Uhajanje podatkov je boleča točka varnostnih služb. In zdaj, ko večina ljudi dela od doma, je nevarnost puščanja veliko večja. Zato znane kiberkriminalne združbe namenjajo vse večjo pozornost zastarelim in ne dovolj varnim protokolom za oddaljeni dostop. Zanimivo je, da je danes vse več uhajanja podatkov povezanih z izsiljevalsko programsko opremo. Kako, zakaj in na kakšen način – preberite pod rezom.
Začnimo z dejstvom, da sta razvoj in distribucija izsiljevalske programske opreme sama po sebi zelo donosen kriminalni posel. Po podatkih ameriškega FBI je npr. v zadnjem letu je zaslužila približno 1 milijon dolarjev na mesec. In napadalci, ki so uporabljali Ryuk, so prejeli še več - na začetku dejavnosti skupine je njihov dohodek znašal 3 milijone dolarjev na mesec. Zato ne preseneča, da številni direktorji za informacijsko varnost (CISO) navajajo izsiljevalsko programsko opremo kot enega izmed petih največjih poslovnih tveganj.
Acronis Cyber Protection Operation Center (CPOC), ki se nahaja v Singapurju, potrjuje porast kibernetske kriminalitete na območju Ransomware. V drugi polovici maja je bilo po vsem svetu blokiranih 20 % več izsiljevalske programske opreme kot običajno. Po rahlem upadu zdaj v juniju spet opažamo porast aktivnosti. In za to obstaja več razlogov.
Pojdi do žrtvinega računalnika
Varnostne tehnologije se razvijajo in napadalci morajo nekoliko spremeniti svojo taktiko, da lahko pridejo v določen sistem. Ciljni napadi izsiljevalske programske opreme se še naprej širijo prek dobro oblikovanih lažnih e-poštnih sporočil (vključno s socialnim inženiringom). Vendar pa v zadnjem času razvijalci zlonamerne programske opreme posvečajo veliko pozornosti delavcem na daljavo. Da bi jih napadli, lahko najdete slabo zaščitene storitve oddaljenega dostopa, kot je RDP, ali strežnike VPN z ranljivostmi.
To počnejo. Na temnem omrežju obstajajo celo storitve izsiljevalske programske opreme kot storitve, ki nudijo vse, kar potrebujete za napad na izbrano organizacijo ali osebo.
Napadalci iščejo vse načine, kako prodreti v korporativno omrežje in razširiti svoj spekter napadov. Tako so poskusi okužbe omrežij ponudnikov storitev postali priljubljen trend. Ker storitve v oblaku danes šele pridobivajo na priljubljenosti, okužba priljubljene storitve omogoča napad na desetine ali celo stotine žrtev hkrati.
Če je ogroženo spletno upravljanje varnosti ali konzole za varnostno kopiranje, lahko napadalci onemogočijo zaščito, izbrišejo varnostne kopije in dovolijo, da se zlonamerna programska oprema razširi po vsej organizaciji. Mimogrede, zato strokovnjaki priporočajo skrbno zaščito vseh računov storitev z večfaktorsko avtentikacijo. Na primer, vse storitve v oblaku Acronis vam omogočajo namestitev dvojne zaščite, saj lahko napadalci, če je vaše geslo ogroženo, izničijo vse prednosti uporabe celovitega sistema kibernetske zaščite.
Razširitev spektra napadov
Ko je cenjeni cilj dosežen in je zlonamerna programska oprema že v omrežju podjetja, se za nadaljnje širjenje običajno uporabijo precej standardne taktike. Napadalci preučujejo situacijo in si prizadevajo premagati ovire, ki so bile ustvarjene v podjetju za boj proti grožnjam. Ta del napada lahko poteka ročno (navsezadnje, če so že padli v mrežo, je vaba na kavlju!). Za to se uporabljajo znana orodja, kot so PowerShell, WMI PsExec, pa tudi novejši emulator Cobalt Strike in drugi pripomočki. Nekatere kriminalne združbe ciljajo na upravitelje gesel posebej, da bi prodrle globlje v omrežje podjetja. Zlonamerna programska oprema, kot je Ragnar, je bila pred kratkim vidna v popolnoma zaprti sliki virtualnega stroja VirtualBox, ki pomaga skriti prisotnost tuje programske opreme na stroju.
Tako zlonamerna programska oprema, ko vstopi v omrežje podjetja, poskuša preveriti raven dostopa uporabnika in uporabiti ukradena gesla. Pripomočki, kot sta Mimikatz in Bloodhound & Co. pomoč pri vdoru v skrbniške račune domene. In šele ko napadalec meni, da so možnosti distribucije izčrpane, se izsiljevalska programska oprema prenese neposredno v odjemalske sisteme.
