Gagnaleki er sár liður fyrir öryggisþjónustu. Og nú þegar flestir eru heimavinnandi er hættan á leka miklu meiri. Þetta er ástæðan fyrir því að þekktir netglæpahópar gefa gaum að úreltum og ófullnægjandi öruggum fjaraðgangssamskiptareglum. Og athyglisvert er að fleiri og fleiri gagnalekar í dag tengjast Ransomware. Hvernig, hvers vegna og á hvaða hátt - lestu undir klippunni.
Við skulum byrja á því að þróun og dreifing lausnarhugbúnaðar er mjög arðbær glæpastarfsemi í sjálfu sér. Til dæmis, samkvæmt bandaríska FBI, síðastliðið ár þénaði hún um það bil 1 milljón dollara á mánuði. Og árásarmennirnir sem notuðu Ryuk fengu enn meira - í upphafi starfsemi hópsins námu tekjur þeirra 3 milljónum dollara á mánuði. Svo það kemur ekki á óvart að margir yfirmenn upplýsingaöryggis (CISO) skrá lausnarhugbúnað sem eina af fimm stærstu viðskiptaáhættunum sínum.
Acronis Cyber Protection Operation Center (CPOC), staðsett í Singapúr, staðfestir aukningu á netglæpum á Ransomware svæðinu. Seinni hluta maí var lokað fyrir 20% meira lausnargjaldshugbúnaðar um allan heim en venjulega. Eftir smá samdrátt, nú í júní sjáum við aftur aukningu í umsvifum. Og það eru nokkrar ástæður fyrir þessu.
Farðu í tölvu fórnarlambsins
Öryggistækni er að þróast og árásarmenn verða að breyta aðferðum sínum nokkuð til að komast inn í ákveðið kerfi. Markvissar árásir á Ransomware halda áfram að dreifast í gegnum vel hannaðan vefveiðapóst (þar á meðal félagsverkfræði). Hins vegar, undanfarið, hafa spilliforritarar veitt fjarstarfsmönnum mikla athygli. Til að ráðast á þá geturðu fundið illa verndaða fjaraðgangsþjónustu, svo sem RDP, eða VPN netþjóna með veikleika.
Þetta er það sem þeir gera. Það eru meira að segja lausnarhugbúnaður-sem-a-þjónusta á darknetinu sem veitir allt sem þú þarft til að ráðast á valið fyrirtæki eða einstakling.
Árásarmenn eru að leita að hvaða leið sem er til að komast inn í fyrirtækjanet og auka árásarróf sitt. Þannig hafa tilraunir til að smita net þjónustuveitenda orðið vinsæl stefna. Þar sem skýjaþjónusta nýtur nýrrar vinsælda í dag gerir sýking af vinsælri þjónustu það mögulegt að ráðast á tugi eða jafnvel hundruð fórnarlamba í einu.
Ef nettengd öryggisstjórnun eða öryggisafritunartölvur eru í hættu geta árásarmenn gert vörn óvirka, eytt afritum og leyft spilliforritum sínum að dreifast um stofnunina. Við the vegur, þetta er ástæðan fyrir því að sérfræðingar mæla með því að vernda alla þjónustureikninga vandlega með því að nota fjölþátta auðkenningu. Til dæmis, allar Acronis skýjaþjónustur leyfa þér að setja upp tvöfalda vernd, því ef lykilorðið þitt er í hættu geta árásarmenn afneitað öllum kostum þess að nota alhliða netverndarkerfi.
Stækka árásarsviðið
Þegar þykja vænt markmiðinu er náð og spilliforritið er þegar inni á fyrirtækjanetinu, eru venjulega venjulegar aðferðir notaðar til frekari útbreiðslu. Árásarmenn kynna sér aðstæður og leitast við að yfirstíga þær hindranir sem hafa skapast innan fyrirtækisins til að vinna gegn ógnum. Þessi hluti árásarinnar getur átt sér stað handvirkt (eftir allt saman, ef þeir hafa þegar fallið í netið, þá er beitan á króknum!). Til þess eru notuð vel þekkt verkfæri eins og PowerShell, WMI PsExec, auk nýrri Cobalt Strike keppinautarins og fleiri tóla. Sumir glæpahópar miða sérstaklega við lykilorðastjóra til að komast dýpra inn í fyrirtækjanet. Og spilliforrit á borð við Ragnar sást nýlega á algjörlega lokaðri mynd af VirtualBox sýndarvélinni, sem hjálpar til við að fela tilvist erlends hugbúnaðar á vélinni.
Svona, þegar spilliforritið fer inn á fyrirtækjanetið, reynir það að athuga aðgangsstig notandans og nota stolið lykilorð. Veitur eins og Mimikatz og Bloodhound & Co. hjálpa til við að hakka lénsstjórareikninga. Og aðeins þegar árásarmaðurinn telur að dreifingarmöguleikar séu uppurnir, er lausnarhugbúnaðurinn sóttur beint í kerfi viðskiptavinarins.
