Curenje podataka je bolna točka sigurnosnih službi. A sada kada većina ljudi radi od kuće, opasnost od curenja je mnogo veća. Zbog toga poznate kibernetičke kriminalne skupine sve veću pozornost posvećuju zastarjelim i nedovoljno sigurnim protokolima za daljinski pristup. I, zanimljivo, sve više i više curenja podataka danas je povezano s Ransomwareom. Kako, zašto i na koji način – pročitajte ispod rubrike.
Počnimo s činjenicom da je razvoj i distribucija ransomwarea sam po sebi vrlo profitabilan kriminalni posao. Na primjer, prema američkom FBI-u, tijekom prošle godine zaradila je otprilike milijun dolara mjesečno. A napadači koji su koristili Ryuk dobili su još više - na početku aktivnosti grupe njihov prihod iznosio je 1 milijuna dolara mjesečno. Stoga ne čudi da mnogi glavni službenici za informacijsku sigurnost (CISO) navode ransomware kao jedan od svojih pet najvećih poslovnih rizika.
Acronis Cyber Protection Operation Center (CPOC), smješten u Singapuru, potvrđuje porast kibernetičkog kriminala u području Ransomwarea. U drugoj polovici svibnja diljem svijeta blokirano je 20% više ransomwarea nego inače. Nakon blagog pada, sada u lipnju ponovno bilježimo porast aktivnosti. I za to postoji nekoliko razloga.
Uđite u žrtvino računalo
Sigurnosne tehnologije se razvijaju, a napadači moraju ponešto promijeniti svoju taktiku kako bi ušli u određeni sustav. Ciljani Ransomware napadi nastavljaju se širiti putem dobro osmišljene phishing e-pošte (uključujući društveni inženjering). Međutim, u posljednje vrijeme programeri zlonamjernog softvera mnogo pažnje posvećuju udaljenim radnicima. Da biste ih napali, možete pronaći slabo zaštićene usluge daljinskog pristupa, kao što je RDP, ili VPN poslužitelje s ranjivostima.
Ovo je ono što oni rade. Postoje čak i ransomware-as-a-usluge na darknetu koje pružaju sve što vam je potrebno za napad na odabranu organizaciju ili osobu.
Napadači traže bilo koji način da prodru u korporativnu mrežu i prošire svoj spektar napada. Stoga su pokušaji zaraze mreža davatelja usluga postali popularan trend. Budući da usluge u oblaku danas tek dobivaju na popularnosti, infekcija popularne usluge omogućuje napad na desetke ili čak stotine žrtava odjednom.
Ako su konzole za sigurnosno upravljanje temeljene na webu ili sigurnosne kopije ugrožene, napadači mogu onemogućiti zaštitu, izbrisati sigurnosne kopije i dopustiti svom zlonamjernom softveru da se proširi cijelom organizacijom. Usput, zbog toga stručnjaci preporučuju pažljivu zaštitu svih računa usluga korištenjem višefaktorske provjere autentičnosti. Na primjer, sve Acronis usluge u oblaku omogućuju instaliranje dvostruke zaštite, jer ako je vaša lozinka ugrožena, napadači mogu poništiti sve prednosti korištenja sveobuhvatnog sustava cyber zaštite.
Širenje spektra napada
Kada je željeni cilj postignut, a malware je već unutar korporativne mreže, obično se koriste standardne taktike za daljnju distribuciju. Napadači proučavaju situaciju i nastoje prevladati barijere koje su unutar tvrtke stvorene za suzbijanje prijetnji. Ovaj dio napada može se odvijati ručno (uostalom, ako su već upali u mrežu, mamac je na udici!). Za to se koriste poznati alati kao što su PowerShell, WMI PsExec, kao i noviji Cobalt Strike emulator i drugi alati. Neke kriminalne skupine posebno ciljaju upravitelje lozinki kako bi prodrle dublje u korporativnu mrežu. Zlonamjerni softver kao što je Ragnar nedavno je viđen u potpuno zatvorenoj slici VirtualBox virtualnog stroja, koji pomaže sakriti prisutnost stranog softvera na stroju.
Dakle, nakon što zlonamjerni softver uđe u korporativnu mrežu, pokušava provjeriti razinu pristupa korisnika i koristiti ukradene lozinke. Komunalna poduzeća kao što su Mimikatz i Bloodhound & Co. pomoć pri hakiranju administratorskih računa domene. I tek kada napadač smatra da su mogućnosti distribucije iscrpljene, ransomware se preuzima izravno na klijentske sustave.
