado "plan de recuperación ante desastres". Grazas a isto, non teñen que preocuparse demasiado polos datos cifrados e, en caso de ataque de Ransomware, non comezan a recoller o rescate, senón que inician o proceso de recuperación. Pero os atacantes tampouco dormen. Baixo o pretexto de Ransomware, prodúcese un roubo masivo de datos. Maze foi o primeiro en utilizar este tipo de tácticas en masa en 2019, aínda que outros grupos combinaban ataques periódicamente. Agora, polo menos, Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO e Sekhmet están implicados no roubo de datos en paralelo ao cifrado.
Ás veces, os atacantes conseguen desviar decenas de terabytes de datos dunha empresa, que poderían ser detectados por ferramentas de vixilancia da rede (se estivesen instalados e configurados). Despois de todo, a maioría das veces a transferencia de datos ocorre simplemente usando scripts FTP, Putty, WinSCP ou PowerShell. Para superar os sistemas de monitorización de redes e DLP, os datos pódense cifrar ou enviar como un arquivo protexido con contrasinal, un novo reto para os equipos de seguridade que precisan comprobar o tráfico de saída destes ficheiros.
O estudo do comportamento dos ladrones de información mostra que os atacantes non recollen todo: só lles interesan informes financeiros, bases de datos de clientes, datos persoais de empregados e clientes, contratos, rexistros e documentos legais. O malware analiza as unidades para buscar calquera información que teoricamente se poida usar para chantaxe.
Se tal ataque ten éxito, os atacantes adoitan publicar un pequeno teaser, que mostra varios documentos que confirman que se filtraron datos da organización. E algúns grupos publican todo o conxunto de datos no seu sitio web se xa expirou o prazo para pagar o rescate. Para evitar o bloqueo e garantir unha ampla cobertura, os datos tamén se publican na rede TOR.
Outra forma de monetizar é vendendo datos. Por exemplo, Sodinokibi anunciou recentemente poxas abertas nas que os datos van ao mellor postor. O prezo inicial destes intercambios é de $ 50-100K dependendo da calidade e contido dos datos. Por exemplo, un conxunto de 10 rexistros de fluxos de caixa, datos comerciais confidenciais e carnés de conducir dixitalizados vendéronse por tan só 000 dólares, e por 100 dólares podíase mercar máis de 000 documentos financeiros máis tres bases de datos de ficheiros contables e datos de clientes.
Os sitios onde se publican as filtracións varían moito. Esta pode ser unha páxina sinxela na que simplemente se publica todo o roubado, pero tamén hai estruturas máis complexas con seccións e posibilidade de compra. Pero o principal é que todos teñen o mesmo propósito: aumentar as posibilidades de que os atacantes consigan diñeiro real. Se este modelo de negocio dá bos resultados para os atacantes, non hai dúbida de que haberá aínda máis sitios similares, e ampliaranse aínda máis as técnicas para roubar e monetizar datos corporativos.
Así son os sitios actuais que publican filtracións de datos:
Que facer cos novos ataques
O principal desafío para os equipos de seguridade nestas condicións é que recentemente, cada vez máis incidentes relacionados con Ransomware resultan ser simplemente unha distracción do roubo de datos. Os atacantes xa non dependen só do cifrado do servidor. Pola contra, o obxectivo principal é organizar unha filtración mentres estás loitando contra o ransomware.
Así, usar só un sistema de copia de seguridade, aínda cun bo plan de recuperación, non é suficiente para contrarrestar as ameazas de varias capas. Non, por suposto, tampouco pode prescindir de copias de seguridade, porque os atacantes definitivamente tentarán cifrar algo e pedir un rescate. A cuestión é máis ben que agora cada ataque que use Ransomware debería considerarse como un motivo para unha análise exhaustiva do tráfico e iniciar unha investigación sobre un posible ataque. Tamén debes pensar en funcións de seguranza adicionais que poderían:
- Detecta rapidamente ataques e analiza a actividade de rede inusual mediante a IA
- Recupera os sistemas ao instante dos ataques de ransomware de día cero para que poidas supervisar a actividade da rede
- Bloquea a propagación de malware clásico e novos tipos de ataques na rede corporativa
- Analiza o software e os sistemas (incluído o acceso remoto) para detectar vulnerabilidades e exploits actuais
- Evitar a transferencia de información non identificada máis aló do perímetro corporativo
Só os usuarios rexistrados poden participar na enquisa. , por favor.
Algunha vez analizaches a actividade en segundo plano durante un ataque de ransomware?
-
20,0%Si 1
-
80,0%No 4
Votaron 5 usuarios. 2 usuarios abstivéronse.
Fonte: www.habr.com