Scurgerile de date sunt un punct dureros pentru serviciile de securitate. Și acum că majoritatea oamenilor lucrează de acasă, pericolul scurgerilor este mult mai mare. Acesta este motivul pentru care grupurile de criminali cibernetici bine-cunoscute acordă o atenție sporită protocoalelor de acces la distanță învechite și insuficient de sigure. Și, interesant, din ce în ce mai multe scurgeri de date astăzi sunt asociate cu Ransomware. Cum, de ce și în ce fel - citiți sub tăietură.
Să începem cu faptul că dezvoltarea și distribuția de ransomware este o afacere criminală foarte profitabilă în sine. De exemplu, conform FBI-ului american, în ultimul an, ea a câștigat aproximativ 1 milion de dolari pe lună. Iar atacatorii care au folosit Ryuk au primit și mai mult - la începutul activităților grupului, veniturile lor se ridicau la 3 milioane de dolari pe lună. Așa că nu este surprinzător faptul că mulți ofițeri șefi de securitate a informațiilor (CISO) listează ransomware-ul drept unul dintre primele cinci riscuri de afaceri ale acestora.
Acronis Cyber Protection Operation Center (CPOC), situat în Singapore, confirmă o creștere a criminalității cibernetice în zona Ransomware. În a doua jumătate a lunii mai, la nivel mondial a fost blocat cu 20% mai mult ransomware decât de obicei. După o ușoară scădere, acum în iunie asistăm din nou la o creștere a activității. Și există mai multe motive pentru aceasta.
Intră pe computerul victimei
Tehnologiile de securitate evoluează, iar atacatorii trebuie să-și schimbe oarecum tactica pentru a intra într-un anumit sistem. Atacurile ransomware vizate continuă să se răspândească prin e-mailuri de phishing bine concepute (inclusiv inginerie socială). Cu toate acestea, în ultimul timp, dezvoltatorii de programe malware acordă multă atenție lucrătorilor la distanță. Pentru a le ataca, puteți găsi servicii de acces la distanță prost protejate, precum RDP sau servere VPN cu vulnerabilități.
Asta fac ei. Există chiar și servicii ransomware-as-a-service pe darknet care oferă tot ce aveți nevoie pentru a ataca o organizație sau o persoană aleasă.
Atacatorii caută orice modalitate de a pătrunde într-o rețea corporativă și de a-și extinde spectrul de atac. Astfel, încercările de infectare a rețelelor de furnizori de servicii au devenit o tendință populară. Deoarece serviciile cloud acum câștigă popularitate, infectarea unui serviciu popular face posibilă atacarea a zeci sau chiar sute de victime simultan.
Dacă managementul securității bazat pe web sau consolele de rezervă sunt compromise, atacatorii pot dezactiva protecția, șterge copiile de rezervă și pot permite malware-ului lor să se răspândească în întreaga organizație. Apropo, acesta este motivul pentru care experții recomandă protejarea cu atenție a tuturor conturilor de serviciu utilizând autentificarea cu mai mulți factori. De exemplu, toate serviciile Acronis cloud vă permit să instalați protecție dublă, deoarece dacă parola dvs. este compromisă, atacatorii pot anula toate beneficiile utilizării unui sistem cuprinzător de protecție cibernetică.
Extinderea spectrului de atac
Când scopul prețuit este atins și malware-ul se află deja în rețeaua corporativă, tactici destul de standard sunt de obicei folosite pentru răspândirea ulterioară. Atacatorii studiază situația și se străduiesc să depășească barierele care au fost create în cadrul companiei pentru a contracara amenințările. Această parte a atacului poate avea loc manual (la urma urmei, dacă au căzut deja în plasă, atunci momeala este pe cârlig!). Pentru aceasta, sunt folosite instrumente binecunoscute, cum ar fi PowerShell, WMI PsExec, precum și noul emulator Cobalt Strike și alte utilitare. Unele grupuri criminale vizează în mod specific managerii de parole pentru a pătrunde mai adânc într-o rețea corporativă. Și malware precum Ragnar a fost văzut recent într-o imagine complet închisă a mașinii virtuale VirtualBox, care ajută la ascunderea prezenței software-ului străin pe mașină.
Astfel, odată ce malware-ul intră în rețeaua corporativă, încearcă să verifice nivelul de acces al utilizatorului și să folosească parole furate. Utilități precum Mimikatz și Bloodhound & Co. ajuta la piratarea conturilor de administrator de domeniu. Și numai atunci când atacatorul consideră că opțiunile de distribuție sunt epuizate, ransomware-ul este descărcat direct în sistemele client.
