Витік даних - болюче питання для служби безпеки. А зараз, коли більшість працює з дому, небезпека витоків виявляється набагато вищою. Саме тому відомі кіберзлочинні групи приділяють підвищену увагу застарілим та недостатньо захищеним протоколам віддаленого доступу. І, що цікаво, все більше витоків даних на сьогоднішній день пов'язано з Ransomware. Як, чому і яким чином читайте під катом.
Почнемо з того, що розробка та розповсюдження програм-вимагачів — сам собою дуже прибутковий злочинний бізнес. Наприклад, за оцінками американського ФБР, протягом минулого року заробляла приблизно $1 мільйон на місяць. А зловмисники, які використовували Ryuk, отримували ще більше – на початку діяльності угруповання їхні доходи становили до $3 мільйонів на місяць. Тож не дивно, що багато директорів з інформаційної безпеки (CISO) відзначають програми-вимагачі як один із п'яти основних ризиків для бізнесу.
Центр безпеки Acronis Cyber Protection Operation Center (CPOC), розташований у Сінгапурі, підтверджує активізацію кіберзлочинності в області Ransomware. У другій половині травня по всьому світу було заблоковано на 20% більше програм-вимагачів, ніж зазвичай. Після невеликого спаду зараз у червні ми знову спостерігаємо зростання активності. І для цього є одразу кілька причин.
Потрапити на комп'ютер жертви
Технології захисту розвиваються, і зловмисникам доводиться міняти свою тактику, щоб потрапити на конкретну систему. Цільові атаки Ransomware, як і раніше, поширюються за допомогою добре продуманих фішингових листів (тут справа не обходиться без соціальної інженерії). Однак останнім часом розробники шкідливого програмного забезпечення приділяють багато уваги саме віддаленим співробітникам. Щоб атакувати їх, можна знайти погано захищені сервіси віддаленого доступу, наприклад, RDP або VPN-сервери з уразливістю.
Цим вони займаються. У даркнеті з'явилися навіть сервіси ransomware-as-a-service, які надають все необхідне, щоб атакувати обрану організацію чи людину.
Зловмисники шукають будь-які способи проникнути в корпоративну мережу та розширити спектр атаки. Так, популярним напрямом стали спроби заразити мережі провайдерів. Оскільки хмарні послуги сьогодні лише набирають популярності, зараження популярного сервісу дозволяє атакувати одразу десятки або навіть сотні жертв за один раз.
У випадку зламування веб-консолей управління системами безпеки або резервного копіювання, атакуючі можуть відключити захист, видалити резервні копії, а також забезпечити своє зловмисне програмне забезпечення розгортання по всій організації. До речі, саме тому експерти рекомендують ретельно захищати всі облікові записи за допомогою багатофакторної авторизації. Наприклад, всі хмарні сервіси Acronis дозволяють встановити подвійний захист, тому що у разі компрометації пароля, зловмисники можуть звести нанівець усі переваги від використання комплексної системи кіберзахисту.
Розширення спектра атаки
Коли заповітна мета досягнута, і шкідливе програмне забезпечення вже знаходиться всередині корпоративної мережі, для подальшого поширення, як правило, використовуються цілком типові тактики. Зловмисники вивчають ситуацію та прагнуть подолати ті бар'єри, які створені всередині компанії для протидії загрозам. Ця частина атаки може відбуватися в ручному режимі (адже якщо вони вже потрапили до мережі, значить наживка на гачку»!). Для цього використовуються вже добре відомі інструменти, такі як PowerShell, WMI PsExec, а також новий емулятор Cobalt Strike та інші утиліти. Деякі кримінальні групи цілеспрямовано атакують менеджери паролів, щоб проникнути глибше в корпоративну мережу. А таке шкідливе ПЗ, як Ragnar, нещодавно було помічено в повністю закритому образі віртуальної машини VirtualBox, яка допомагає приховувати присутність стороннього ПЗ на машині.
Таким чином, потрапляючи в корпоративну мережу, зловмисне програмне забезпечення намагається перевірити рівень доступу користувача та застосувати вкрадені паролі. Такі утиліти як Mimikatz та Bloodhound & Co. допомагають зламувати облікові записи адміністраторів доменів. І лише тоді, коли атакуючий вважає можливості розповсюдження вичерпаними, на клієнтські системи завантажується безпосередньо програма-вимагач.
