Dataläckor är en öm punkt för säkerhetstjänster. Och nu när de flesta jobbar hemifrån är risken för läckage mycket större. Det är därför välkända cyberkriminella grupper uppmärksammar föråldrade och otillräckligt säkra fjärråtkomstprotokoll. Och intressant nog är fler och fler dataläckor idag förknippade med Ransomware. Hur, varför och på vilket sätt – läs under klippet.
Låt oss börja med att utveckling och distribution av ransomware är en mycket lönsam kriminell verksamhet i sig. Till exempel, enligt amerikanska FBI, under det senaste året tjänade hon cirka 1 miljon dollar per månad. Och angriparna som använde Ryuk fick ännu mer - i början av gruppens aktiviteter uppgick deras inkomst till 3 miljoner dollar per månad. Så det är ingen överraskning att många chefer för informationssäkerhet (CISO) listar ransomware som en av sina fem största affärsrisker.
Acronis Cyber Protection Operation Center (CPOC), som ligger i Singapore, bekräftar en ökning av cyberbrottslighet i Ransomware-området. Under andra halvan av maj blockerades 20 % mer ransomware över hela världen än vanligt. Efter en liten nedgång ser vi nu i juni en ökad aktivitet igen. Och det finns flera anledningar till detta.
Gå in på offrets dator
Säkerhetstekniker utvecklas och angripare måste ändra sin taktik något för att komma in i ett specifikt system. Riktade Ransomware-attacker fortsätter att spridas genom väldesignade nätfiske-e-postmeddelanden (inklusive social engineering). Men på senare tid har utvecklare av skadlig programvara ägnat mycket uppmärksamhet åt fjärrarbetare. För att attackera dem kan du hitta dåligt skyddade fjärråtkomsttjänster, såsom RDP, eller VPN-servrar med sårbarheter.
Detta är vad de gör. Det finns till och med ransomware-as-a-services på darknet som tillhandahåller allt du behöver för att attackera en vald organisation eller person.
Angripare letar efter något sätt att penetrera ett företagsnätverk och utöka sitt attackspektrum. Således har försök att infektera tjänsteleverantörernas nätverk blivit en populär trend. Eftersom molntjänster bara blir populära idag, gör infektion av en populär tjänst det möjligt att attackera dussintals eller till och med hundratals offer åt gången.
Om webbaserad säkerhetshantering eller säkerhetskopieringskonsoler äventyras kan angripare inaktivera skyddet, ta bort säkerhetskopior och låta deras skadliga program spridas i hela organisationen. Förresten, det är därför experter rekommenderar att du noggrant skyddar alla tjänstekonton med multifaktorautentisering. Till exempel tillåter alla Acronis molntjänster dig att installera dubbelt skydd, för om ditt lösenord äventyras kan angripare förneka alla fördelar med att använda ett omfattande cyberskyddssystem.
Utöka attackspektrat
När det omhuldade målet har uppnåtts och skadlig programvara redan finns i företagsnätverket, används vanligtvis ganska vanliga taktiker för vidare spridning. Angripare studerar situationen och strävar efter att övervinna de barriärer som har skapats inom företaget för att motverka hot. Denna del av attacken kan ske manuellt (trots allt, om de redan har fallit i nätet, då är betet på kroken!). För detta används välkända verktyg, såsom PowerShell, WMI PsExec, samt den nyare Cobalt Strike-emulatorn och andra verktyg. Vissa kriminella grupper riktar sig specifikt mot lösenordshanterare för att tränga djupare in i ett företagsnätverk. Och skadlig programvara som Ragnar sågs nyligen i en helt sluten bild av VirtualBox virtuella maskin, vilket hjälper till att dölja närvaron av främmande programvara på maskinen.
Så snart skadlig programvara kommer in i företagets nätverk, försöker den kontrollera användarens åtkomstnivå och använda stulna lösenord. Verktyg som Mimikatz och Bloodhound & Co. hjälpa till att hacka domänadministratörskonton. Och bara när angriparen anser att distributionsalternativen är uttömda, laddas ransomware ner direkt till klientsystem.
