Stále větší množství útoků, při kterých jsou od obětí vyžadovány peníze, se děje v režimu “osobní péče útočníků”. Útoků se tak aktivně účastní lidé / hackeři na druhé straně barikády. Způsobené je to patrně tím, že běžný útok ransomware, který je hromadně distribuován na širokou základnu uživatelů (formou phishingové kampaně, …), nesklízí takové úspěchy jako v minulosti. Může k tomu vést například i toto…

  • Došlo k významnému posunu detekce havěti typu ransomware ze strany antivirů a dalších bezpečnostních řešení (detekce exploitů, monitoring aktivit v PC, sledování podezřelých operací na souborovém systému, …).
  • Stouplo povědomí o problematice ransomware. Sem tam už někdo ví, že není úplně dobré na všechno klikat a všemu věřit.
  • Potenciální oběti zjistily, že zálohování dat není až zase taková zbytečnost.

Konkurence

Individuální útoky navíc dokážou způsobit značný mediální rozruch (útok na nemocnici či známou společnost) a vzhledem k tomu, že za nimi stojí celé organizované skupiny, které si prokazatelně konkurují, tak i vyvolat sérii dalších významných “úlovků”.

Vzdálená plocha v hlavní roli

Nejoblíbenějším vstupním bodem je přitom služba RDP (TCP 3389), tedy vzdálená plocha. Kolem této služby se bohužel motá několik exploitů, nazvaných jako DejaBlue, BlueKeep či EternalBlue a možnost brute force útoků pro prolomení hesel. Pokud tak nedochází k pravidelné aktualizaci operačního systému, nedej bože je do internetu vystrčen Windows 7 či starší, je zde vysoké riziko úspěšného útoku. Při něm pak dochází k eskalaci oprávnění bez interakce uživatele. Útočníkům přišla vhod i současná situace kolem COVID19, kdy řada lidí pracuje z domova a služba RDP se stala první volbou pro zajištění vzdáleného přístupu zaměstnanců do firmy.

Tak co ukradneme?

Jakmile je útočník uvnitř firemní sítě, další postup je zcela v jeho režii. Nástroje jako mimikatz, lazagne, psexec či užití služeb AD, WMI, …, vede k tomu, že útočníci mají celou síť dokonale zmonitorovanou a pod kontrolou. S plnými právy není problém provádět hromadnou vzdálenou odinstalaci bezpečnostních produktů či naopak vzdálenou instalaci nástrojů či rovnou ransomware na koncové stanice. Toto ale představuje závěrečnou fázi útoku. Ještě předtím je zajímavější vypátrat úložiště záloh, tyto znehodnotit a především pak exfiltrovat (odcizit) citlivá data společnosti. Tuto fázi nazýváme perzistence, kdy se útočníci snaží v síti vydržet co nejdéle a využít toho například pro stažení veškerých dat společnosti (know-how, citlivé informace, …).

A co si za to řekneme?

Jak už bylo psáno v některé z předchozích novinek, z pohledu útočníka je pak ideální požadovat výkupné hned 2x, za obnovu zašifrovaných dat a následně za nezvěřejnění ukradených dat. Zatímco s prvním výkupným je můžeme poslat do háje v případě existujících záloh, u druhého to je horší.

A jak to nakonec dopadne?

Jisté je, že platit za nezvěřejnění odcizených dat je nesmysl. Podle KrebsonSecurity nemá oběť žádnou jistotu, že útočník data smaže. Výzkum ukazuje, že řada obětí našla svá data veřejně online i přesto, že zaplatily. Je potřeba počítat s tím, že data nebudou skutečně smazána a budou prodána, nebo použita k dalšímu vydírání. Ukradená data ve skutečnosti drží několik hráčů zapojených do útoku a pokud zaplatí jednomu, tak ten v lepším případě smaže pouze jím drženou kopii a oběť může být v budoucnu vydírána někým jiným. Též se stává, že jsou data omylem, či úmyslně zveřejněna ještě předtím, než oběť stihne reagovat na nabídku výpalného.


