โปรโฮสต์ > บล็อก > การบริหาร > Ransomware เป็นวิธีใหม่ในการจัดการข้อมูลรั่วไหล

Ransomware เป็นวิธีใหม่ในการจัดการข้อมูลรั่วไหล

การรั่วไหลของข้อมูลเป็นปัญหาสำหรับบริการรักษาความปลอดภัย และตอนนี้คนส่วนใหญ่ทำงานจากที่บ้าน อันตรายจากการรั่วไหลก็มีมากขึ้น นี่คือเหตุผลว่าทำไมกลุ่มอาชญากรไซเบอร์ที่มีชื่อเสียงจึงให้ความสนใจกับโปรโตคอลการเข้าถึงระยะไกลที่ล้าสมัยและปลอดภัยไม่เพียงพอ และที่น่าสนใจคือ ข้อมูลรั่วไหลมากขึ้นเรื่อยๆ ในปัจจุบันมีความเกี่ยวข้องกับ Ransomware อย่างไร ทำไม และอย่างไร - อ่านแบบเจาะลึก

Ransomware เป็นวิธีใหม่ในการจัดการข้อมูลรั่วไหล

เริ่มต้นด้วยความจริงที่ว่าการพัฒนาและจำหน่าย ransomware เป็นธุรกิจอาชญากรรมที่ทำกำไรได้มากในตัวเอง ตัวอย่างเช่น ตามรายงานของ FBI อเมริกัน กลุ่มโซดิโนกิบิ ในปีที่ผ่านมา เธอมีรายได้ประมาณ 1 ล้านเหรียญต่อเดือน และผู้โจมตีที่ใช้ Ryuk ก็ได้รับมากขึ้น - ในช่วงเริ่มต้นกิจกรรมของกลุ่ม รายได้ของพวกเขาอยู่ที่ 3 ล้านเหรียญต่อเดือน ดังนั้นจึงไม่น่าแปลกใจที่หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) จำนวนมากยกแรนซัมแวร์เป็นหนึ่งในความเสี่ยงทางธุรกิจห้าอันดับแรก

ศูนย์ปฏิบัติการป้องกันทางไซเบอร์ (CPOC) ของ Acronis ซึ่งตั้งอยู่ในสิงคโปร์ ยืนยันการเพิ่มขึ้นของอาชญากรรมทางไซเบอร์ในพื้นที่ Ransomware ในช่วงครึ่งหลังของเดือนพฤษภาคม มีการบล็อกแรนซัมแวร์ทั่วโลกมากกว่าปกติถึง 20% หลังจากที่ลดลงเล็กน้อย ขณะนี้ในเดือนมิถุนายน เราเห็นกิจกรรมเพิ่มขึ้นอีกครั้ง และมีสาเหตุหลายประการสำหรับเรื่องนี้

เข้าสู่คอมพิวเตอร์ของเหยื่อ

เทคโนโลยีความปลอดภัยกำลังพัฒนา และผู้โจมตีต้องเปลี่ยนกลยุทธ์บ้างเพื่อเข้าสู่ระบบเฉพาะ การโจมตีด้วยแรนซัมแวร์แบบกำหนดเป้าหมายยังคงแพร่กระจายผ่านอีเมลฟิชชิ่งที่ออกแบบมาอย่างดี (รวมถึงวิศวกรรมสังคม) อย่างไรก็ตาม เมื่อเร็ว ๆ นี้ นักพัฒนามัลแวร์ให้ความสนใจกับพนักงานระยะไกลเป็นอย่างมาก หากต้องการโจมตี คุณจะพบบริการการเข้าถึงระยะไกลที่มีการป้องกันไม่ดี เช่น RDP หรือเซิร์ฟเวอร์ VPN ที่มีช่องโหว่
นี่คือสิ่งที่พวกเขาทำ มีแม้แต่บริการเรียกค่าไถ่บน darknet ที่ให้ทุกสิ่งที่คุณต้องการเพื่อโจมตีองค์กรหรือบุคคลที่เลือก

ผู้โจมตีกำลังมองหาวิธีเจาะเครือข่ายองค์กรและขยายขอบเขตการโจมตี ดังนั้นความพยายามที่จะแพร่ระบาดในเครือข่ายของผู้ให้บริการจึงกลายเป็นเทรนด์ยอดนิยม เนื่องจากบริการคลาวด์กำลังได้รับความนิยมในปัจจุบัน การติดไวรัสของบริการยอดนิยมทำให้สามารถโจมตีเหยื่อได้ครั้งละหลายสิบหรือหลายร้อยราย

