Wycieki danych to drażliwy punkt dla służb bezpieczeństwa. A teraz, gdy większość ludzi pracuje z domu, ryzyko wycieków jest znacznie większe. Dlatego znane grupy cyberprzestępcze zwracają większą uwagę na przestarzałe i niewystarczająco bezpieczne protokoły zdalnego dostępu. Co ciekawe, obecnie coraz więcej wycieków danych jest powiązanych z oprogramowaniem ransomware. Jak, dlaczego i w jaki sposób – czytaj pod nacięciem.
Zacznijmy od faktu, że tworzenie i dystrybucja oprogramowania ransomware samo w sobie jest bardzo dochodowym biznesem przestępczym. Na przykład, według amerykańskiego FBI, w ciągu ostatniego roku zarabiała około 1 miliona dolarów miesięcznie. A napastnicy, którzy wykorzystali Ryuka, otrzymali jeszcze więcej – na początku działalności grupy ich dochody sięgały 3 milionów dolarów miesięcznie. Nic więc dziwnego, że wielu dyrektorów ds. bezpieczeństwa informacji (CISO) wymienia oprogramowanie ransomware jako jedno z pięciu największych zagrożeń biznesowych.
Centrum operacyjne Acronis Cyber Protection Operation Center (CPOC), zlokalizowane w Singapurze, potwierdza wzrost cyberprzestępczości w obszarze Ransomware. W drugiej połowie maja na całym świecie zablokowano o 20% więcej oprogramowania ransomware niż zwykle. Po lekkim spadku, teraz w czerwcu ponownie obserwujemy wzrost aktywności. Jest ku temu kilka powodów.
Dostań się do komputera ofiary
Technologie zabezpieczeń ewoluują i napastnicy muszą nieco zmienić swoją taktykę, aby dostać się do konkretnego systemu. Ukierunkowane ataki ransomware w dalszym ciągu rozprzestrzeniają się za pośrednictwem dobrze zaprojektowanych wiadomości e-mail phishingowych (z wykorzystaniem inżynierii społecznej). Jednak ostatnio twórcy szkodliwego oprogramowania zwracają dużą uwagę na pracowników zdalnych. Aby je zaatakować, można znaleźć słabo chronione usługi dostępu zdalnego, takie jak RDP lub serwery VPN z lukami w zabezpieczeniach.
To jest to, co robią. W ciemnej sieci istnieje nawet oprogramowanie ransomware jako usługa, które zapewnia wszystko, czego potrzebujesz do zaatakowania wybranej organizacji lub osoby.
Atakujący szukają wszelkich sposobów na penetrację sieci korporacyjnej i rozszerzenie spektrum ataków. Tym samym popularne stały się próby infekowania sieci dostawców usług. Ponieważ usługi w chmurze dopiero dziś zyskują na popularności, infekcja popularnej usługi umożliwia zaatakowanie dziesiątek, a nawet setek ofiar jednocześnie.
Jeśli bezpieczeństwo internetowe lub konsole kopii zapasowych zostaną naruszone, napastnicy mogą wyłączyć ochronę, usunąć kopie zapasowe i pozwolić, aby ich złośliwe oprogramowanie rozprzestrzeniło się po całej organizacji. Nawiasem mówiąc, dlatego eksperci zalecają staranną ochronę wszystkich kont usług za pomocą uwierzytelniania wieloskładnikowego. Na przykład wszystkie usługi chmurowe Acronis umożliwiają zainstalowanie podwójnej ochrony, ponieważ w przypadku naruszenia hasła osoby atakujące mogą pozbawić wszystkich korzyści płynących z korzystania z kompleksowego systemu cyberochrony.
Rozszerzanie spektrum ataku
Kiedy upragniony cel zostanie osiągnięty, a szkodliwe oprogramowanie znajdzie się już w sieci korporacyjnej, w celu dalszego rozprzestrzeniania się zwykle stosuje się dość standardowe taktyki. Atakujący badają sytuację i starają się pokonać bariery, które powstały wewnątrz firmy, aby przeciwdziałać zagrożeniom. Ta część ataku może odbywać się ręcznie (w końcu jeśli wpadły już do sieci, to przynęta jest na haczyku!). Wykorzystuje się do tego dobrze znane narzędzia, takie jak PowerShell, WMI PsExec, a także nowszy emulator Cobalt Strike i inne narzędzia. Niektóre grupy przestępcze w szczególności atakują menedżerów haseł, aby wniknąć głębiej w sieć korporacyjną. Niedawno zaobserwowano złośliwe oprogramowanie, takie jak Ragnar, na całkowicie zamkniętym obrazie maszyny wirtualnej VirtualBox, co pomaga ukryć obecność obcego oprogramowania na maszynie.
Dlatego też, gdy szkodliwe oprogramowanie przedostanie się do sieci firmowej, próbuje sprawdzić poziom dostępu użytkownika i użyć skradzionych haseł. Narzędzia takie jak Mimikatz i Bloodhound & Co. pomóż włamać się na konta administratorów domeny. Dopiero gdy atakujący uzna, że możliwości dystrybucji zostały wyczerpane, oprogramowanie ransomware jest pobierane bezpośrednio do systemów klienckich.
