数据泄露是安全服务的痛点。 现在大多数人都在家工作,泄漏的危险要大得多。 这就是为什么知名网络犯罪团体越来越关注过时且安全性不够的远程访问协议。 有趣的是,如今越来越多的数据泄露与勒索软件有关。 如何、为何以及以何种方式 - 请在剪切下阅读。
首先,勒索软件的开发和分发本身就是一项非常有利可图的犯罪业务。 例如,据美国联邦调查局称, 过去一年,她每月收入约1万美元。 而使用 Ryuk 的攻击者获得的收入甚至更多——在该组织活动之初,他们的收入达到每月 3 万美元。 因此,许多首席信息安全官 (CISO) 将勒索软件列为五大业务风险之一也就不足为奇了。
位于新加坡的 Acronis 网络保护运营中心 (CPOC) 证实勒索软件领域的网络犯罪有所增加。 20 月下半月,全球范围内被拦截的勒索软件比平时多了 XNUMX%。 经过小幅下降后,现在进入六月,我们再次看到活动增加。 这有几个原因。
进入受害者的计算机
安全技术正在不断发展,攻击者必须稍微改变其策略才能进入特定系统。 有针对性的勒索软件攻击继续通过精心设计的网络钓鱼电子邮件(包括社会工程)传播。 然而,最近,恶意软件开发人员一直非常关注远程工作人员。 要攻击它们,您可以找到保护不善的远程访问服务,例如 RDP 或存在漏洞的 VPN 服务器。
这就是他们所做的。 暗网上甚至有勒索软件即服务,可以提供攻击选定组织或个人所需的一切。
攻击者正在寻找任何方法来渗透企业网络并扩大他们的攻击范围。 因此,试图感染服务提供商的网络已成为一种流行趋势。 由于云服务如今才刚刚普及,流行服务的感染使得一次攻击数十甚至数百名受害者成为可能。
如果基于 Web 的安全管理或备份控制台遭到破坏,攻击者可以禁用保护、删除备份并允许其恶意软件在整个组织中传播。 顺便说一句,这就是专家建议使用多重身份验证仔细保护所有服务帐户的原因。 例如,所有 Acronis 云服务都允许您安装双重保护,因为如果您的密码被泄露,攻击者就可以抵消使用全面网络保护系统的所有好处。
扩大攻击范围
当实现了所珍视的目标并且恶意软件已经进入公司网络内部时,通常会使用相当标准的策略进行进一步分发。 攻击者研究情况并努力克服公司内部为应对威胁而设置的障碍。 这部分攻击可以手动进行(毕竟,如果它们已经落入网中,那么诱饵就上钩了!)。 为此,使用了众所周知的工具,例如 PowerShell、WMI PsExec 以及较新的 Cobalt Strike 模拟器和其他实用程序。 一些犯罪团伙专门针对密码管理器,以更深入地渗透到公司网络中。 最近在完全封闭的 VirtualBox 虚拟机映像中发现了 Ragnar 等恶意软件,这有助于隐藏机器上存在的外国软件。
因此,一旦恶意软件进入公司网络,它就会尝试检查用户的访问级别并使用窃取的密码。 Mimikatz 和 Bloodhound & Co 等公用事业公司帮助破解域管理员帐户。 只有当攻击者认为分发选项已用尽时,勒索软件才会直接下载到客户端系统。
勒索软件作为掩护
鉴于数据丢失威胁的严重性,每年都有越来越多的公司实施所谓的“灾难恢复计划”。 因此,他们不必过多担心加密数据,并且在发生勒索软件攻击时,他们不会开始收取赎金,而是开始恢复过程。 但袭击者也不睡觉。 在勒索软件的幌子下,发生了大量数据盗窃事件。 早在 2019 年,Maze 就率先集体使用了此类策略,尽管其他组织也会定期进行联合攻击。 现在,至少 Sodinokibi、Netfilm、Nemty、Netwalker、Ragnar、Psya、DoppelPaymer、CLOP、AKO 和 Sekhmet 在加密的同时进行数据盗窃。
有时,攻击者会设法从公司窃取数十 TB 的数据,这些数据可能会被网络监控工具(如果已安装和配置)检测到。 毕竟,大多数情况下,数据传输仅使用 FTP、Putty、WinSCP 或 PowerShell 脚本进行。 为了克服 DLP 和网络监控系统,数据可以被加密或作为受密码保护的存档发送,这对于需要检查此类文件的传出流量的安全团队来说是一个新的挑战。
研究信息窃取者的行为表明,攻击者不会收集所有内容 - 他们只对财务报告、客户数据库、员工和客户的个人数据、合同、记录和法律文件感兴趣。 该恶意软件会扫描驱动器以查找理论上可用于勒索的任何信息。
如果此类攻击成功,攻击者通常会发布一个小预告片,显示几份文档,确认数据已从组织中泄露。 如果支付赎金的时间已经到期,一些组织会在其网站上发布整个数据集。 为了避免阻塞并确保广泛的覆盖范围,数据也发布在TOR网络上。
另一种货币化方式是出售数据。 例如,Sodinokibi 最近宣布了公开拍卖,其中数据归最高出价者所有。 此类交易的起始价格为 50-100 万美元,具体取决于数据的质量和内容。 例如,一套 10 条现金流记录、机密商业数据和扫描的驾驶执照售价低至 000 美元。而花 100 美元就可以购买 000 多份财务文档以及三个会计文件和客户数据数据库。
发布泄密事件的网站差异很大。 这可以是一个简单的页面,上面简单地发布了被盗的所有内容,但也有更复杂的结构,包含部分和购买的可能性。 但最重要的是,它们都有相同的目的——增加攻击者获得真钱的机会。 如果这种商业模式对攻击者显示出良好的效果,毫无疑问将会出现更多类似的网站,窃取企业数据并从中获利的技术将进一步扩展。
目前发布数据泄露的网站是这样的:
面对新的攻击该怎么办
在这种情况下,安全团队面临的主要挑战是,最近越来越多与勒索软件相关的事件最终证明只是分散了数据盗窃的注意力。 攻击者不再仅仅依赖服务器加密。 相反,主要目标是在对抗勒索软件时组织泄密。
因此,仅使用备份系统,即使有良好的恢复计划,也不足以应对多层威胁。 不,当然,您也不能没有备份副本,因为攻击者肯定会尝试加密某些内容并索要赎金。 关键是,现在每一次使用勒索软件的攻击都应该被视为对流量进行全面分析并对可能的攻击进行调查的原因。 您还应该考虑其他安全功能,这些功能可以:
- 使用 AI 快速检测攻击并分析异常网络活动
- 立即从零日勒索软件攻击中恢复系统,以便您可以监控网络活动
- 阻止经典恶意软件和新型攻击在企业网络上的传播
- 分析软件和系统(包括远程访问)当前的漏洞和漏洞
- 防止将身份不明的信息传输到公司范围之外
只有注册用户才能参与调查。 拜托
您是否曾经分析过勒索软件攻击期间的后台活动?
-
20,0%是1
-
80,0%4号
5 位用户投票。 2 名用户弃权。
来源: habr.com