Ransomware ca acoperire
Având în vedere gravitatea amenințării pierderii datelor, în fiecare an tot mai multe companii implementează așa-numitul „plan de recuperare în caz de dezastru”. Datorită acestui lucru, nu trebuie să-și facă prea multe griji cu privire la datele criptate, iar în cazul unui atac Ransomware, nu încep să colecteze răscumpărarea, ci încep procesul de recuperare. Dar nici atacatorii nu dorm. Sub masca Ransomware, are loc furtul masiv de date. Maze a fost primul care a folosit astfel de tactici în masă încă din 2019, deși alte grupuri combinau periodic atacuri. Acum, cel puțin Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO și Sekhmet sunt implicați în furtul de date în paralel cu criptarea.
Uneori, atacatorii reușesc să sifoneze zeci de terabytes de date de la o companie, care ar fi putut fi detectate de instrumentele de monitorizare a rețelei (dacă ar fi fost instalate și configurate). La urma urmei, cel mai adesea transferul de date are loc pur și simplu folosind scripturi FTP, Putty, WinSCP sau PowerShell. Pentru a depăși DLP și sistemele de monitorizare a rețelei, datele pot fi criptate sau trimise ca arhivă protejată prin parolă, o nouă provocare pentru echipele de securitate care trebuie să verifice traficul de ieșire pentru astfel de fișiere.
Studierea comportamentului furtorilor de informații arată că atacatorii nu colectează totul - ei sunt interesați doar de rapoarte financiare, baze de date cu clienți, date personale ale angajaților și clienților, contracte, înregistrări și documente juridice. Programul malware scanează unitățile pentru orice informații care ar putea fi, teoretic, folosite pentru șantaj.
Dacă un astfel de atac are succes, atacatorii publică de obicei un mic teaser, arătând mai multe documente care confirmă că au fost scurse date din organizație. Și unele grupuri publică întregul set de date pe site-ul lor, dacă timpul pentru plata răscumpărării a expirat deja. Pentru a evita blocarea și a asigura o acoperire largă, datele sunt publicate și în rețeaua TOR.
O altă modalitate de a genera bani este prin vânzarea datelor. De exemplu, Sodinokibi a anunțat recent licitații deschise în care datele merg către cel mai mare ofertant. Prețul de pornire pentru astfel de tranzacții este de 50-100 USD, în funcție de calitatea și conținutul datelor. De exemplu, un set de 10 de înregistrări ale fluxului de numerar, date confidențiale de afaceri și permisele de conducere scanate s-au vândut cu doar 000 USD, iar pentru 100 USD se putea cumpăra mai mult de 000 de documente financiare plus trei baze de date cu fișiere contabile și date despre clienți.
Site-urile unde sunt publicate scurgerile variază foarte mult. Aceasta poate fi o simplă pagină pe care se postează pur și simplu tot ce este furat, dar există și structuri mai complexe cu secțiuni și posibilitate de cumpărare. Dar principalul lucru este că toate servesc aceluiași scop - de a crește șansele ca atacatorii să obțină bani reali. Dacă acest model de afaceri dă rezultate bune pentru atacatori, nu există nicio îndoială că vor exista și mai multe site-uri similare, iar tehnicile de furt și de monetizare a datelor corporative vor fi extinse în continuare.
Așa arată site-urile actuale care publică scurgeri de date:
Ce să faci cu noile atacuri
Principala provocare pentru echipele de securitate în aceste condiții este că recent tot mai multe incidente legate de Ransomware se dovedesc a fi pur și simplu o distragere a atenției de la furtul de date. Atacatorii nu se mai bazează doar pe criptarea serverului. Dimpotrivă, scopul principal este de a organiza o scurgere în timp ce te lupți cu ransomware.
Astfel, utilizarea unui sistem de rezervă, chiar și cu un plan de recuperare bun, nu este suficientă pentru a contracara amenințările cu mai multe straturi. Nu, desigur, nici nu te poți descurca fără copii de rezervă, deoarece atacatorii vor încerca cu siguranță să cripteze ceva și să ceară o răscumpărare. Ideea este mai degrabă că acum fiecare atac care utilizează Ransomware ar trebui să fie considerat un motiv pentru o analiză cuprinzătoare a traficului și pentru lansarea unei investigații asupra unui posibil atac. De asemenea, ar trebui să vă gândiți la funcții de securitate suplimentare care ar putea:
- Detectează rapid atacurile și analizează activitatea neobișnuită din rețea folosind AI
- Recuperați instantaneu sistemele de la atacurile ransomware zero-day, astfel încât să puteți monitoriza activitatea în rețea
- Blocați răspândirea malware-ului clasic și a noilor tipuri de atacuri asupra rețelei corporative
- Analizați software-ul și sistemele (inclusiv accesul de la distanță) pentru vulnerabilitățile și exploatările actuale
- Preveniți transferul de informații neidentificate dincolo de perimetrul corporativ
Numai utilizatorii înregistrați pot participa la sondaj. , Vă rog.
Ați analizat vreodată activitatea de fundal în timpul unui atac ransomware?
-
20,0%Da1
-
80,0%Nr.4
Au votat 5 utilizatori. 2 utilizatori s-au abținut.
Sursa: www.habr.com