หากการจัดการความปลอดภัยบนเว็บหรือคอนโซลการสำรองข้อมูลถูกบุกรุก ผู้โจมตีสามารถปิดใช้งานการป้องกัน ลบข้อมูลสำรอง และปล่อยให้มัลแวร์แพร่กระจายไปทั่วองค์กร นี่คือเหตุผลที่ผู้เชี่ยวชาญแนะนำให้ปกป้องบัญชีบริการทั้งหมดอย่างระมัดระวังโดยใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย ตัวอย่างเช่น บริการคลาวด์ของ Acronis ทั้งหมดอนุญาตให้คุณติดตั้งการป้องกันสองชั้นได้ เพราะหากรหัสผ่านของคุณถูกบุกรุก ผู้โจมตีสามารถปฏิเสธสิทธิประโยชน์ทั้งหมดของการใช้ระบบป้องกันทางไซเบอร์ที่ครอบคลุมได้

ขยายขอบเขตการโจมตี

เมื่อบรรลุเป้าหมายที่ต้องการ และมัลแวร์อยู่ในเครือข่ายองค์กรแล้ว มักจะใช้กลยุทธ์มาตรฐานเพื่อการแพร่กระจายต่อไป ผู้โจมตีศึกษาสถานการณ์และพยายามเอาชนะอุปสรรคที่ถูกสร้างขึ้นภายในบริษัทเพื่อต่อต้านภัยคุกคาม การโจมตีส่วนนี้สามารถเกิดขึ้นได้ด้วยตนเอง (หากพวกมันตกลงไปในตาข่ายแล้ว เหยื่อก็จะติดตะขอ!) ด้วยเหตุนี้ จึงมีการใช้เครื่องมือที่มีชื่อเสียง เช่น PowerShell, WMI PsExec รวมถึงโปรแกรมจำลอง Cobalt Strike รุ่นใหม่ และโปรแกรมอรรถประโยชน์อื่นๆ กลุ่มอาชญากรบางกลุ่มกำหนดเป้าหมายไปที่ผู้จัดการรหัสผ่านโดยเฉพาะเพื่อเจาะลึกเข้าไปในเครือข่ายองค์กร และเมื่อเร็วๆ นี้มัลแวร์อย่าง Ragnar ก็ถูกพบเห็นในอิมเมจที่ปิดสนิทของเครื่องเสมือน VirtualBox ซึ่งช่วยซ่อนการมีอยู่ของซอฟต์แวร์แปลกปลอมบนเครื่อง

ดังนั้นเมื่อมัลแวร์เข้าสู่เครือข่ายองค์กร มัลแวร์จะพยายามตรวจสอบระดับการเข้าถึงของผู้ใช้และใช้รหัสผ่านที่ถูกขโมย สาธารณูปโภคเช่น Mimikatz และ Bloodhound & Co. ช่วยแฮ็คบัญชีผู้ดูแลระบบโดเมน และเมื่อผู้โจมตีพิจารณาว่าตัวเลือกการแจกจ่ายหมดลงแล้ว แรนซัมแวร์ก็จะถูกดาวน์โหลดไปยังระบบไคลเอนต์โดยตรง

Ransomware เป็นเครื่องปกปิด

เมื่อพิจารณาถึงความร้ายแรงของภัยคุกคามต่อการสูญเสียข้อมูล ทุกๆ ปีบริษัทต่างๆ จำนวนมากขึ้นเรื่อยๆ ได้นำสิ่งที่เรียกว่า “แผนการกู้คืนความเสียหาย” มาใช้ ด้วยเหตุนี้พวกเขาจึงไม่ต้องกังวลมากเกินไปเกี่ยวกับข้อมูลที่เข้ารหัส และในกรณีที่มีการโจมตี Ransomware พวกเขาจะไม่เริ่มรวบรวมค่าไถ่ แต่เริ่มกระบวนการกู้คืน แต่ผู้โจมตีก็ไม่หลับเช่นกัน ภายใต้หน้ากากของ Ransomware การโจรกรรมข้อมูลจำนวนมหาศาลเกิดขึ้น เขาวงกตเป็นคนแรกที่ใช้กลยุทธ์ดังกล่าวเป็นจำนวนมากในปี 2019 แม้ว่ากลุ่มอื่นๆ จะรวมการโจมตีเข้าด้วยกันเป็นระยะๆ ตอนนี้ อย่างน้อย Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO และ Sekhmet มีส่วนร่วมในการขโมยข้อมูลควบคู่ไปกับการเข้ารหัส

