Os vazamentos de dados são um ponto sensível para os serviços de segurança. E agora que a maioria das pessoas trabalha em casa, o perigo de vazamentos é muito maior. É por isso que grupos cibercriminosos bem conhecidos estão prestando cada vez mais atenção a protocolos de acesso remoto desatualizados e insuficientemente seguros. E, curiosamente, cada vez mais vazamentos de dados hoje estão associados ao Ransomware. Como, por que e de que maneira - leia abaixo.
Comecemos pelo fato de que o desenvolvimento e distribuição de ransomware é um negócio criminoso muito lucrativo por si só. Por exemplo, de acordo com o FBI americano, no ano passado, ela ganhou aproximadamente US$ 1 milhão por mês. E os invasores que usaram o Ryuk receberam ainda mais - no início das atividades do grupo, sua renda era de US$ 3 milhões por mês. Portanto, não é surpresa que muitos diretores de segurança da informação (CISOs) listem o ransomware como um dos cinco principais riscos comerciais.
O Acronis Cyber Protection Operation Center (CPOC), localizado em Singapura, confirma um aumento do crime cibernético na área de Ransomware. Na segunda quinzena de maio, foram bloqueados 20% mais ransomware em todo o mundo do que o habitual. Depois de uma ligeira descida, agora em Junho voltamos a assistir a um aumento da actividade. E há vários motivos para isso.
Entre no computador da vítima
As tecnologias de segurança estão evoluindo e os invasores precisam mudar um pouco suas táticas para entrar em um sistema específico. Os ataques de Ransomware direcionados continuam a se espalhar por meio de e-mails de phishing bem elaborados (incluindo engenharia social). No entanto, ultimamente, os desenvolvedores de malware têm prestado muita atenção aos trabalhadores remotos. Para atacá-los, você pode encontrar serviços de acesso remoto mal protegidos, como RDP, ou servidores VPN com vulnerabilidades.
Isto é o que eles fazem. Existem até ransomware como serviço na darknet que fornecem tudo que você precisa para atacar uma organização ou pessoa escolhida.
Os invasores estão procurando uma maneira de penetrar em uma rede corporativa e expandir seu espectro de ataque. Assim, as tentativas de infectar as redes dos prestadores de serviços tornaram-se uma tendência popular. Como os serviços em nuvem estão ganhando popularidade hoje, a infecção de um serviço popular torna possível atacar dezenas ou até centenas de vítimas ao mesmo tempo.
Se o gerenciamento de segurança baseado na Web ou os consoles de backup forem comprometidos, os invasores poderão desativar a proteção, excluir backups e permitir que seu malware se espalhe por toda a organização. A propósito, é por isso que os especialistas recomendam proteger cuidadosamente todas as contas de serviço usando autenticação multifator. Por exemplo, todos os serviços em nuvem da Acronis permitem instalar proteção dupla, porque se sua senha for comprometida, os invasores podem anular todos os benefícios do uso de um sistema abrangente de proteção cibernética.
Expandindo o espectro de ataque
Quando o objetivo desejado é alcançado e o malware já está dentro da rede corporativa, geralmente são usadas táticas bastante padronizadas para maior disseminação. Os invasores estudam a situação e se esforçam para superar as barreiras que foram criadas dentro da empresa para combater as ameaças. Essa parte do ataque pode ser feita manualmente (afinal, se já caíram na rede, a isca está no anzol!). Para isso, são utilizadas ferramentas conhecidas, como PowerShell, WMI PsExec, além do mais recente emulador Cobalt Strike e outros utilitários. Alguns grupos criminosos visam especificamente gerenciadores de senhas para penetrar mais profundamente em uma rede corporativa. E malware como o Ragnar foi visto recentemente em uma imagem completamente fechada da máquina virtual VirtualBox, o que ajuda a ocultar a presença de software estranho na máquina.
Assim, uma vez que o malware entra na rede corporativa, ele tenta verificar o nível de acesso do usuário e utiliza senhas roubadas. Utilitários como Mimikatz e Bloodhound & Co. ajude a hackear contas de administrador de domínio. E somente quando o invasor considera que as opções de distribuição estão esgotadas, o ransomware é baixado diretamente nos sistemas clientes.
