Rrjedhja e të dhënave është një pikë e dhimbshme për shërbimet e sigurisë. Dhe tani që shumica e njerëzve po punojnë nga shtëpia, rreziku i rrjedhjeve është shumë më i madh. Kjo është arsyeja pse grupet e njohura kriminale kibernetike po i kushtojnë vëmendje të shtuar protokolleve të vjetëruara dhe të pamjaftueshme të aksesit në distancë. Dhe, interesant, gjithnjë e më shumë rrjedhje të dhënash sot shoqërohen me Ransomware. Si, pse dhe në çfarë mënyre - lexoni nën prerje.
Le të fillojmë me faktin se zhvillimi dhe shpërndarja e ransomware është një biznes kriminal shumë fitimprurës në vetvete. Për shembull, sipas FBI-së amerikane, gjatë vitit të kaluar, ajo fitoi rreth 1 milion dollarë në muaj. Dhe sulmuesit që përdorën Ryuk morën edhe më shumë - në fillim të aktiviteteve të grupit, të ardhurat e tyre arritën në 3 milion dollarë në muaj. Pra, nuk është për t'u habitur që shumë zyrtarë kryesorë të sigurisë së informacionit (CISO) rendisin ransomware si një nga pesë rreziqet kryesore të biznesit.
Qendra Operative e Mbrojtjes Kibernetike Acronis (CPOC), e vendosur në Singapor, konfirmon një rritje të krimit kibernetik në zonën e Ransomware. Në gjysmën e dytë të majit, 20% më shumë ransomware u bllokuan në mbarë botën se zakonisht. Pas një rënie të lehtë, tashmë në qershor po shohim sërish një rritje të aktivitetit. Dhe ka disa arsye për këtë.
Hyni në kompjuterin e viktimës
Teknologjitë e sigurisë po evoluojnë dhe sulmuesit duhet të ndryshojnë disi taktikat e tyre në mënyrë që të futen në një sistem specifik. Sulmet e synuara të Ransomware vazhdojnë të përhapen përmes emaileve të phishing të dizajnuara mirë (duke përfshirë inxhinierinë sociale). Sidoqoftë, kohët e fundit, zhvilluesit e malware u kanë kushtuar shumë vëmendje punëtorëve në distancë. Për t'i sulmuar ata, mund të gjeni shërbime të aksesit në distancë të mbrojtura dobët, të tilla si RDP, ose serverë VPN me dobësi.
Kjo është ajo që ata bëjnë. Madje ka edhe shërbime ransomware-si-një në darknet që ofrojnë gjithçka që ju nevojitet për të sulmuar një organizatë ose person të zgjedhur.
Sulmuesit po kërkojnë çdo mënyrë për të depërtuar në një rrjet të korporatës dhe për të zgjeruar spektrin e tyre të sulmit. Kështu, përpjekjet për të infektuar rrjetet e ofruesve të shërbimeve janë bërë një prirje popullore. Meqenëse shërbimet cloud sapo po fitojnë popullaritet sot, infeksioni i një shërbimi popullor bën të mundur sulmin e dhjetëra apo edhe qindra viktimave në të njëjtën kohë.
Nëse menaxhimi i sigurisë së bazuar në ueb ose konsolat rezervë janë të rrezikuara, sulmuesit mund të çaktivizojnë mbrojtjen, të fshijnë kopjet rezervë dhe të lejojnë që malware-i i tyre të përhapet në të gjithë organizatën. Nga rruga, kjo është arsyeja pse ekspertët rekomandojnë të mbroni me kujdes të gjitha llogaritë e shërbimit duke përdorur vërtetimin me shumë faktorë. Për shembull, të gjitha shërbimet cloud Acronis ju lejojnë të instaloni mbrojtje të dyfishtë, sepse nëse fjalëkalimi juaj është i rrezikuar, sulmuesit mund të mohojnë të gjitha përfitimet e përdorimit të një sistemi gjithëpërfshirës të mbrojtjes kibernetike.
