Uvujaji wa data ni kidonda kwa huduma za usalama. Na sasa kwa kuwa watu wengi wanafanya kazi kutoka nyumbani, hatari ya uvujaji ni kubwa zaidi. Hii ndiyo sababu vikundi vinavyojulikana vya uhalifu wa mtandao vinatilia maanani zaidi itifaki za ufikiaji wa mbali na ambazo zimepitwa na wakati na ambazo hazina usalama wa kutosha. Na, cha kufurahisha, uvujaji zaidi na zaidi wa data leo unahusishwa na Ransomware. Jinsi, kwa nini na kwa njia gani - soma chini ya kukata.
Wacha tuanze na ukweli kwamba ukuzaji na usambazaji wa ransomware ni biashara yenye faida kubwa ya jinai yenyewe. Kwa mfano, kulingana na FBI ya Marekani, katika mwaka uliopita, alipata takriban dola milioni 1 kwa mwezi. Na washambuliaji ambao walitumia Ryuk walipokea zaidi - mwanzoni mwa shughuli za kikundi, mapato yao yalifikia dola milioni 3 kwa mwezi. Kwa hivyo haishangazi kwamba maafisa wengi wa usalama wa habari (CISOs) wanaorodhesha programu ya uokoaji kama moja ya hatari zao tano kuu za biashara.
Kituo cha Uendeshaji wa Ulinzi wa Mtandao cha Acronis (CPOC), kilichoko Singapore, kinathibitisha kuongezeka kwa uhalifu wa mtandao katika eneo la Ransomware. Katika nusu ya pili ya Mei, 20% zaidi ya programu ya ukombozi ilizuiwa duniani kote kuliko kawaida. Baada ya kupungua kidogo, sasa mnamo Juni tunaona ongezeko la shughuli tena. Na kuna sababu kadhaa za hii.
Ingia kwenye kompyuta ya mwathirika
Teknolojia za usalama zinabadilika, na washambuliaji wanapaswa kubadilisha mbinu zao kwa kiasi fulani ili kuingia katika mfumo maalum. Mashambulizi yanayolengwa ya Ransomware yanaendelea kuenea kupitia barua pepe za ulaghai zilizoundwa vyema (ikiwa ni pamoja na uhandisi wa kijamii). Walakini, hivi majuzi, watengenezaji wa programu hasidi wamekuwa wakizingatia sana wafanyikazi wa mbali. Ili kuzishambulia, unaweza kupata huduma za ufikiaji wa mbali ambazo hazijalindwa vizuri, kama vile RDP, au seva za VPN zilizo na athari.
Hivi ndivyo wanavyofanya. Kuna hata huduma za ukombozi-kama-a-huduma kwenye darknet ambazo hutoa kila kitu unachohitaji ili kushambulia shirika au mtu aliyechaguliwa.
Wavamizi wanatafuta njia yoyote ya kupenya mtandao wa shirika na kupanua wigo wao wa mashambulizi. Kwa hivyo, majaribio ya kuambukiza mitandao ya watoa huduma yamekuwa mwenendo maarufu. Kwa kuwa huduma za wingu zinapata umaarufu leo, maambukizi ya huduma maarufu hufanya iwezekanavyo kushambulia kadhaa au hata mamia ya waathirika kwa wakati mmoja.
Iwapo usimamizi wa usalama unaotegemea wavuti au dashibodi zikiingiliwa, wavamizi wanaweza kuzima ulinzi, kufuta nakala rudufu na kuruhusu programu zao hasidi kuenea katika shirika lote. Kwa njia, ndiyo sababu wataalam wanapendekeza kulinda kwa uangalifu akaunti zote za huduma kwa kutumia uthibitishaji wa mambo mengi. Kwa mfano, huduma zote za wingu za Acronis zinakuwezesha kusakinisha ulinzi mara mbili, kwa sababu ikiwa nenosiri lako limeathiriwa, washambuliaji wanaweza kukataa faida zote za kutumia mfumo wa ulinzi wa kina wa mtandao.
