Datalekken zijn een pijnpunt voor veiligheidsdiensten. En nu de meeste mensen thuiswerken is het gevaar op lekkages veel groter. Dit is de reden waarom bekende cybercriminele groepen steeds meer aandacht besteden aan verouderde en onvoldoende veilige protocollen voor externe toegang. En interessant genoeg worden tegenwoordig steeds meer datalekken in verband gebracht met ransomware. Hoe, waarom en op welke manier - lees onder de snede.
Laten we beginnen met het feit dat de ontwikkeling en distributie van ransomware op zichzelf een zeer winstgevende criminele onderneming is. Volgens de Amerikaanse FBI bijvoorbeeld het afgelopen jaar verdiende ze ongeveer $ 1 miljoen per maand. En de aanvallers die Ryuk gebruikten, ontvingen zelfs nog meer: aan het begin van de activiteiten van de groep bedroegen hun inkomsten $ 3 miljoen per maand. Het is dus geen verrassing dat veel Chief Information Security Officers (CISO's) ransomware als een van hun top vijf bedrijfsrisico's beschouwen.
Het Acronis Cyber Protection Operation Center (CPOC), gevestigd in Singapore, bevestigt een toename van cybercriminaliteit op het gebied van Ransomware. In de tweede helft van mei werd wereldwijd 20% meer ransomware geblokkeerd dan normaal. Na een lichte daling zien we nu in juni weer een toename van de activiteit. En daar zijn verschillende redenen voor.
Ga naar de computer van het slachtoffer
Beveiligingstechnologieën evolueren en aanvallers moeten hun tactiek enigszins veranderen om in een specifiek systeem binnen te dringen. Gerichte ransomware-aanvallen blijven zich verspreiden via goed ontworpen phishing-e-mails (inclusief social engineering). De laatste tijd besteden malware-ontwikkelaars echter veel aandacht aan externe medewerkers. Om ze aan te vallen, kun je slecht beveiligde diensten voor externe toegang vinden, zoals RDP, of VPN-servers met kwetsbaarheden.
Dit is wat ze doen. Er zijn zelfs ransomware-as-a-services op het darknet die alles bieden wat je nodig hebt om een gekozen organisatie of persoon aan te vallen.
Aanvallers zijn op zoek naar manieren om een bedrijfsnetwerk binnen te dringen en hun aanvalsspectrum uit te breiden. Pogingen om de netwerken van dienstverleners te infecteren zijn dus een populaire trend geworden. Omdat clouddiensten tegenwoordig steeds populairder worden, maakt de infectie van een populaire dienst het mogelijk om tientallen of zelfs honderden slachtoffers tegelijk aan te vallen.
Als webgebaseerd beveiligingsbeheer of back-upconsoles in gevaar komen, kunnen aanvallers de beveiliging uitschakelen, back-ups verwijderen en toestaan dat hun malware zich door de organisatie verspreidt. Dit is trouwens de reden waarom experts aanbevelen om alle serviceaccounts zorgvuldig te beschermen met behulp van meervoudige authenticatie. Met alle Acronis-cloudservices kunt u bijvoorbeeld dubbele bescherming installeren, want als uw wachtwoord wordt gecompromitteerd, kunnen aanvallers alle voordelen van het gebruik van een uitgebreid cyberbeveiligingssysteem teniet doen.
Het aanvalsspectrum uitbreiden
Wanneer het gekoesterde doel is bereikt en de malware zich al binnen het bedrijfsnetwerk bevindt, worden meestal vrij standaardtactieken gebruikt voor verdere verspreiding. Aanvallers bestuderen de situatie en streven ernaar de barrières te overwinnen die binnen het bedrijf zijn opgeworpen om bedreigingen het hoofd te bieden. Dit deel van de aanval kan handmatig plaatsvinden (als ze immers al in het net zijn gevallen, dan zit het aas aan de haak!). Hiervoor worden bekende tools gebruikt, zoals PowerShell, WMI PsExec, maar ook de nieuwere Cobalt Strike-emulator en andere hulpprogramma's. Sommige criminele groepen richten zich specifiek op wachtwoordbeheerders om dieper in een bedrijfsnetwerk door te dringen. En malware zoals Ragnar werd onlangs gezien in een volledig gesloten afbeelding van de virtuele VirtualBox-machine, wat helpt de aanwezigheid van buitenlandse software op de machine te verbergen.
Zodra de malware het bedrijfsnetwerk binnendringt, probeert deze dus het toegangsniveau van de gebruiker te controleren en gestolen wachtwoorden te gebruiken. Hulpprogramma's zoals Mimikatz en Bloodhound & Co. help domeinbeheerderaccounts te hacken. En alleen wanneer de aanvaller de distributiemogelijkheden uitgeput acht, wordt de ransomware rechtstreeks naar de clientsystemen gedownload.