Ransomware kao paravan
S obzirom na ozbiljnost prijetnje gubitka podataka, svake godine sve više tvrtki provodi tzv. „Disaster recovery plan“. Zahvaljujući tome ne moraju se previše brinuti oko kriptiranih podataka, a u slučaju napada Ransomwarea ne kreću s prikupljanjem otkupnine, već pokreću proces oporavka. Ali ni napadači ne spavaju. Pod krinkom Ransomwarea dolazi do masovne krađe podataka. Maze je prvi masovno koristio takvu taktiku još 2019., iako su druge grupe povremeno kombinirale napade. Sada se barem Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO i Sekhmet bave krađom podataka paralelno s enkripcijom.
Ponekad napadači uspiju izvući desetke terabajta podataka iz tvrtke, što su mogli otkriti alati za nadzor mreže (da su bili instalirani i konfigurirani). Uostalom, najčešće se prijenos podataka događa jednostavnim korištenjem FTP, Putty, WinSCP ili PowerShell skripti. Kako bi se nadvladali DLP i sustavi za nadzor mreže, podaci se mogu šifrirati ili poslati kao arhiva zaštićena lozinkom, što je novi izazov za sigurnosne timove koji trebaju provjeriti odlazni promet za takve datoteke.
Proučavanje ponašanja infostealera pokazuje da napadači ne prikupljaju sve – zanimaju ih samo financijska izvješća, baze klijenata, osobni podaci zaposlenika i klijenata, ugovori, evidencije i pravni dokumenti. Zlonamjerni softver skenira diskove u potrazi za informacijama koje bi se teoretski mogle koristiti za ucjenu.
Ako je takav napad uspješan, napadači obično objave mali teaser, prikazujući nekoliko dokumenata koji potvrđuju da su podaci procurili iz organizacije. A neke grupe objavljuju cijeli skup podataka na svojoj web stranici ako je vrijeme za plaćanje otkupnine već isteklo. Kako bi se izbjeglo blokiranje i osigurala široka pokrivenost, podaci se objavljuju i na TOR mreži.
Drugi način unovčavanja je prodaja podataka. Na primjer, Sodinokibi je nedavno najavio otvorene dražbe u kojima podaci idu onome tko ponudi najviše. Početna cijena za takve trgovine je 50-100 tisuća dolara, ovisno o kvaliteti i sadržaju podataka. Na primjer, skup od 10 000 zapisa o novčanom tijeku, povjerljivih poslovnih podataka i skeniranih vozačkih dozvola prodan je za samo 100 000 USD, a za 50 000 USD moglo se kupiti više od 20 000 financijskih dokumenata plus tri baze podataka računovodstvenih datoteka i podataka o kupcima.
Mjesta na kojima se objavljuju curenja uvelike se razlikuju. To može biti jednostavna stranica na kojoj se jednostavno objavi sve ukradeno, ali postoje i složenije strukture s rubrikama i mogućnošću kupnje. Ali glavna stvar je da svi služe istoj svrsi - povećati šanse da napadači dobiju pravi novac. Ako ovaj poslovni model pokaže dobre rezultate za napadače, nema sumnje da će sličnih stranica biti još više, a tehnike za krađu i unovčavanje korporativnih podataka dodatno će se proširiti.
Ovako izgledaju trenutne stranice koje objavljuju curenje podataka:
Što učiniti s novim napadima
Glavni izazov za sigurnosne timove u ovom okruženju je to što se u posljednje vrijeme sve više incidenata povezanih s Ransomwareom ispostavlja samo kao odvraćanje pažnje od krađe podataka. Napadači se više ne oslanjaju samo na šifriranje poslužitelja. Naprotiv, glavni cilj je organizirati curenje dok se borite protiv ransomwarea.
Dakle, samo korištenje sigurnosnog sustava, čak i uz dobar plan oporavka, nije dovoljno za suzbijanje višeslojnih prijetnji. Ne, naravno, ne možete bez rezervnih kopija jer će napadači sigurno pokušati nešto šifrirati i tražiti otkupninu. Radi se o tome da sada svaki napad Ransomwareom treba smatrati razlogom za sveobuhvatnu analizu prometa i pokretanje istrage o mogućem napadu. Također biste trebali razmisliti o dodatnim sigurnosnim značajkama koje bi mogle:
- Brzo otkrijte napade i analizirajte neobičnu mrežnu aktivnost pomoću umjetne inteligencije
- Trenutačno oporavite sustave od zero-day Ransomware napada kako biste mogli pratiti mrežnu aktivnost
- Blokirajte širenje klasičnog zlonamjernog softvera i nove vrste napada na korporativnu mrežu
- Analizirajte softver i sustave (uključujući daljinski pristup) na trenutne ranjivosti i iskorištavanja
- Spriječite prijenos neidentificiranih informacija izvan okvira tvrtke
U anketi mogu sudjelovati samo registrirani korisnici. , molim.
Jeste li ikada analizirali pozadinske aktivnosti tijekom napada Ransomwarea?
-
20,0%Da1
-
80,0%br.4
Glasovalo je 5 korisnika. Suzdržana su bila 2 korisnika.
Izvor: www.habr.com