Ransomware kot krinka
Glede na resnost grožnje izgube podatkov vsako leto vedno več podjetij izvaja tako imenovani »Disaster recovery plan«. Zahvaljujoč temu jim ni treba preveč skrbeti za šifrirane podatke, v primeru napada Ransomware pa ne začnejo zbirati odkupnine, ampak začnejo postopek obnovitve. A tudi napadalci ne spijo. Pod krinko izsiljevalske programske opreme pride do množične kraje podatkov. Mazejeva je bila prva, ki je tovrstno taktiko množično uporabila že leta 2019, čeprav so druge skupine občasno kombinirale napade. Zdaj se najmanj Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO in Sekhmet ukvarjajo s krajo podatkov vzporedno s šifriranjem.
Včasih napadalcem uspe iz podjetja črpati več deset terabajtov podatkov, ki bi jih lahko zaznala orodja za nadzor omrežja (če bi bila nameščena in konfigurirana). Navsezadnje se najpogosteje prenašajo podatki preprosto z uporabo skriptov FTP, Putty, WinSCP ali PowerShell. Da bi premagali DLP in sisteme za nadzor omrežja, je mogoče podatke šifrirati ali poslati kot arhiv, zaščiten z geslom, kar je nov izziv za varnostne ekipe, ki morajo preveriti odhodni promet za takšne datoteke.
Preučevanje vedenja infostealers kaže, da napadalci ne zbirajo vsega - zanimajo jih le finančna poročila, baze strank, osebni podatki zaposlenih in strank, pogodbe, evidence in pravni dokumenti. Zlonamerna programska oprema skenira pogone za vse informacije, ki bi jih teoretično lahko uporabili za izsiljevanje.
Če je takšen napad uspešen, napadalci običajno objavijo majhen teaser, ki prikazuje več dokumentov, ki potrjujejo, da so podatki uhajali iz organizacije. In nekatere skupine objavijo celoten nabor podatkov na svoji spletni strani, če je čas za plačilo odkupnine že potekel. Da bi se izognili blokadam in zagotovili široko pokritost, so podatki objavljeni tudi v omrežju TOR.
Drug način monetizacije je prodaja podatkov. Na primer, Sodinokibi je pred kratkim napovedal odprte dražbe, na katerih podatke prejme tisti, ki ponudi najvišjo ponudbo. Začetna cena za takšne posle je 50-100 tisoč $, odvisno od kakovosti in vsebine podatkov. Na primer, niz 10 evidenc denarnih tokov, zaupnih poslovnih podatkov in skeniranih vozniških dovoljenj je bil prodan za samo 000 $, za 100 $ pa je bilo mogoče kupiti več kot 000 finančnih dokumentov ter tri baze podatkov računovodskih datotek in podatkov o strankah.
Spletna mesta, kjer se objavljajo informacije, se zelo razlikujejo. To je lahko preprosta stran, na kateri se preprosto objavi vse ukradeno, obstajajo pa tudi bolj kompleksne strukture z razdelki in možnostjo nakupa. Toda glavna stvar je, da vsi služijo istemu namenu - povečati možnosti, da napadalci dobijo pravi denar. Če bo ta poslovni model pokazal dobre rezultate za napadalce, bo nedvomno podobnih strani še več, tehnike za krajo in monetizacijo podatkov podjetja pa bodo še razširjene.
Takole izgledajo trenutna spletna mesta, ki objavljajo uhajanje podatkov:
Kaj storiti z novimi napadi
Glavni izziv za varnostne ekipe v teh razmerah je, da se v zadnjem času vedno več incidentov, povezanih z izsiljevalsko programsko opremo, izkaže le za odvračanje pozornosti od kraje podatkov. Napadalci se ne zanašajo več le na šifriranje strežnika. Nasprotno, glavni cilj je organizirati uhajanje, medtem ko se borite proti izsiljevalski programski opremi.
Tako samo uporaba sistema za varnostno kopiranje, tudi z dobrim obnovitvenim načrtom, ni dovolj za boj proti večplastnim grožnjam. Ne, seveda tudi brez varnostnih kopij ne gre, saj bodo napadalci zagotovo poskušali nekaj šifrirati in zahtevati odkupnino. Gre bolj za to, da je zdaj treba vsak napad z uporabo Ransomware obravnavati kot razlog za celovito analizo prometa in začetek preiskave morebitnega napada. Razmislite tudi o dodatnih varnostnih funkcijah, ki bi lahko:
- Hitro odkrijte napade in analizirajte nenavadno omrežno dejavnost z AI
- Takoj obnovite sisteme pred napadi zero-day Ransomware, tako da lahko spremljate omrežno dejavnost
- Blokirajte širjenje klasične zlonamerne programske opreme in novih vrst napadov na omrežje podjetja
- Analizirajte programsko opremo in sisteme (vključno z oddaljenim dostopom) za trenutne ranljivosti in izkoriščanja
- Preprečite prenos neidentificiranih informacij izven okvira podjetja
V anketi lahko sodelujejo samo registrirani uporabniki. , prosim.
Ste že kdaj analizirali dejavnost v ozadju med napadom Ransomware?
-
20,0%Da1
-
80,0%št.4
Glasovalo je 5 uporabnikov. 2 uporabnika sta se vzdržala.
Vir: www.habr.com