2 komentářů » for V osobní péči útočníků
  1. Petr Hejduk napsal:

    Dobrý den,
    ddostal jsem výhružný e-mail:

    Zdravím! Mám pro tebe špatné zprávy.Přibližně před několika měsíci jsem získal přístup k zařízení, které používáš k prohlížení internetu, a ihned poté jsem začal tvoje online aktivity sledovat.Tohle se stalo: Před nějakým časem jsem si od hackerů pořídil přístup k vybraným emailovým účtům (v dnešní době se dají velmi snadno koupit online).A je zřejmé, že se mi podařilo přihlásit i k tvému účtu (hejdukovi@centrum.cz).O týden později už byl do operačních systémů všech zařízení, které využívají přístup k tvé emailové adrese, nainstalován virus trojského koně.Vlastně to nebylo vůbec složité (protože jsi klikal na odkazy v doručené emailové poště).Všechno geniální je ve skutečnosti strašně snadné. =)Díky tomuto softwaru mám přístup ke všem ovladačům tvých zařízení (např. mikrofonu, videokameře či klávesnici).Na své servery jsem stáhl všechny tvé informace, data, fotky i historii procházení webu.Stejně tak mám přístup i ke všem tvým messengerům, sociálním sítím, emailům, historii chatu a seznamu kontaktů.Můj virus neustále obnovuje svůj podpis (jeho systém je založen na ovladačích), a tak zůstává pro tvůj antivirový software neviditelný.Takže už nejspíš chápeš, proč mě tvůj systém, dokud jsem ti nenapsal, vůbec nezpozoroval…Při shromažďování informací o tobě jsem zjistil, že jsi velkým fanouškem webových stránek pro dospělé.Hrozně rád navštěvuješ pornostránky a sleduješ na nich vzrušující videa, přičemž si u toho všeho pořádně užíváš.Některé z tvých hanbatých akcí se mi podařilo nahrát a sestavil jsem z nich několik videí, na kterých je jasně vidět, jak masturbuješ a dosahuješ orgasmu.Pokud o tom snad pochybuješ, stačí, abych jen několikrát kliknul myší, a o všech tvých videích se dozvědí všichni tví přátelé, kolegové i členové rodiny.Nemám vůbec žádný problém ani s tím, že bych je zpřístupnil široké veřejnosti.A to bys vzhledem k té specifičnosti videí (určitě víš, co tím mám na mysli), která tak rád sleduješ, asi opravdu nechtěl, protože by to pro tebe znamenalo skutečnou katastrofu.Pojďme to tedy vyřešit následujícím způsobem:Ty mi pošleš 24500 Kč (v bitcoinovém ekvivalentu podle směnného kurzu platného v době převodu finančních prostředků), a já, jakmile bude tahle částka připsána na můj účet, všechny tyhle špinavosti okamžitě smažu.Ihned poté na sebe vzájemně zapomeneme. Stejně tak ti slibuji, že z tvých zařízení deaktivuji a odstraním veškerý škodlivý software. Věř mi, já své slovo držím.To je vzhledem k tomu, že už nějakou dobu tvůj profil a jeho aktivitu sleduji, férová nabídka a ta cena je taky poměrně nízká.Pokud nevíš, jak zakoupit a převést bitcoiny – můžeš si to s pomocí jakéhokoliv moderního vyhledávače velmi snadno zjistit.Tady je moje bitcoinová peněženka: 1Kd7V2UoQWatqeYhHdxLmwrbXKcFxjHNWD Na zaplacení máš necelých 48 hodin, přičemž tahle lhůta začíná běžet od okamžiku, kdy jsi otevřel tento email (přesně 2 dny).Věci, kterým se musíš vyhnout:*Neodpovídej mi (tento email byl vytvořen v tvé schránce s doručenou poštou, přičemž adresa doručitele byla automaticky vygenerovaná.*Nepokoušej se kontaktovat policii, ani žádné jiné bezpečnostní služby a kromě toho zapomeň i na to, že bys o mně říkal svým přátelům. Pokud bych to zjistil (jak vidíš sám, vzhledem k tomu, že ovládám všechny tvé systémy, není to nic ), okamžitě tvoje video zveřejním.*Nepokoušej se mě vyhledat – je to naprosto zbytečné. Všechny transakce s kryptoměnami jsou totiž anonymní.*Nesnaž se na svých zařízeních o přeinstalování nebo odstranění operačního systému. To nemá rovněž smysl, protože veškerá tvá videa jsou již stejně uložená na vzdálených serverech.Věci, se kterými si nemusíš dělat starosti:*Že bych nemohl tvůj finanční převod přijmout.- Neboj, uvidím ho okamžitě, jakmile svou transakci dokončíš, neboť tvé aktivity nepřetržitě sleduji (můj virus trojského koně totiž disponuje funkcí vzdáleného přístupu, takže je to něco jako TeamViewer).*Že tvoje videa poté, co peníze dostanu, stejně zveřejním.- Věř mi, na dalším komplikování tvého života nemám vůbec žádný zájem. Kdybych to tak opravdu chtěl, dávno bych to udělal! Vše bude probíhat naprosto férově!A ještě jedna věc… už se v budoucnosti nikdy nenechej v takových situacích přistihnout!Moje rada zní – co nejčastěji a pravidelně si obměňuj svá hesla!

    Nevím, co mám dělat. Můžete mi poradit?

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..