Kupanua wigo wa mashambulizi
Wakati lengo zuri linapofikiwa, na programu hasidi tayari iko ndani ya mtandao wa shirika, mbinu za kawaida kabisa hutumiwa kwa usambazaji zaidi. Washambuliaji huchunguza hali hiyo na kujitahidi kushinda vizuizi ambavyo vimeundwa ndani ya kampuni ili kukabiliana na vitisho. Sehemu hii ya shambulio inaweza kufanyika kwa manually (baada ya yote, ikiwa tayari wameanguka kwenye wavu, basi bait iko kwenye ndoano!). Kwa hili, zana zinazojulikana hutumiwa, kama vile PowerShell, WMI PsExec, na emulator mpya ya Cobalt Strike na huduma zingine. Baadhi ya makundi ya wahalifu hulenga hasa wasimamizi wa nenosiri ili kupenya zaidi katika mtandao wa shirika. Na programu hasidi kama vile Ragnar ilionekana hivi majuzi kwenye picha iliyofungwa kabisa ya mashine pepe ya VirtualBox, ambayo husaidia kuficha uwepo wa programu za kigeni kwenye mashine.
Kwa hivyo, mara tu programu hasidi inapoingia kwenye mtandao wa ushirika, inajaribu kuangalia kiwango cha ufikiaji cha mtumiaji na kutumia nywila zilizoibiwa. Huduma kama vile Mimikatz na Bloodhound & Co. saidia kudukua akaunti za msimamizi wa kikoa. Na tu wakati mshambulizi anazingatia chaguzi za usambazaji zimechoka, ransomware inapakuliwa moja kwa moja kwenye mifumo ya mteja.
Ransomware kama jalada
Kwa kuzingatia uzito wa tishio la upotezaji wa data, kila mwaka makampuni zaidi na zaidi hutekeleza kinachojulikana kama "mpango wa kurejesha maafa". Shukrani kwa hili, hawana wasiwasi sana kuhusu data iliyosimbwa, na katika tukio la shambulio la Ransomware, hawaanza kukusanya fidia, lakini kuanza mchakato wa kurejesha. Lakini washambuliaji hawalali pia. Chini ya kivuli cha Ransomware, wizi mkubwa wa data hutokea. Maze ilikuwa ya kwanza kutumia mbinu kama hizo kwa wingi mnamo 2019, ingawa vikundi vingine mara kwa mara vilichanganya mashambulizi. Sasa, angalau Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO na Sekhmet wanahusika katika wizi wa data sambamba na usimbaji fiche.
Wakati mwingine washambuliaji huweza kupenyeza makumi ya terabaiti za data kutoka kwa kampuni, ambayo inaweza kugunduliwa na zana za ufuatiliaji wa mtandao (kama zingesakinishwa na kusanidiwa). Baada ya yote, mara nyingi uhamisho wa data hutokea kwa kutumia FTP, Putty, WinSCP au hati za PowerShell. Ili kushinda DLP na mifumo ya ufuatiliaji wa mtandao, data inaweza kusimbwa kwa njia fiche au kutumwa kama kumbukumbu iliyolindwa na nenosiri, changamoto mpya kwa timu za usalama zinazohitaji kuangalia trafiki inayotoka kwa faili kama hizo.
Kusoma tabia ya waibaji habari kunaonyesha kuwa washambuliaji hawakusanyi kila kitu - wanavutiwa tu na ripoti za kifedha, hifadhidata za mteja, data ya kibinafsi ya wafanyikazi na wateja, kandarasi, rekodi na hati za kisheria. Programu hasidi huchanganua kwa taarifa yoyote ambayo kinadharia inaweza kutumika kwa ulaghai.