Ransomware som omslag
Med tanke på hur allvarlig hotet om dataförlust är, implementerar fler och fler företag varje år den så kallade "Disaster recovery plan". Tack vare detta behöver de inte oroa sig för mycket över den krypterade datan, och i händelse av en Ransomware-attack börjar de inte samla in lösensumman, utan startar återställningsprocessen. Men angriparna sover inte heller. Under täckmantel av Ransomware sker massiv datastöld. Maze var den första att använda sådan taktik i massor redan 2019, även om andra grupper periodvis kombinerade attacker. Nu är åtminstone Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO och Sekhmet sysselsatta med datastöld parallellt med kryptering.
Ibland lyckas angripare ta bort tiotals terabyte data från ett företag, vilket kunde ha upptäckts av nätverksövervakningsverktyg (om de hade installerats och konfigurerats). När allt kommer omkring sker dataöverföring oftast helt enkelt med FTP, Putty, WinSCP eller PowerShell-skript. För att övervinna DLP och nätverksövervakningssystem kan data krypteras eller skickas som ett lösenordsskyddat arkiv, en ny utmaning för säkerhetsteam som behöver kontrollera utgående trafik för sådana filer.
Att studera infostealers beteende visar att angripare inte samlar in allt - de är bara intresserade av finansiella rapporter, kunddatabaser, personliga uppgifter om anställda och kunder, kontrakt, register och juridiska dokument. Skadlig programvara söker igenom enheter efter all information som teoretiskt skulle kunna användas för utpressning.
Om en sådan attack lyckas publicerar angriparna vanligtvis en liten teaser, som visar flera dokument som bekräftar att data har läckt ut från organisationen. Och vissa grupper publicerar hela datamängden på sin webbplats om tiden för att betala lösen redan har löpt ut. För att undvika blockering och säkerställa bred täckning publiceras data även på TOR-nätverket.
Ett annat sätt att tjäna pengar är genom att sälja data. Till exempel tillkännagav Sodinokibi nyligen öppna auktioner där data går till högstbjudande. Startpriset för sådana affärer är $50-100K beroende på kvaliteten och innehållet i data. Till exempel, en uppsättning av 10 000 kassaflödesposter, konfidentiell affärsdata och skannade körkort såldes för så lite som $ 100 000. Och för $ 50 000 kunde man köpa mer än 20 000 finansiella dokument plus tre databaser med bokföringsfiler och kunddata.
Webbplatserna där läckor publiceras varierar kraftigt. Detta kan vara en enkel sida där allt som stulits helt enkelt postas, men det finns också mer komplexa strukturer med sektioner och möjlighet till köp. Men huvudsaken är att de alla tjänar samma syfte – att öka chanserna för angripare att få riktiga pengar. Om denna affärsmodell visar goda resultat för angripare råder det ingen tvekan om att det kommer att finnas ännu fler liknande sajter, och tekniker för att stjäla och tjäna pengar på företagsdata kommer att utökas ytterligare.
Så här ser de nuvarande sajterna ut som publicerar dataläckor:
Vad ska man göra med nya attacker
Den största utmaningen för säkerhetsteam i den här miljön är att på senare tid visar sig fler och fler incidenter relaterade till Ransomware bara vara en distraktion från datastöld. Angripare förlitar sig inte längre bara på serverkryptering. Tvärtom, huvudmålet är att organisera en läcka medan du bekämpar ransomware.
Det räcker alltså inte att använda ett säkerhetskopieringssystem enbart, även med en bra återställningsplan, för att motverka hot i flera lager. Nej, självklart kan du inte heller klara dig utan säkerhetskopior, eftersom angripare definitivt kommer att försöka kryptera något och be om en lösensumma. Poängen är snarare att nu ska varje attack som använder Ransomware betraktas som en anledning till en omfattande analys av trafiken och inleda en utredning om en möjlig attack. Du bör också tänka på ytterligare säkerhetsfunktioner som kan:
- Upptäck snabbt attacker och analysera ovanlig nätverksaktivitet med hjälp av AI
- Återställ omedelbart system från zero-day Ransomware-attacker så att du kan övervaka nätverksaktivitet
- Blockera spridningen av klassisk skadlig programvara och nya typer av attacker på företagets nätverk
- Analysera programvara och system (inklusive fjärråtkomst) för aktuella sårbarheter och utnyttjande
- Förhindra överföring av oidentifierad information utanför företagets omkrets
Endast registrerade användare kan delta i undersökningen. , Snälla du.
Har du någonsin analyserat bakgrundsaktivitet under en Ransomware-attack?
-
20,0%Ja 1
-
80,0%Nr 4
5 användare röstade. 2 användare avstod från att rösta.
Källa: will.com