Ransomware sem kápa
Í ljósi alvarleika hættunnar á gagnatapi, innleiða á hverju ári fleiri og fleiri fyrirtæki svokallaða „hamfarabataáætlun“. Þökk sé þessu þurfa þeir ekki að hafa of miklar áhyggjur af dulkóðuðu gögnunum og ef um Ransomware árás er að ræða byrja þeir ekki að safna lausnargjaldinu, heldur hefja bataferlið. En árásarmennirnir sofa ekki heldur. Í skjóli Ransomware á sér stað gríðarlegur gagnaþjófnaður. Maze var fyrstur til að beita slíkum aðferðum í massavís aftur árið 2019, þó að aðrir hópar hafi reglulega sameinað árásir. Nú stunda að minnsta kosti Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO og Sekhmet gagnaþjófnað samhliða dulkóðun.
Stundum tekst árásarmönnum að tína tugi terabæta af gögnum frá fyrirtæki, sem gæti hafa verið greint með netvöktunarverkfærum (ef þau hefðu verið sett upp og stillt). Þegar öllu er á botninn hvolft á sér stað gagnaflutningur einfaldlega með því að nota FTP, Putty, WinSCP eða PowerShell forskriftir. Til að sigrast á DLP og netvöktunarkerfum er hægt að dulkóða gögn eða senda sem lykilorðsvarið skjalasafn, ný áskorun fyrir öryggisteymi sem þurfa að athuga útleið fyrir slíkar skrár.
Rannsókn á hegðun upplýsingaþjófa sýnir að árásarmenn safna ekki öllu - þeir hafa aðeins áhuga á fjárhagsskýrslum, gagnagrunnum viðskiptavina, persónulegum upplýsingum starfsmanna og viðskiptavina, samningum, skrám og lagalegum skjölum. Spilliforritið skannar drif að öllum upplýsingum sem fræðilega gætu verið notaðar til fjárkúgunar.
Ef slík árás heppnast, birta árásarmennirnir venjulega litla kynningarmynd sem sýnir nokkur skjöl sem staðfesta að gögn hafi lekið frá stofnuninni. Og sumir hópar birta allt gagnasettið á vefsíðu sinni ef tíminn til að greiða lausnargjaldið er þegar liðinn. Til að forðast lokun og tryggja víðtæka umfjöllun eru gögnin einnig birt á TOR netinu.
Önnur leið til að afla tekna er með því að selja gögn. Til dæmis tilkynnti Sodinokibi nýlega opin uppboð þar sem gögn fara til hæstbjóðanda. Upphafsverð fyrir slík viðskipti er $50-100K eftir gæðum og innihaldi gagna. Til dæmis, sett af 10 sjóðstreymisgögnum, trúnaðarupplýsingum um viðskipti og skönnuð ökuskírteini seldust fyrir allt að $000. Og fyrir $100 gæti maður keypt meira en 000 fjárhagsskjöl auk þriggja gagnagrunna með bókhaldsskrám og viðskiptavinagögnum.
Mjög mismunandi er hvaða síður lekar eru birtir. Þetta getur verið einföld síða þar sem allt sem stolið er er einfaldlega sett á, en einnig eru flóknari mannvirki með köflum og möguleika á kaupum. En aðalatriðið er að þeir þjóna allir sama tilgangi - að auka líkurnar á því að árásarmenn fái alvöru peninga. Ef þetta viðskiptamódel sýnir góðan árangur fyrir árásarmenn, er enginn vafi á því að það verða enn fleiri svipaðar síður og tækni til að stela og afla tekna fyrirtækjagagna verður útvíkkuð enn frekar.
Svona líta núverandi síður út sem birta gagnaleka:
Hvað á að gera við nýjar árásir
Helsta áskorunin fyrir öryggisteymi í þessu umhverfi er að nýlega reynast fleiri og fleiri atvik tengd Ransomware aðeins vera truflun frá gagnaþjófnaði. Árásarmenn treysta ekki lengur eingöngu á dulkóðun netþjóna. Þvert á móti er aðalmarkmiðið að skipuleggja leka á meðan þú ert að berjast við lausnarhugbúnað.
Þannig að það að nota öryggisafritunarkerfi eitt sér, jafnvel með góðri endurheimtaráætlun, er ekki nóg til að vinna gegn marglaga ógnum. Nei, auðvitað geturðu ekki verið án öryggisafrita heldur, því árásarmenn munu örugglega reyna að dulkóða eitthvað og biðja um lausnargjald. Málið er frekar að nú ætti að líta á hverja árás sem notar Ransomware sem ástæðu fyrir alhliða greiningu á umferðinni og hefja rannsókn á hugsanlegri árás. Þú ættir líka að hugsa um viðbótaröryggiseiginleika sem gætu:
- Finndu árásir fljótt og greindu óvenjulega netvirkni með gervigreind
- Endurheimtu kerfi samstundis frá núll-daga Ransomware árásum svo þú getir fylgst með netvirkni
- Hindra útbreiðslu klassísks spilliforrita og nýrra tegunda árása á fyrirtækjanetið
- Greina hugbúnað og kerfi (þar á meðal fjaraðgang) fyrir núverandi veikleika og hetjudáð
- Koma í veg fyrir flutning á óþekktum upplýsingum út fyrir fyrirtækissvæðið
Aðeins skráðir notendur geta tekið þátt í könnuninni. , takk.
Hefur þú einhvern tíma greint bakgrunnsvirkni meðan á Ransomware árás stendur?
-
20,0%Já1
-
80,0%No4
5 notendur greiddu atkvæði. 2 notendur sátu hjá.
Heimild: www.habr.com