Datelecks sinn e schlëmme Punkt fir Sécherheetsservicer. An elo, wou déi meescht Leit vun doheem schaffen, ass d'Gefor vu Fuite vill méi grouss. Dëst ass firwat bekannte Cyberkriminelle Gruppe méi Opmierksamkeet op verännert an net genuch sécher Fernzugriffsprotokoller bezuelen. An interessanterweis sinn ëmmer méi Dateleaks haut mat Ransomware verbonnen. Wéi, firwat a wéi eng Manéier - liest ënnert dem Schnëtt.
Loosst eis mat der Tatsaach ufänken datt d'Entwécklung an d'Verdeelung vu Ransomware e ganz rentabele kriminellen Geschäft an sech selwer ass. Zum Beispill, laut dem amerikanesche FBI, iwwer d'lescht Joer, si verdéngt ongeféier $ 1 Millioun pro Mount. An d'Ugräifer, déi de Ryuk benotzt hunn, kruten nach méi - am Ufank vun den Aktivitéiten vun der Grupp hunn hir Akommes op $ 3 Millioune pro Mount belaf. Also et ass keng Iwwerraschung datt vill Chef Informatiounssécherheetsbeamten (CISOs) Ransomware als ee vun hiren Top fënnef Geschäftsrisiken opzielen.
Den Acronis Cyber Protection Operation Center (CPOC), zu Singapur, bestätegt eng Erhéijung vun der Cyberkriminalitéit am Ransomware Beräich. An der zweeter Halschent vum Mee goufen 20% méi Ransomware weltwäit blockéiert wéi soss. No engem liichte Réckgang gesi mer elo am Juni nees eng Erhéijung vun der Aktivitéit. An et gi verschidde Grënn dofir.
Gitt op de Computer vum Affer
Sécherheetstechnologien entwéckelen sech, an Ugräifer mussen hir Taktik e bëssen änneren fir an e spezifesche System ze kommen. Geziilte Ransomware Attacke verbreet sech weider duerch gutt entworf Phishing-E-Mailen (inklusiv Social Engineering). Wéi och ëmmer, zënter kuerzem hunn Malware Entwéckler vill Opmierksamkeet op Fernaarbechter bezuelt. Fir se ze attackéieren, kënnt Dir schlecht geschützte Fernzugriffsservicer fannen, wéi RDP, oder VPN Server mat Schwachstelle.
Dëst ass wat se maachen. Et gi souguer Ransomware-as-a-Servicer um Darknet déi alles ubidden wat Dir braucht fir eng gewielte Organisatioun oder Persoun z'attackéieren.
Ugräifer sichen no engem Wee fir e Firmennetz ze penetréieren an hiren Attackspektrum auszebauen. Also, Versuche fir d'Netzwierker vun den Déngschtleeschter ze infizéieren sinn e populäre Trend ginn. Zënter datt Cloud-Servicer haut just Popularitéit gewannen, mécht d'Infektioun vun engem populäre Service et méiglech Dosende oder souguer Honnerte vun Affer gläichzäiteg ze attackéieren.
Wann Web-baséiert Sécherheetsmanagement oder Backup Konsolen kompromittéiert sinn, kënnen Ugräifer de Schutz auszeschalten, Backups läschen an erlaben hir Malware duerch d'Organisatioun ze verbreeden. Iwwregens, dofir recommandéiere Experten suergfälteg all Servicekonten ze schützen mat Multi-Faktor Authentifikatioun. Zum Beispill, all Acronis Cloud Servicer erlaben Iech duebel Schutz z'installéieren, well wann Äert Passwuert kompromittéiert ass, kënnen Ugräifer all d'Virdeeler vun engem ëmfaassenden Cyberschutzsystem negéieren.
Ausbau vun der Attack Spektrum
Wann dat geschätzte Zil erreecht gëtt, an d'Malware ass schonn am Firmennetz, ginn zimlech Standard Taktike normalerweis fir weider Verbreedung benotzt. Ugräifer studéieren d'Situatioun a striewen d'Barrièren ze iwwerwannen, déi an der Firma erstallt goufen fir Bedrohungen entgéint ze wierken. Dësen Deel vun der Attack kann manuell stattfannen (schliisslech, wa se schonn an d'Netz gefall sinn, dann ass de Köder um Haken!). Fir dëst gi bekannte Tools benotzt, wéi PowerShell, WMI PsExec, souwéi den neie Cobalt Strike Emulator an aner Utilities. E puer kriminell Gruppen zielen speziell Passwuertmanager fir méi déif an e Firmennetz ze penetréieren. A Malware wéi Ragnar gouf viru kuerzem an engem komplett zouene Bild vun der VirtualBox virtueller Maschinn gesi gesinn, déi hëlleft d'Präsenz vun auslännesche Software op der Maschinn ze verstoppen.
Soubal d'Malware an de Firmennetz erakënnt, probéiert se den Zougangsniveau vum Benotzer z'iwwerpréiwen a geklauten Passwierder ze benotzen. Utilities wéi Mimikatz a Bloodhound & Co. hëllefen Hack Domain Administrator Konte. A nëmmen wann den Ugräifer d'Verdeelungsoptiounen erschöpft betruecht, gëtt d'Ransomware direkt op Clientsystemer erofgelueden.