Zgjerimi i spektrit të sulmit
Kur arrihet qëllimi i dashur dhe malware është tashmë brenda rrjetit të korporatës, zakonisht përdoren taktika mjaft standarde për shpërndarje të mëtejshme. Sulmuesit studiojnë situatën dhe përpiqen të kapërcejnë barrierat që janë krijuar brenda kompanisë për t'iu kundërvënë kërcënimeve. Kjo pjesë e sulmit mund të bëhet me dorë (në fund të fundit, nëse ata tashmë kanë rënë në rrjetë, atëherë karremi është në grep!). Për këtë, përdoren mjete të njohura, të tilla si PowerShell, WMI PsExec, si dhe emulatori më i ri Cobalt Strike dhe shërbime të tjera. Disa grupe kriminale synojnë në mënyrë specifike menaxherët e fjalëkalimeve për të depërtuar më thellë në një rrjet të korporatës. Dhe malware si Ragnar u pa kohët e fundit në një imazh plotësisht të mbyllur të makinës virtuale VirtualBox, e cila ndihmon në fshehjen e pranisë së softuerit të huaj në makinë.
Kështu, pasi malware hyn në rrjetin e korporatës, ai përpiqet të kontrollojë nivelin e aksesit të përdoruesit dhe të përdorë fjalëkalime të vjedhura. Shërbime të tilla si Mimikatz dhe Bloodhound & Co. ndihmoni të hakoni llogaritë e administratorit të domenit. Dhe vetëm kur sulmuesi i konsideron opsionet e shpërndarjes të shterura, ransomware shkarkohet drejtpërdrejt në sistemet e klientit.
Ransomware si mbulesë
Duke pasur parasysh seriozitetin e kërcënimit të humbjes së të dhënave, çdo vit gjithnjë e më shumë kompani zbatojnë të ashtuquajturin "plani i rimëkëmbjes nga fatkeqësitë". Falë kësaj, ata nuk duhet të shqetësohen shumë për të dhënat e koduara dhe në rast të një sulmi Ransomware, ata nuk fillojnë të mbledhin shpërblimin, por fillojnë procesin e rikuperimit. Por as sulmuesit nuk flenë. Nën maskën e Ransomware, ndodh vjedhja masive e të dhënave. Maze ishte i pari që përdori taktika të tilla në masë në vitin 2019, megjithëse grupe të tjera kombinuan periodikisht sulmet. Tani, të paktën Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO dhe Sekhmet janë të angazhuar në vjedhjen e të dhënave paralelisht me enkriptimin.
Ndonjëherë sulmuesit arrijnë të mbledhin dhjetëra terabajt të dhëna nga një kompani, të cilat mund të ishin zbuluar nga mjetet e monitorimit të rrjetit (nëse do të ishin instaluar dhe konfiguruar). Në fund të fundit, më shpesh transferimi i të dhënave ndodh thjesht duke përdorur skriptet FTP, Putty, WinSCP ose PowerShell. Për të kapërcyer DLP dhe sistemet e monitorimit të rrjetit, të dhënat mund të kodohen ose dërgohen si një arkiv i mbrojtur me fjalëkalim, një sfidë e re për ekipet e sigurisë që duhet të kontrollojnë trafikun dalës për skedarë të tillë.
Studimi i sjelljes së info vjedhësve tregon se sulmuesit nuk mbledhin gjithçka - ata janë të interesuar vetëm për raportet financiare, bazat e të dhënave të klientëve, të dhënat personale të punonjësve dhe klientëve, kontratat, të dhënat dhe dokumentet ligjore. Malware skanon disqet për çdo informacion që teorikisht mund të përdoret për shantazh.