Shambulio kama hilo likifaulu, wavamizi kwa kawaida huchapisha teaser ndogo, inayoonyesha hati kadhaa zinazothibitisha kuwa data imevuja kutoka kwa shirika. Na baadhi ya vikundi huchapisha data nzima kwenye tovuti yao ikiwa muda wa kulipa fidia tayari umekwisha. Ili kuepuka kuzuia na kuhakikisha chanjo pana, data pia huchapishwa kwenye mtandao wa TOR.
Njia nyingine ya kuchuma mapato ni kwa kuuza data. Kwa mfano, Sodinokibi hivi majuzi alitangaza minada wazi ambapo data huenda kwa mzabuni wa juu zaidi. Bei ya kuanzia kwa biashara kama hizo ni $50-100K kulingana na ubora na maudhui ya data. Kwa mfano, seti ya rekodi 10 za mtiririko wa pesa, data ya siri ya biashara na leseni za udereva zilizochanganuliwa zinauzwa kwa kiasi kidogo cha $000. Na kwa $100 mtu anaweza kununua zaidi ya hati 000 za kifedha pamoja na hifadhidata tatu za faili za uhasibu na data ya mteja.
Tovuti ambazo uvujaji huchapishwa hutofautiana sana. Hii inaweza kuwa ukurasa rahisi ambao kila kitu kilichoibiwa kinatumwa tu, lakini pia kuna miundo ngumu zaidi na sehemu na uwezekano wa ununuzi. Lakini jambo kuu ni kwamba wote hutumikia kusudi sawa - kuongeza nafasi za washambuliaji kupata pesa halisi. Iwapo mtindo huu wa biashara unaonyesha matokeo mazuri kwa wavamizi, hakuna shaka kuwa kutakuwa na tovuti zaidi zinazofanana, na mbinu za kuiba na kuchuma mapato ya data ya shirika zitapanuliwa zaidi.
Hivi ndivyo tovuti za sasa zinazochapisha uvujaji wa data zinavyoonekana:
Nini cha kufanya na mashambulizi mapya
Changamoto kuu kwa timu za usalama katika hali hizi ni kwamba hivi majuzi matukio zaidi na zaidi yanayohusiana na Ransomware yanageuka kuwa kengele kutoka kwa wizi wa data. Wavamizi hawategemei tena usimbaji fiche wa seva pekee. Badala yake, lengo kuu ni kuandaa uvujaji wakati unapigana na ransomware.
Kwa hivyo, kutumia mfumo wa chelezo pekee, hata kwa mpango mzuri wa uokoaji, haitoshi kukabiliana na vitisho vya tabaka nyingi. Hapana, kwa kweli, huwezi kufanya bila nakala za chelezo, kwa sababu washambuliaji hakika watajaribu kusimba kitu na kuomba fidia. Jambo ni kwamba sasa kila shambulio linalotumia Ransomware linapaswa kuzingatiwa kama sababu ya uchambuzi wa kina wa trafiki na kuanzisha uchunguzi juu ya shambulio linalowezekana. Unapaswa pia kufikiria kuhusu vipengele vya ziada vya usalama ambavyo vinaweza:
- Gundua mashambulizi kwa haraka na uchanganue shughuli zisizo za kawaida za mtandao kwa kutumia AI
- Rejesha mifumo mara moja kutoka kwa mashambulizi ya Ransomware ya siku sifuri ili uweze kufuatilia shughuli za mtandao
- Zuia kuenea kwa programu hasidi ya kawaida na aina mpya za mashambulizi kwenye mtandao wa shirika
- Changanua programu na mifumo (ikiwa ni pamoja na ufikiaji wa mbali) kwa udhaifu wa sasa na ushujaa
- Zuia uhamishaji wa habari isiyojulikana zaidi ya mzunguko wa shirika
Watumiaji waliojiandikisha pekee ndio wanaweza kushiriki katika utafiti. tafadhali.
Je, umewahi kuchanganua shughuli za usuli wakati wa shambulio la Ransomware?
-
20,0%Ndiyo1
-
80,0%No4
Watumiaji 5 walipiga kura. Watumiaji 2 walijizuia.
Chanzo: mapenzi.com