Ransomware als Cover
Wéinst der Eescht vun der Bedrohung vum Dateverloscht, implementéieren all Joer ëmmer méi Firmen de sougenannten "Katastrophen Erhuelungsplan". Dank dësem musse se sech net ze vill iwwer déi verschlësselte Donnéeën këmmeren, an am Fall vun engem Ransomware Attack fänken se net un d'Léisegeld ze sammelen, mee starten den Erhuelungsprozess. Awer d'Attacker schlofen och net. Ënnert dem Deckmantel vu Ransomware geschitt massiv Dateklau. Maze war déi éischt fir esou Taktiken en masse zréck am Joer 2019 ze benotzen, obwuel aner Gruppen periodesch Attacke kombinéiert hunn. Elo sinn op d'mannst Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO a Sekhmet parallel mat der Verschlësselung engagéiert.
Heiansdo verwalten Ugräifer Zénger vun Terabytes vun Daten aus enger Firma ze siphon, déi duerch Netzwierk Iwwerwaachungsinstrumenter erkannt ginn hätten (wann se installéiert a konfiguréiert waren). No allem geschitt meeschtens Datenübertragung einfach mat FTP, Putty, WinSCP oder PowerShell Scripten. Fir DLP an Netzwierk Iwwerwaachungssystemer ze iwwerwannen, kënnen d'Donnéeë verschlësselt oder als Passwuert geschützt Archiv geschéckt ginn, eng nei Erausfuerderung fir Sécherheetsteams, déi den ausgaangenen Traffic fir esou Dateie musse kontrolléieren.
D'Behuele vun Infostealer studéieren weist datt Ugräifer net alles sammelen - si sinn nëmme fir finanziell Berichter interesséiert, Clientdatenbanken, perséinlech Donnéeë vu Mataarbechter a Clienten, Kontrakter, records a juristesch Dokumenter. De Malware scannt Drive fir all Informatioun déi theoretesch fir Erpressung benotzt ka ginn.
Wann esou en Attack erfollegräich ass, verëffentlechen d'Ugräifer normalerweis e klengen Teaser, deen e puer Dokumenter weist, déi bestätegen, datt d'Donnéeën aus der Organisatioun ausgelaf sinn. A verschidde Gruppen publizéieren de ganzen Datesaz op hirer Websäit wann d'Zäit fir d'Léisegeld ze bezuelen ass scho ofgelaf. Fir d'Blockéierung ze vermeiden an eng breet Ofdeckung ze garantéieren, ginn d'Donnéeën och am TOR Netz publizéiert.
Eng aner Manéier fir ze monetiséieren ass duerch Daten ze verkafen. Zum Beispill, Sodinokibi huet viru kuerzem offen Auktiounen ugekënnegt, an deenen d'Donnéeën un den héchsten Offer ginn. De Startpräis fir sou Handelen ass $ 50-100K ofhängeg vun der Qualitéit an Inhalt vun den Donnéeën. Zum Beispill, eng Rei vun 10 boer Flux records, vertraulech Affär Donnéeën a gescannt Führerschäin verkaf fir esou wéineg wéi $ 000. A fir $ 100 kéint ee kafen méi wéi 000 finanziell Dokumenter plus dräi Datenbanken vun Comptablesmethod Fichieren a Client Daten.
D'Site wou Leckage publizéiert gi variéieren vill. Dëst kann eng einfach Säit sinn, op där alles wat geklaut gëtt, einfach gepost gëtt, awer et ginn och méi komplex Strukturen mat Sektiounen an d'Méiglechkeet fir ze kafen. Mä den Haapt Saach ass, datt se all déi selwecht Zweck déngen - d'Chancen vun Ugräifer real Suen ze Erhéijung. Wann dëse Geschäftsmodell gutt Resultater fir Ugräifer weist, ass et keen Zweiwel datt et nach méi ähnlech Siten gëtt, an Techniken fir d'Firmendaten ze klauen an ze monetiséieren wäert weider ausgebaut ginn.
Dëst ass wéi déi aktuell Siten ausgesinn, déi Dateleaks publizéieren:
Wat mat neien Attacken ze maachen
D'Haaptfuerderung fir Sécherheetsteams an dëse Bedéngungen ass datt viru kuerzem ëmmer méi Tëschefäll am Zesummenhang mat Ransomware sech als einfach Oflenkung vum Datepib ausweisen. Ugräifer vertrauen net méi nëmmen op Serververschlësselung. Am Géigendeel, d'Haaptziel ass e Leck ze organiséieren wärend Dir géint Ransomware kämpft.
Also, e Backup-System eleng ze benotzen, och mat engem gudden Erhuelungsplang, ass net genuch fir Multi-Layer Bedrohungen entgéintzewierken. Nee, natierlech, Dir kënnt och net ouni Backupkopien maachen, well Ugräifer definitiv probéieren eppes ze verschlësselen an no engem Léisegeld ze froen. De Punkt ass éischter datt elo all Attack mat Ransomware als Grond fir eng ëmfaassend Analyse vum Traffic ugesi soll ginn an eng Enquête iwwer eng méiglech Attack lancéiert. Dir sollt och iwwer zousätzlech Sécherheetsfeatures denken, déi kéinten:
- Entdeckt séier Attacken an analyséiert ongewéinlech Netzwierkaktivitéit mat AI
- Direkt Systemer vun Null-Dag Ransomware Attacke recuperéieren sou datt Dir Netzwierkaktivitéit iwwerwaache kënnt
- Blockéiert d'Verbreedung vu klassesche Malware an nei Aarte vun Attacken op de Firmennetz
- Analyséiert Software a Systemer (inklusiv Fernzougang) fir aktuell Schwachstelle an Ausnotzen
- Verhënnert den Transfer vun onidentifizéierten Informatioun iwwer de Firmenperimeter
Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen. , wann ech glift.
Hutt Dir jeemools Hannergrondaktivitéit während engem Ransomware Attack analyséiert?
-
20,0%jo1
-
80,0%Nee4
5 Benotzer hunn gestëmmt. 2 Benotzer hu sech enthalen.
Source: will.com