บางครั้งผู้โจมตีจัดการเพื่อดูดข้อมูลหลายสิบเทราไบต์จากบริษัทหนึ่ง ซึ่งอาจตรวจพบได้โดยเครื่องมือตรวจสอบเครือข่าย (หากได้รับการติดตั้งและกำหนดค่าแล้ว) ท้ายที่สุดแล้ว การถ่ายโอนข้อมูลส่วนใหญ่เกิดขึ้นได้ง่ายๆ โดยใช้สคริปต์ FTP, Putty, WinSCP หรือ PowerShell เพื่อเอาชนะ DLP และระบบการตรวจสอบเครือข่าย ข้อมูลสามารถถูกเข้ารหัสหรือส่งเป็นไฟล์เก็บถาวรที่มีการป้องกันด้วยรหัสผ่าน ซึ่งเป็นความท้าทายใหม่สำหรับทีมรักษาความปลอดภัยที่ต้องการตรวจสอบการรับส่งข้อมูลขาออกของไฟล์ดังกล่าว

การศึกษาพฤติกรรมของผู้ขโมยข้อมูลแสดงให้เห็นว่าผู้โจมตีไม่ได้รวบรวมทุกสิ่ง - พวกเขาสนใจเฉพาะรายงานทางการเงิน ฐานข้อมูลลูกค้า ข้อมูลส่วนบุคคลของพนักงานและลูกค้า สัญญา บันทึก และเอกสารทางกฎหมาย มัลแวร์จะสแกนไดรฟ์เพื่อหาข้อมูลใดๆ ที่อาจนำไปใช้ในการแบล็กเมล์ในทางทฤษฎีได้
หากการโจมตีดังกล่าวประสบความสำเร็จ ผู้โจมตีมักจะเผยแพร่ทีเซอร์เล็กๆ โดยแสดงเอกสารหลายฉบับที่ยืนยันว่าข้อมูลรั่วไหลจากองค์กร และบางกลุ่มก็เผยแพร่ชุดข้อมูลทั้งหมดบนเว็บไซต์ของตน หากหมดเวลาชำระค่าไถ่แล้ว เพื่อหลีกเลี่ยงการบล็อกและรับประกันความครอบคลุมในวงกว้าง ข้อมูลจึงถูกเผยแพร่บนเครือข่าย TOR ด้วย

อีกวิธีในการสร้างรายได้คือการขายข้อมูล ตัวอย่างเช่น Sodinokibi เพิ่งประกาศการประมูลแบบเปิดซึ่งข้อมูลจะถูกส่งไปยังผู้เสนอราคาสูงสุด ราคาเริ่มต้นสำหรับการซื้อขายดังกล่าวคือ $50-100K ขึ้นอยู่กับคุณภาพและเนื้อหาของข้อมูล ตัวอย่างเช่น ชุดบันทึกกระแสเงินสด 10 รายการ ข้อมูลธุรกิจที่เป็นความลับและใบขับขี่ที่สแกนขายได้ในราคาเพียง 000 ดอลลาร์สหรัฐฯ และด้วยเงิน 100 ดอลลาร์สหรัฐฯ คุณสามารถซื้อเอกสารทางการเงินมากกว่า 000 รายการ พร้อมด้วยฐานข้อมูลไฟล์บัญชีและข้อมูลลูกค้าอีก 50 ฐานข้อมูล