Ransomware als dekmantel
Gezien de ernst van de dreiging van gegevensverlies implementeren steeds meer bedrijven het zogenaamde “Disaster recovery plan”. Hierdoor hoeven ze zich niet al te veel zorgen te maken over de versleutelde gegevens en beginnen ze bij een Ransomware-aanval niet met het innen van het losgeld, maar met het herstelproces. Maar de aanvallers slapen ook niet. Onder het mom van Ransomware vindt er massale gegevensdiefstal plaats. Maze was de eerste die dergelijke tactieken massaal gebruikte in 2019, hoewel andere groepen periodiek aanvallen combineerden. Nu zijn in ieder geval Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO en Sekhmet bezig met gegevensdiefstal, parallel aan encryptie.
Soms slagen aanvallers erin tientallen terabytes aan gegevens van een bedrijf over te hevelen, wat gedetecteerd had kunnen worden door netwerkmonitoringtools (als ze geïnstalleerd en geconfigureerd waren). Gegevensoverdracht gebeurt immers meestal eenvoudigweg met behulp van FTP-, Putty-, WinSCP- of PowerShell-scripts. Om DLP- en netwerkbewakingssystemen te omzeilen, kunnen gegevens worden gecodeerd of verzonden als een met een wachtwoord beveiligd archief, een nieuwe uitdaging voor beveiligingsteams die uitgaand verkeer op dergelijke bestanden moeten controleren.
Uit onderzoek naar het gedrag van infostealers blijkt dat aanvallers niet alles verzamelen: ze zijn alleen geïnteresseerd in financiële rapporten, klantendatabases, persoonlijke gegevens van werknemers en klanten, contracten, archieven en juridische documenten. De malware scant schijven op alle informatie die theoretisch zou kunnen worden gebruikt voor chantage.
Als zo’n aanval succesvol is, publiceren de aanvallers doorgaans een kleine teaser, waarin verschillende documenten te zien zijn die bevestigen dat er gegevens uit de organisatie zijn gelekt. En sommige groepen publiceren de volledige dataset op hun website als de tijd voor het betalen van het losgeld al is verstreken. Om blokkering te voorkomen en een brede dekking te garanderen, worden de gegevens ook op het TOR-netwerk gepubliceerd.
Een andere manier om inkomsten te genereren is door gegevens te verkopen. Zo heeft Sodinokibi onlangs open veilingen aangekondigd waarbij gegevens naar de hoogste bieder gaan. De startprijs voor dergelijke transacties bedraagt €50-100, afhankelijk van de kwaliteit en inhoud van de gegevens. Een set van 10 cashflowgegevens, vertrouwelijke bedrijfsgegevens en gescande rijbewijzen werden bijvoorbeeld verkocht voor slechts $000. En voor $100 kon men meer dan 000 financiële documenten kopen, plus drie databases met boekhoudbestanden en klantgegevens.
De sites waar lekken worden gepubliceerd lopen sterk uiteen. Dit kan een eenvoudige pagina zijn waarop alles wat gestolen is gewoon geplaatst wordt, maar er zijn ook complexere structuren met secties en de mogelijkheid tot aankoop. Maar het belangrijkste is dat ze allemaal hetzelfde doel dienen: de kans vergroten dat aanvallers echt geld krijgen. Als dit bedrijfsmodel goede resultaten oplevert voor aanvallers, bestaat er geen twijfel over dat er nog meer soortgelijke sites zullen komen, en dat de technieken voor het stelen en te gelde maken van bedrijfsgegevens verder zullen worden uitgebreid.
Zo zien de huidige sites die datalekken publiceren eruit:
Wat te doen met nieuwe aanvallen
De grootste uitdaging voor beveiligingsteams in deze omstandigheden is dat de laatste tijd steeds meer incidenten met betrekking tot ransomware eenvoudigweg een afleiding van gegevensdiefstal blijken te zijn. Aanvallers vertrouwen niet langer alleen op serverversleuteling. Integendeel, het belangrijkste doel is het organiseren van een lek terwijl je de strijd aangaat met ransomware.
Het gebruik van alleen een back-upsysteem is dus, zelfs met een goed herstelplan, niet voldoende om meerlaagse bedreigingen het hoofd te bieden. Nee, natuurlijk kun je ook niet zonder back-upkopieën, want aanvallers zullen zeker proberen iets te versleutelen en om losgeld te vragen. Het punt is veeleer dat nu elke aanval waarbij gebruik wordt gemaakt van Ransomware moet worden beschouwd als een reden voor een uitgebreide analyse van het verkeer en het starten van een onderzoek naar een mogelijke aanval. U moet ook nadenken over aanvullende beveiligingsfuncties die:
- Detecteer snel aanvallen en analyseer ongebruikelijke netwerkactiviteit met behulp van AI
- Herstel systemen onmiddellijk van zero-day Ransomware-aanvallen, zodat u de netwerkactiviteit kunt controleren
- Blokkeer de verspreiding van klassieke malware en nieuwe soorten aanvallen op het bedrijfsnetwerk
- Analyseer software en systemen (inclusief externe toegang) op huidige kwetsbaarheden en exploits
- Voorkom de overdracht van ongeïdentificeerde informatie buiten de bedrijfsgrenzen
Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. , Alsjeblieft.
Heeft u ooit achtergrondactiviteit geanalyseerd tijdens een Ransomware-aanval?
20,0%Ja1
80,0%Geen4
5 gebruikers hebben gestemd. 2 gebruikers onthielden zich van stemming.
Bron: www.habr.com
