Le fughe di dati sono un punto dolente per i servizi di sicurezza. E ora che la maggior parte delle persone lavora da casa, il pericolo di perdite è molto maggiore. Per questo motivo noti gruppi di criminali informatici prestano sempre maggiore attenzione ai protocolli di accesso remoto obsoleti e non sufficientemente sicuri. E, cosa interessante, oggi sempre più fughe di dati sono associate al ransomware. Come, perché e in che modo: leggi sotto il taglio.
Partiamo dal fatto che lo sviluppo e la distribuzione di ransomware sono di per sé un'attività criminale molto redditizia. Secondo l’FBI americana, ad esempio, nell'ultimo anno ha guadagnato circa 1 milione di dollari al mese. E gli aggressori che hanno utilizzato Ryuk hanno ricevuto ancora di più: all'inizio delle attività del gruppo, il loro reddito ammontava a 3 milioni di dollari al mese. Non sorprende quindi che molti Chief Information Security Officer (CISO) elenchino il ransomware come uno dei cinque principali rischi aziendali.
L’Acronis Cyber Protection Operation Center (CPOC), situato a Singapore, conferma un aumento della criminalità informatica nell’area Ransomware. Nella seconda metà di maggio in tutto il mondo è stato bloccato il 20% di ransomware in più del solito. Dopo un leggero calo, ora a giugno assistiamo nuovamente ad un aumento dell'attività. E ci sono diverse ragioni per questo.
Entra nel computer della vittima
Le tecnologie di sicurezza si stanno evolvendo e gli aggressori devono modificare in qualche modo le loro tattiche per poter entrare in un sistema specifico. Gli attacchi ransomware mirati continuano a diffondersi attraverso e-mail di phishing ben progettate (incluso il social engineering). Tuttavia, ultimamente, gli sviluppatori di malware hanno prestato molta attenzione ai lavoratori remoti. Per attaccarli, puoi trovare servizi di accesso remoto scarsamente protetti, come RDP o server VPN con vulnerabilità.
Questo è ciò che fanno. Sulla darknet esistono addirittura dei ransomware-as-a-service che forniscono tutto il necessario per attaccare un'organizzazione o una persona prescelta.
Gli aggressori cercano in ogni modo di penetrare in una rete aziendale ed espandere il proprio spettro di attacchi. Pertanto i tentativi di infettare le reti dei fornitori di servizi sono diventati una tendenza popolare. Poiché oggi i servizi cloud stanno guadagnando popolarità, l'infezione di un servizio popolare consente di attaccare dozzine o addirittura centinaia di vittime contemporaneamente.
Se la gestione della sicurezza basata sul Web o le console di backup vengono compromesse, gli aggressori possono disattivare la protezione, eliminare i backup e consentire al malware di diffondersi in tutta l'organizzazione. A proposito, questo è il motivo per cui gli esperti raccomandano di proteggere attentamente tutti gli account di servizio utilizzando l'autenticazione a più fattori. Ad esempio, tutti i servizi cloud Acronis ti consentono di installare una doppia protezione, perché se la tua password viene compromessa, gli aggressori possono annullare tutti i vantaggi derivanti dall'utilizzo di un sistema di protezione informatica completo.
Ampliare lo spettro di attacco
Quando l'obiettivo desiderato viene raggiunto e il malware è già all'interno della rete aziendale, vengono solitamente utilizzate tattiche abbastanza standard per l'ulteriore distribuzione. Gli aggressori studiano la situazione e si sforzano di superare le barriere che sono state create all’interno dell’azienda per contrastare le minacce. Questa parte dell'attacco può avvenire manualmente (dopotutto, se sono già caduti nella rete, l'esca è sull'amo!). Per questo vengono utilizzati strumenti noti come PowerShell, WMI PsExec, nonché il nuovo emulatore Cobalt Strike e altre utilità. Alcuni gruppi criminali prendono di mira specificamente i gestori di password per penetrare più in profondità nella rete aziendale. E malware come Ragnar sono stati recentemente visti in un'immagine completamente chiusa della macchina virtuale VirtualBox, che aiuta a nascondere la presenza di software estraneo sulla macchina.
Pertanto, una volta che il malware entra nella rete aziendale, tenta di verificare il livello di accesso dell’utente e di utilizzare password rubate. Utilità come Mimikatz e Bloodhound & Co. aiutare ad hackerare gli account degli amministratori di dominio. E solo quando l'aggressore ritiene esaurite le possibilità di distribuzione, il ransomware viene scaricato direttamente sui sistemi client.