Ransomware jako przykrywka
Biorąc pod uwagę powagę zagrożenia utratą danych, z roku na rok coraz więcej firm wdraża tzw. „Plan odzyskiwania danych po awarii”. Dzięki temu nie muszą się zbytnio martwić o zaszyfrowane dane, a w przypadku ataku Ransomware nie rozpoczynają pobierania okupu, lecz rozpoczynają proces ich odzyskiwania. Ale napastnicy też nie śpią. Pod przykrywką ransomware dochodzi do masowej kradzieży danych. Maze jako pierwszy masowo zastosował taką taktykę już w 2019 r., choć inne grupy okresowo łączyły ataki. Teraz przynajmniej Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO i Sekhmet zajmują się kradzieżą danych równolegle z szyfrowaniem.
Czasami atakującym udaje się wyssać z firmy dziesiątki terabajtów danych, które mogłyby zostać wykryte przez narzędzia do monitorowania sieci (jeśli zostałyby zainstalowane i skonfigurowane). W końcu najczęściej transfer danych odbywa się po prostu za pomocą skryptów FTP, Putty, WinSCP lub PowerShell. Aby pokonać systemy DLP i monitorowanie sieci, dane można zaszyfrować lub wysłać w formie archiwum chronionego hasłem, co stanowi nowe wyzwanie dla zespołów ds. bezpieczeństwa, które muszą sprawdzać ruch wychodzący pod kątem takich plików.
Badanie zachowań złodziei informacji pokazuje, że napastnicy nie zbierają wszystkiego – interesują ich jedynie raporty finansowe, bazy danych klientów, dane osobowe pracowników i klientów, umowy, zapisy i dokumenty prawne. Szkodnik skanuje dyski w poszukiwaniu wszelkich informacji, które teoretycznie mogłyby zostać wykorzystane do szantażu.
Jeżeli taki atak zakończy się sukcesem, napastnicy zazwyczaj publikują mały zwiastun, przedstawiający kilka dokumentów potwierdzających wyciek danych z organizacji. A niektóre grupy publikują cały zestaw danych na swojej stronie internetowej, jeśli upłynął już czas na zapłacenie okupu. Aby uniknąć blokowania i zapewnić szeroki zasięg, dane publikowane są także w sieci TOR.
Innym sposobem na zarabianie jest sprzedaż danych. Na przykład Sodinokibi ogłosiło niedawno aukcje otwarte, w których dane trafiają do oferenta, który zaoferuje najwyższą cenę. Cena początkowa takich transakcji wynosi 50-100 tys. dolarów, w zależności od jakości i zawartości danych. Na przykład zestaw 10 000 zapisów dotyczących przepływów pieniężnych, poufnych danych biznesowych i zeskanowanych praw jazdy sprzedano już za 100 000 dolarów, a za 50 000 dolarów można było kupić ponad 20 000 dokumentów finansowych oraz trzy bazy danych akt księgowych i danych klientów.
Strony, na których publikowane są przecieki, są bardzo zróżnicowane. Może to być prosta strona, na której po prostu publikuje się wszystko, co zostało skradzione, ale są też bardziej złożone struktury z sekcjami i możliwością zakupu. Ale najważniejsze jest to, że wszystkie służą temu samemu celowi - zwiększeniu szans, że atakujący otrzymają prawdziwe pieniądze. Jeśli ten model biznesowy okaże się dobry dla atakujących, nie ma wątpliwości, że podobnych witryn będzie jeszcze więcej, a techniki kradzieży danych firmowych i zarabiania na nich będą dalej rozwijane.
Tak wyglądają obecnie strony publikujące wycieki danych:
Co zrobić z nowymi atakami
Głównym wyzwaniem dla zespołów ds. bezpieczeństwa w tych warunkach jest to, że w ostatnim czasie coraz więcej incydentów związanych z ransomware okazuje się po prostu odwróceniem uwagi od kradzieży danych. Osoby atakujące nie polegają już wyłącznie na szyfrowaniu serwera. Wręcz przeciwnie, głównym celem jest zorganizowanie wycieku podczas walki z oprogramowaniem ransomware.
Dlatego samo korzystanie z systemu kopii zapasowych, nawet z dobrym planem odzyskiwania, nie wystarczy, aby przeciwdziałać wielowarstwowym zagrożeniom. Nie, oczywiście, nie można obejść się bez kopii zapasowych, ponieważ napastnicy z pewnością będą próbowali coś zaszyfrować i poprosić o okup. Chodzi raczej o to, że teraz każdy atak z wykorzystaniem Ransomware należy potraktować jako powód do kompleksowej analizy ruchu i wszczęcia dochodzenia w sprawie ewentualnego ataku. Powinieneś także pomyśleć o dodatkowych funkcjach bezpieczeństwa, które mogą:
- Szybko wykrywaj ataki i analizuj nietypową aktywność sieciową za pomocą sztucznej inteligencji
- Natychmiast odzyskuj systemy po atakach typu zero-day Ransomware, dzięki czemu możesz monitorować aktywność sieciową
- Blokuj rozprzestrzenianie się klasycznego złośliwego oprogramowania i nowych typów ataków na sieć korporacyjną
- Analizuj oprogramowanie i systemy (w tym dostęp zdalny) pod kątem aktualnych luk w zabezpieczeniach i exploitów
- Zapobiegaj przesyłaniu niezidentyfikowanych informacji poza granice firmy
W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. , Proszę.
Czy kiedykolwiek analizowałeś aktywność w tle podczas ataku ransomware?
-
20,0%Tak1
-
80,0%Nie4
Głosowało 5 użytkowników. 2 użytkowników wstrzymało się od głosu.
Źródło: www.habr.com