Ransomware як прикриття
Враховуючи серйозність загрози втрати даних, з кожним роком все більше компаній втілюють у життя так званий Disaster recovery plan. Завдяки цьому вони не дуже турбуються про зашифровані дані, і у разі атаки Ransomware не починають збирати викуп, а запускають процес відновлення. Але й зловмисники не сплять. Під прикриттям Ransomware відбувається масова крадіжка даних. Першими масово застосовувати таку тактику почали Maze ще в 2019 році, хоча й інші групи періодично комбінували атаки. Тепер крадіжкою даних паралельно з шифруванням займаються як мінімум Sodinokibi, Netfilm, Nemty, Netwalker, Ragnar, Psya, DoppelPaymer, CLOP, AKO та Sekhmet.
Іноді зловмисникам вдається викачати з компанії десятки терабайт даних, які могли бути виявлені засобами мережевого моніторингу (якби вони були встановлені та налаштовані). Адже найчастіше передачі даних відбувається просто за допомогою FTP, Putty, WinSCP або скриптів PowerShell. Для подолання DLP та систем мережного моніторингу дані можна зашифрувати або надіслати як архів із паролем, і це новий виклик для служб безпеки, яким потрібно перевіряти вихідний трафік на наявність подібних файлів.
Вивчення поведінки infostealer'ів показує, що зловмисники не збирають усі поспіль — їх цікавлять саме фінансові звіти, клієнтські бази, персональні дані співробітників та клієнтів, контракти, записи, юридичні документи. Шкідливе програмне забезпечення сканує диски в пошуку будь-якої інформації, яка теоретично могла б бути використана для шантажу.
Якщо подібна атака пройшла успішно, зазвичай зловмисники публікують невеликий тизер, показуючи кілька документів на підтвердження, що дані вибігли з організації. А деякі групи публікують взагалі весь набір даних на своєму сайті, якщо час виплати вже вийшов. Щоб уникнути блокування та забезпечити широке охоплення, дані публікують у тому числі в мережі TOR.
Ще один спосіб монетизації – продаж даних. Наприклад, Sodinokibi нещодавно оголосили про проведення відкритих аукціонів, на яких дані дістаються учаснику, який зробив найвищу ставку. Стартова ціна таких торгів становить $50-100K залежно від якості та змісту даних. Наприклад, набір із 10 000 записів про потоки готівки, конфіденційних бізнес-даних та відсканованих прав водія продавалися за ціною від $100 000. А за $50 000 можна було купити понад 20 000 фінансових документів плюс три бази даних з бухгалтерськими файлами та клієнтськими даними.
Сайти, на яких публікуються витоки, бувають різними. Це може бути проста сторінка, на яку просто виклали все вкрадене, а бувають і складніші структури з розділами та можливістю покупки. Але головне, що всі вони є однією метою — підвищити шанси атакуючих на отримання реальних грошей. Якщо ця бізнес-модель покаже хороші результати для зловмисників, можна не сумніватися, що подібних сайтів стане ще більше, а техніки крадіжки та монетизації корпоративних даних будуть розширені додатково.
Ось так виглядають актуальні сайти, на яких публікуються витоки даних:
Що робити з новими атаками
Основний виклик для служб безпеки в цих умовах полягає в тому, що останнім часом все більше інцидентів, пов'язаних із Ransomware, виявляються просто методом відволікання від крадіжки даних. Зловмисники вже не роблять ставку лише на шифрування серверів. Навпаки, основною метою є організація витоку, поки ви боретеся з шифрувальниками.
Таким чином, використання лише системи резервного копіювання навіть з хорошим планом відновлення виявляється недостатньо для протидії багатошаровим загрозам. Ні, звичайно, без резервних копій теж не обійтися, адже зловмисники обов'язково спробують щось зашифрувати та попросять викуп. Йдеться швидше про те, що тепер кожна атака з використанням Ransomware має розглядатися як привід для всебічного аналізу трафіку та запуску розслідування можливої атаки. А також слід подумати про додаткові засоби безпеки, які могли б:
- Швидко виявляти атаки та аналізувати нетипову активність у мережі з використанням ІІ
- Миттєво відновлювати системи у разі атак Ransomware нульового дня, щоб ви могли відстежувати мережну активність
- Блокувати поширення класичного шкідливого ПЗ та нових видів атак у корпоративній мережі
- Аналізувати ПЗ та системи (у тому числі віддаленого доступу) на наявність актуальних уразливостей та експлойтів
- Перешкоджати передачі непізнаної інформації за межі корпоративного периметра
Тільки зареєстровані користувачі можуть брати участь в опитуванні. , будь ласка.
Чи ви коли-небудь аналізували фонову активність під час атаки Ransomware?
-
20,0%Так1
-
80,0%Ні4
Проголосували 5 користувачів. Утрималися 2 користувача.
Джерело: habr.com