Stále větší množství útoků, při kterých jsou od obětí vyžadovány peníze, se děje v režimu “osobní péče útočníků”. Útoků se tak aktivně účastní lidé / hackeři na druhé straně barikády. Způsobené je to patrně tím, že běžný útok ransomware, který je hromadně distribuován na širokou základnu uživatelů (formou phishingové kampaně, …), nesklízí takové úspěchy jako v minulosti. Může k tomu vést například i toto…

  • Došlo k významnému posunu detekce havěti typu ransomware ze strany antivirů a dalších bezpečnostních řešení (detekce exploitů, monitoring aktivit v PC, sledování podezřelých operací na souborovém systému, …).
  • Stouplo povědomí o problematice ransomware. Sem tam už někdo ví, že není úplně dobré na všechno klikat a všemu věřit.
  • Potenciální oběti zjistily, že zálohování dat není až zase taková zbytečnost.

Konkurence

Individuální útoky navíc dokážou způsobit značný mediální rozruch (útok na nemocnici či známou společnost) a vzhledem k tomu, že za nimi stojí celé organizované skupiny, které si prokazatelně konkurují, tak i vyvolat sérii dalších významných “úlovků”.

Vzdálená plocha v hlavní roli

Nejoblíbenějším vstupním bodem je přitom služba RDP (TCP 3389), tedy vzdálená plocha. Kolem této služby se bohužel motá několik exploitů, nazvaných jako DejaBlue, BlueKeep či EternalBlue a možnost brute force útoků pro prolomení hesel. Pokud tak nedochází k pravidelné aktualizaci operačního systému, nedej bože je do internetu vystrčen Windows 7 či starší, je zde vysoké riziko úspěšného útoku. Při něm pak dochází k eskalaci oprávnění bez interakce uživatele. Útočníkům přišla vhod i současná situace kolem COVID19, kdy řada lidí pracuje z domova a služba RDP se stala první volbou pro zajištění vzdáleného přístupu zaměstnanců do firmy.

Tak co ukradneme?

Jakmile je útočník uvnitř firemní sítě, další postup je zcela v jeho režii. Nástroje jako mimikatz, lazagne, psexec či užití služeb AD, WMI, …, vede k tomu, že útočníci mají celou síť dokonale zmonitorovanou a pod kontrolou. S plnými právy není problém provádět hromadnou vzdálenou odinstalaci bezpečnostních produktů či naopak vzdálenou instalaci nástrojů či rovnou ransomware na koncové stanice. Toto ale představuje závěrečnou fázi útoku. Ještě předtím je zajímavější vypátrat úložiště záloh, tyto znehodnotit a především pak exfiltrovat (odcizit) citlivá data společnosti. Tuto fázi nazýváme perzistence, kdy se útočníci snaží v síti vydržet co nejdéle a využít toho například pro stažení veškerých dat společnosti (know-how, citlivé informace, …).

A co si za to řekneme?

Jak už bylo psáno v některé z předchozích novinek, z pohledu útočníka je pak ideální požadovat výkupné hned 2x, za obnovu zašifrovaných dat a následně za nezvěřejnění ukradených dat. Zatímco s prvním výkupným je můžeme poslat do háje v případě existujících záloh, u druhého to je horší.

A jak to nakonec dopadne?

Jisté je, že platit za nezvěřejnění odcizených dat je nesmysl. Podle KrebsonSecurity nemá oběť žádnou jistotu, že útočník data smaže. Výzkum ukazuje, že řada obětí našla svá data veřejně online i přesto, že zaplatily. Je potřeba počítat s tím, že data nebudou skutečně smazána a budou prodána, nebo použita k dalšímu vydírání. Ukradená data ve skutečnosti drží několik hráčů zapojených do útoku a pokud zaplatí jednomu, tak ten v lepším případě smaže pouze jím drženou kopii a oběť může být v budoucnu vydírána někým jiným. Též se stává, že jsou data omylem, či úmyslně zveřejněna ještě předtím, než oběť stihne reagovat na nabídku výpalného.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..