Ransomware como disfarce
Dada a gravidade da ameaça de perda de dados, a cada ano mais e mais empresas implementam o chamado “Plano de recuperação de desastres”. Graças a isso, eles não precisam se preocupar muito com os dados criptografados e, em caso de ataque de Ransomware, não iniciam a coleta do resgate, mas iniciam o processo de recuperação. Mas os atacantes também não dormem. Sob o disfarce de Ransomware, ocorre roubo massivo de dados. Maze foi o primeiro a usar tais táticas em massa em 2019, embora outros grupos combinassem ataques periodicamente. Agora, pelo menos Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO e Sekhmet estão envolvidos no roubo de dados em paralelo com a criptografia.
Às vezes, os invasores conseguem desviar dezenas de terabytes de dados de uma empresa, que poderiam ter sido detectados por ferramentas de monitoramento de rede (se tivessem sido instaladas e configuradas). Afinal, na maioria das vezes a transferência de dados ocorre simplesmente usando scripts FTP, Putty, WinSCP ou PowerShell. Para superar os sistemas DLP e de monitoramento de rede, os dados podem ser criptografados ou enviados como um arquivo protegido por senha, um novo desafio para as equipes de segurança que precisam verificar o tráfego de saída desses arquivos.
Estudar o comportamento dos infostealers mostra que os invasores não coletam tudo - eles estão interessados apenas em relatórios financeiros, bancos de dados de clientes, dados pessoais de funcionários e clientes, contratos, registros e documentos legais. O malware verifica as unidades em busca de qualquer informação que possa, teoricamente, ser usada para chantagem.
Se tal ataque for bem-sucedido, os invasores geralmente publicam um pequeno teaser, mostrando vários documentos que confirmam que os dados vazaram da organização. E alguns grupos publicam todo o conjunto de dados em seu site se o prazo para pagamento do resgate já tiver expirado. Para evitar bloqueios e garantir ampla cobertura, os dados também são publicados na rede TOR.
Outra forma de monetizar é vendendo dados. Por exemplo, Sodinokibi anunciou recentemente leilões abertos nos quais os dados vão para o licitante com lance mais alto. O preço inicial para tais negociações é de US$ 50 a 100 mil, dependendo da qualidade e do conteúdo dos dados. Por exemplo, um conjunto de 10 mil registros de fluxo de caixa, dados comerciais confidenciais e carteiras de motorista digitalizadas foi vendido por apenas US$ 000 mil. E por US$ 100 mil era possível comprar mais de 000 mil documentos financeiros, além de três bancos de dados de arquivos contábeis e dados de clientes.
Os sites onde os vazamentos são publicados variam muito. Pode ser uma página simples onde tudo o que foi roubado é simplesmente postado, mas também existem estruturas mais complexas com seções e possibilidade de compra. Mas o principal é que todos eles têm o mesmo propósito: aumentar as chances de os invasores obterem dinheiro real. Se esse modelo de negócio apresentar bons resultados para os invasores, não há dúvida de que haverá ainda mais sites semelhantes e as técnicas de roubo e monetização de dados corporativos serão ainda mais ampliadas.
Esta é a aparência dos sites atuais que publicam vazamentos de dados:
O que fazer com novos ataques
O principal desafio para as equipas de segurança nestas condições é que recentemente cada vez mais incidentes relacionados com Ransomware acabam por ser simplesmente uma distração do roubo de dados. Os invasores não dependem mais apenas da criptografia do servidor. Pelo contrário, o objetivo principal é organizar um vazamento enquanto você luta contra o ransomware.
Assim, utilizar apenas um sistema de backup, mesmo com um bom plano de recuperação, não é suficiente para combater ameaças em múltiplas camadas. Não, claro, você também não pode ficar sem cópias de backup, porque os invasores certamente tentarão criptografar algo e pedir um resgate. A questão é que agora cada ataque usando Ransomware deve ser considerado como uma razão para uma análise abrangente do tráfego e para iniciar uma investigação sobre um possível ataque. Você também deve pensar em recursos de segurança adicionais que poderiam:
- Detecte ataques rapidamente e analise atividades incomuns de rede usando IA
- Recupere instantaneamente sistemas de ataques de Ransomware de dia zero para que você possa monitorar a atividade da rede
- Bloqueie a propagação de malware clássico e novos tipos de ataques à rede corporativa
- Analise software e sistemas (incluindo acesso remoto) em busca de vulnerabilidades e explorações atuais
- Impedir a transferência de informações não identificadas para além do perímetro corporativo
Apenas usuários registrados podem participar da pesquisa. por favor
Você já analisou a atividade em segundo plano durante um ataque de Ransomware?
-
20,0%sim1
-
80,0%No4
5 usuários votaram. 2 usuários se abstiveram.
Fonte: habr.com