Nëse një sulm i tillë është i suksesshëm, sulmuesit zakonisht publikojnë një ngacmues të vogël, duke treguar disa dokumente që konfirmojnë se të dhënat kanë rrjedhur nga organizata. Dhe disa grupe publikojnë të gjithë grupin e të dhënave në faqen e tyre të internetit nëse koha për pagesën e shpërblimit ka skaduar tashmë. Për të shmangur bllokimin dhe për të siguruar mbulim të gjerë, të dhënat publikohen edhe në rrjetin TOR.
Një mënyrë tjetër për të fituar para është duke shitur të dhëna. Për shembull, Sodinokibi kohët e fundit shpalli ankande të hapura në të cilat të dhënat shkojnë te ofertuesi më i lartë. Çmimi fillestar për tregti të tilla është 50-100 mijë dollarë në varësi të cilësisë dhe përmbajtjes së të dhënave. Për shembull, një grup prej 10 regjistrash të fluksit të parave, të dhëna konfidenciale biznesi dhe patentë shoferi të skanuara shiten për vetëm 000 dollarë dhe për 100 dollarë mund të blihen më shumë se 000 dokumente financiare plus tre baza të dhënash të skedarëve të kontabilitetit dhe të dhënave të klientëve.
Faqet ku publikohen rrjedhjet ndryshojnë shumë. Kjo mund të jetë një faqe e thjeshtë në të cilën thjesht postohet gjithçka e vjedhur, por ka edhe struktura më komplekse me seksione dhe mundësi blerjeje. Por gjëja kryesore është se ata të gjithë i shërbejnë të njëjtit qëllim - të rrisin shanset që sulmuesit të marrin para të vërteta. Nëse ky model biznesi tregon rezultate të mira për sulmuesit, nuk ka dyshim se do të ketë edhe më shumë faqe të ngjashme dhe teknikat për vjedhjen dhe fitimin e parave të të dhënave të korporatës do të zgjerohen më tej.
Ja si duken faqet aktuale që publikojnë rrjedhjet e të dhënave:
Çfarë duhet bërë me sulmet e reja
Sfida kryesore për ekipet e sigurisë në këto kushte është se kohët e fundit gjithnjë e më shumë incidente që lidhen me Ransomware rezultojnë të jenë thjesht një shpërqendrim nga vjedhja e të dhënave. Sulmuesit nuk mbështeten më vetëm në kriptimin e serverit. Përkundrazi, qëllimi kryesor është të organizoni një rrjedhje ndërsa jeni duke luftuar ransomware.
Kështu, përdorimi i vetëm i një sistemi rezervë, edhe me një plan të mirë rikuperimi, nuk mjafton për të luftuar kërcënimet me shumë shtresa. Jo, sigurisht, nuk mund të bësh as pa kopje rezervë, sepse sulmuesit patjetër do të përpiqen të kodojnë diçka dhe të kërkojnë një shpërblim. Çështja është se tani çdo sulm që përdor Ransomware duhet të konsiderohet si një arsye për një analizë gjithëpërfshirëse të trafikut dhe fillimin e një hetimi për një sulm të mundshëm. Ju gjithashtu duhet të mendoni për veçori shtesë të sigurisë që mund të:
- Zbuloni shpejt sulmet dhe analizoni aktivitetin e pazakontë të rrjetit duke përdorur AI
- Rikuperoni menjëherë sistemet nga sulmet zero-ditore Ransomware në mënyrë që të mund të monitoroni aktivitetin e rrjetit
- Blloko përhapjen e malware klasik dhe llojet e reja të sulmeve në rrjetin e korporatës
- Analizoni softuerin dhe sistemet (përfshirë aksesin në distancë) për dobësitë dhe shfrytëzimet aktuale
- Parandaloni transferimin e informacionit të paidentifikuar përtej perimetrit të korporatës
Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. , te lutem
A e keni analizuar ndonjëherë aktivitetin në sfond gjatë një sulmi Ransomware?
-
20,0%Po 1
-
80,0%Nr 4
5 përdorues votuan. 2 përdorues abstenuan.
Burimi: www.habr.com