資料外洩是安全服務的痛點。現在大多數人都在家工作,洩漏的危險要大得多。這就是為什麼知名網路犯罪團體越來越關注過時且安全性不夠的遠端存取協定。有趣的是,如今越來越多的資料外洩與勒索軟體有關。如何、為何以及以何種方式 - 請在剪切下閱讀。
首先,勒索軟體的開發和分發本身就是一項非常有利可圖的犯罪業務。例如,據美國聯邦調查局稱, 過去一年,她每月收入約1萬美元。而使用 Ryuk 的攻擊者獲得的收入甚至更多——在該組織活動之初,他們的收入達到每月 3 萬美元。因此,許多首席資訊安全長 (CISO) 將勒索軟體列為五大業務風險之一也就不足為奇了。
位於新加坡的 Acronis 網路保護營運中心 (CPOC) 證實勒索軟體領域的網路犯罪增加。 20 月下半月,全球被攔截的勒索軟體比平常多了 XNUMX%。經過小幅下降後,現在進入六月,我們再次看到活動增加。這有幾個原因。
進入受害者的計算機
安全技術正在不斷發展,攻擊者必須稍微改變其策略才能進入特定係統。有針對性的勒索軟體攻擊繼續透過精心設計的網路釣魚電子郵件(包括社會工程)傳播。然而,最近,惡意軟體開發人員一直非常關注遠端工作人員。要攻擊它們,您可以找到保護不善的遠端存取服務,例如 RDP 或存在漏洞的 VPN 伺服器。
這就是他們所做的。暗網上甚至有勒索軟體即服務,可以提供攻擊選定組織或個人所需的一切。
攻擊者正在尋找任何方法來滲透企業網路並擴大他們的攻擊範圍。因此,試圖感染服務提供者的網路已成為一種流行趨勢。由於雲端服務如今才剛剛普及,流行服務的感染使得一次攻擊數十甚至數百名受害者成為可能。
如果基於 Web 的安全管理或備份控制台遭到破壞,攻擊者可以停用保護、刪除備份並允許其惡意軟體在整個組織中傳播。順便說一句,這就是為什麼專家建議使用多重身份驗證仔細保護所有服務帳戶的原因。例如,所有 Acronis 雲端服務都允許您安裝雙重保護,因為如果您的密碼被洩露,攻擊者就可以抵消使用全面網路保護系統的所有好處。
擴大攻擊範圍
當實現了所珍視的目標並且惡意軟體已經進入公司網路時,通常會使用相當標準的策略進行進一步分發。攻擊者研究情況並努力克服公司內部為應對威脅而設置的障礙。這部分攻擊可以手動進行(畢竟,如果它們已經落入網中,那麼誘餌就上鉤了!)。為此,使用了眾所周知的工具,例如 PowerShell、WMI PsExec 以及較新的 Cobalt Strike 模擬器和其他實用程式。一些犯罪集團專門針對密碼管理器,以更深入地滲透到公司網路中。最近在完全封閉的 VirtualBox 虛擬機器映像中發現了 Ragnar 等惡意軟體,這有助於隱藏機器上存在的外國軟體。
因此,一旦惡意軟體進入公司網絡,它就會嘗試檢查使用者的存取等級並使用竊取的密碼。 Mimikatz 和 Bloodhound & Co 等公用事業公司幫助破解網域管理員帳戶。只有當攻擊者認為分發選項已用盡時,勒索軟體才會直接下載到客戶端系統。
勒索軟體作為掩護
鑑於資料遺失威脅的嚴重性,每年都有越來越多的公司實施所謂的「災難復原計畫」。因此,他們不必過度擔心加密數據,並且在發生勒索軟體攻擊時,他們不會開始收取贖金,而是開始恢復過程。但攻擊者也不睡覺。在勒索軟體的幌子下,發生了大量資料竊取事件。早在 2019 年,Maze 就率先集體使用了此類策略,儘管其他組織也會定期進行聯合攻擊。現在,至少 Sodinokibi、Netfilm、Nemty、Netwalker、Ragnar、Psya、DoppelPaymer、CLOP、AKO 和 Sekhmet 在加密的同時進行資料竊取。
有時,攻擊者會設法從公司竊取數十 TB 的數據,這些數據可能會被網路監控工具(如果已安裝和設定)偵測到。畢竟,大多數情況下,資料傳輸僅使用 FTP、Putty、WinSCP 或 PowerShell 腳本進行。為了克服 DLP 和網路監控系統,資料可以被加密或作為受密碼保護的存檔發送,這對於需要檢查此類文件的傳出流量的安全團隊來說是一個新的挑戰。
研究資訊竊取者的行為表明,攻擊者不會收集所有內容 - 他們只對財務報告、客戶資料庫、員工和客戶的個人資料、合約、記錄和法律文件感興趣。該惡意軟體會掃描驅動器以查找理論上可用於勒索的任何資訊。
如果此類攻擊成功,攻擊者通常會發布一個小預告片,顯示幾份文檔,確認資料已從組織中洩露。如果支付贖金的時間已經到期,一些組織會在其網站上發布整個資料集。為了避免阻塞並確保廣泛的覆蓋範圍,資料也發佈在TOR網路上。
另一種貨幣化方式是出售數據。例如,Sodinokibi 最近宣布了公開拍賣,其中數據歸最高出價者所有。此類交易的起始價格為 50-100 美元,具體取決於數據的品質和內容。例如,一套 10 條現金流記錄、機密商業數據和掃描的駕駛執照售價低至 000 美元。而花 100 美元就可以購買 000 多份財務文件以及三個會計文件和客戶資料資料庫。
發布洩密事件的網站差異很大。這可以是一個簡單的頁面,上面簡單地發布了被盜的所有內容,但也有更複雜的結構,包含部分和購買的可能性。但最重要的是,它們都有相同的目的——增加攻擊者獲得真實金錢的機會。如果這種商業模式對攻擊者顯示出良好的效果,毫無疑問將會出現更多類似的網站,竊取企業資料並從中獲利的技術將進一步擴展。
目前發布資料外洩的網站是這樣的:
面對新的攻擊該怎麼辦
在這種環境下,安全團隊面臨的主要挑戰是,最近越來越多與勒索軟體相關的事件最終證明只是分散了資料竊取的注意力。攻擊者不再僅僅依賴伺服器加密。相反,主要目標是在對抗勒索軟體時組織洩密。
因此,僅使用備份系統,即使有良好的復原計劃,也不足以應對多層威脅。不,當然,您也不能沒有備份副本,因為攻擊者肯定會嘗試加密某些內容並索取贖金。關鍵是,現在每一次使用勒索軟體的攻擊都應該被視為對流量進行全面分析並對可能的攻擊進行調查的原因。您還應該考慮其他安全功能,這些功能可以:
- 使用 AI 快速偵測攻擊並分析異常網路活動
- 立即從零日勒索軟體攻擊中恢復系統,以便您可以監控網路活動
- 阻止經典惡意軟體和新型攻擊在企業網路上的傳播
- 分析軟體和系統(包括遠端存取)目前的漏洞和漏洞
- 防止將身份不明的訊息傳輸到公司範圍之外
只有註冊用戶才能參與調查。 , 請。
您是否曾經分析過勒索軟體攻擊期間的後台活動?
-
企業排放佔全球 20,0%是1
-
企業排放佔全球 80,0%4號
5 位用戶投票。 2 名用戶棄權。
來源: www.habr.com