เว็บไซต์ที่มีการเผยแพร่การรั่วไหลนั้นแตกต่างกันไปมาก นี่อาจเป็นหน้าง่าย ๆ ที่มีการโพสต์ทุกสิ่งที่ถูกขโมย แต่ก็มีโครงสร้างที่ซับซ้อนกว่าพร้อมส่วนต่างๆ และความเป็นไปได้ในการซื้อ แต่สิ่งสำคัญคือพวกเขาทั้งหมดมีจุดประสงค์เดียวกัน - เพื่อเพิ่มโอกาสที่ผู้โจมตีจะได้รับเงินจริง หากโมเดลธุรกิจนี้แสดงผลลัพธ์ที่ดีสำหรับผู้โจมตี ก็ไม่ต้องสงสัยเลยว่าจะมีไซต์ที่คล้ายกันมากกว่านี้ และเทคนิคในการขโมยและสร้างรายได้จากข้อมูลองค์กรก็จะขยายออกไปอีก

นี่คือลักษณะของไซต์ปัจจุบันที่เผยแพร่ข้อมูลรั่วไหล:

Ransomware เป็นวิธีใหม่ในการจัดการข้อมูลรั่วไหล
Ransomware เป็นวิธีใหม่ในการจัดการข้อมูลรั่วไหล
Ransomware เป็นวิธีใหม่ในการจัดการข้อมูลรั่วไหล
Ransomware เป็นวิธีใหม่ในการจัดการข้อมูลรั่วไหล
Ransomware เป็นวิธีใหม่ในการจัดการข้อมูลรั่วไหล
Ransomware เป็นวิธีใหม่ในการจัดการข้อมูลรั่วไหล

จะทำอย่างไรกับการโจมตีใหม่

ความท้าทายหลักสำหรับทีมรักษาความปลอดภัยในสภาพแวดล้อมนี้คือ เมื่อเร็วๆ นี้เหตุการณ์ที่เกี่ยวข้องกับแรนซัมแวร์เพิ่มมากขึ้นเรื่อยๆ กลายเป็นเพียงการเบี่ยงเบนความสนใจจากการขโมยข้อมูล ผู้โจมตีไม่ต้องพึ่งการเข้ารหัสเซิร์ฟเวอร์อีกต่อไป ในทางตรงกันข้าม เป้าหมายหลักคือการจัดระเบียบการรั่วไหลในขณะที่คุณกำลังต่อสู้กับแรนซัมแวร์

ดังนั้นการใช้ระบบสำรองข้อมูลเพียงอย่างเดียวถึงแม้จะมีแผนการกู้คืนที่ดี แต่ก็ไม่เพียงพอที่จะตอบโต้ภัยคุกคามแบบหลายชั้นได้ ไม่ แน่นอน คุณไม่สามารถทำได้หากไม่มีสำเนาสำรอง เนื่องจากผู้โจมตีจะพยายามเข้ารหัสบางสิ่งบางอย่างและขอค่าไถ่อย่างแน่นอน ประเด็นก็คือตอนนี้การโจมตีทุกครั้งโดยใช้ Ransomware ควรถือเป็นเหตุผลสำหรับการวิเคราะห์การรับส่งข้อมูลอย่างครอบคลุมและดำเนินการตรวจสอบการโจมตีที่เป็นไปได้ คุณควรคำนึงถึงคุณลักษณะด้านความปลอดภัยเพิ่มเติมที่อาจ:

  • ตรวจจับการโจมตีอย่างรวดเร็วและวิเคราะห์กิจกรรมเครือข่ายที่ผิดปกติโดยใช้ AI
  • กู้คืนระบบทันทีจากการโจมตี Ransomware แบบซีโร่เดย์ เพื่อให้คุณสามารถตรวจสอบกิจกรรมเครือข่ายได้
  • บล็อกการแพร่กระจายของมัลแวร์แบบคลาสสิกและการโจมตีประเภทใหม่บนเครือข่ายองค์กร
  • วิเคราะห์ซอฟต์แวร์และระบบ (รวมถึงการเข้าถึงระยะไกล) เพื่อหาช่องโหว่และช่องโหว่ในปัจจุบัน
  • ป้องกันการถ่ายโอนข้อมูลที่ไม่ปรากฏหลักฐานเกินขอบเขตขององค์กร

เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้ เข้าสู่ระบบ, โปรด.

คุณเคยวิเคราะห์กิจกรรมเบื้องหลังระหว่างการโจมตี Ransomware หรือไม่?

  • ลด 20,0%ใช่1

  • ลด 80,0%หมายเลข 4

ผู้ใช้ 5 คนโหวต ผู้ใช้ 2 รายงดออกเสียง

ที่มา: will.com

เพิ่มความคิดเห็น