Ransomware come copertura
Data la gravità del rischio di perdita di dati, ogni anno sempre più aziende implementano il cosiddetto “Piano di ripristino di emergenza”. Grazie a questo, non devono preoccuparsi troppo dei dati crittografati e, in caso di attacco ransomware, non iniziano a riscuotere il riscatto, ma avviano il processo di recupero. Ma neanche gli aggressori dormono. Con il pretesto di Ransomware si verifica un massiccio furto di dati. Maze è stato il primo a utilizzare tali tattiche in massa nel 2019, sebbene altri gruppi combinassero periodicamente gli attacchi. Ora almeno Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO e Sekhmet sono impegnati nel furto di dati parallelamente alla crittografia.
A volte gli aggressori riescono a sottrarre decine di terabyte di dati da un'azienda, che potrebbero essere rilevati dagli strumenti di monitoraggio della rete (se fossero stati installati e configurati). Dopotutto, molto spesso il trasferimento dei dati avviene semplicemente utilizzando script FTP, Putty, WinSCP o PowerShell. Per superare i sistemi DLP e di monitoraggio della rete, i dati possono essere crittografati o inviati come archivio protetto da password, una nuova sfida per i team di sicurezza che devono controllare il traffico in uscita per tali file.
Lo studio del comportamento degli infostealer mostra che gli aggressori non raccolgono tutto: sono interessati solo a rapporti finanziari, database di clienti, dati personali di dipendenti e clienti, contratti, documenti e documenti legali. Il malware esegue la scansione delle unità alla ricerca di informazioni che potrebbero teoricamente essere utilizzate a scopo di ricatto.
Se un simile attacco ha successo, gli aggressori di solito pubblicano un piccolo teaser, mostrando diversi documenti che confermano la fuga di dati dall'organizzazione. E alcuni gruppi pubblicano l'intero set di dati sul proprio sito web se il tempo per pagare il riscatto è già scaduto. Per evitare blocchi e garantire un'ampia copertura, i dati vengono pubblicati anche sulla rete TOR.
Un altro modo per monetizzare è vendere dati. Ad esempio, Sodinokibi ha recentemente annunciato aste aperte in cui i dati vanno al miglior offerente. Il prezzo iniziale per tali operazioni è di $ 50-100 a seconda della qualità e del contenuto dei dati. Ad esempio, un set di 10 registrazioni di flussi di cassa, dati aziendali riservati e patenti di guida scannerizzate è stato venduto per soli 000 dollari, mentre per 100 dollari si potrebbero acquistare più di 000 documenti finanziari più tre database di file contabili e dati dei clienti.
I siti in cui vengono pubblicate le fughe di notizie variano ampiamente. Può trattarsi di una semplice pagina in cui viene semplicemente pubblicato tutto ciò che è stato rubato, ma esistono anche strutture più complesse con sezioni e possibilità di acquisto. Ma la cosa principale è che hanno tutti lo stesso scopo: aumentare le possibilità che gli aggressori ottengano denaro reale. Se questo modello di business dovesse mostrare buoni risultati per gli aggressori, non c’è dubbio che ci saranno ancora più siti simili e le tecniche per rubare e monetizzare i dati aziendali verranno ulteriormente ampliate.
Ecco come appaiono gli attuali siti che pubblicano fughe di dati:
Cosa fare con i nuovi attacchi
La sfida principale per i team di sicurezza in questo ambiente è che recentemente sempre più incidenti legati al ransomware si rivelano solo una distrazione dal furto di dati. Gli aggressori non si affidano più solo alla crittografia del server. Al contrario, l’obiettivo principale è organizzare una fuga di dati mentre si combatte il ransomware.
Pertanto, il solo utilizzo di un sistema di backup, anche con un buon piano di ripristino, non è sufficiente per contrastare le minacce su più livelli. No, ovviamente non puoi fare a meno delle copie di backup, perché gli aggressori proveranno sicuramente a crittografare qualcosa e chiederanno un riscatto. Il punto è piuttosto che ora ogni attacco tramite Ransomware dovrebbe essere considerato un motivo per un'analisi completa del traffico e per avviare un'indagine su un possibile attacco. Dovresti anche pensare a funzionalità di sicurezza aggiuntive che potrebbero:
- Rileva rapidamente gli attacchi e analizza le attività di rete insolite utilizzando l'intelligenza artificiale
- Ripristina istantaneamente i sistemi dagli attacchi ransomware zero-day in modo da poter monitorare l'attività di rete
- Blocca la diffusione dei malware classici e delle nuove tipologie di attacchi alla rete aziendale
- Analizzare software e sistemi (incluso l'accesso remoto) per individuare vulnerabilità ed exploit attuali
- Prevenire il trasferimento di informazioni non identificate oltre il perimetro aziendale
Solo gli utenti registrati possono partecipare al sondaggio. Per favore.
Hai mai analizzato l'attività in background durante un attacco ransomware?
-
20,0%Sì1
-
80,0%No4
5 utenti hanno votato. 2 utenti si sono astenuti.
Fonte: habr.com