Jedan ransomware napad na provajdera usluga kojim upravlja Novi Zeland (MSP) poremetio je preko noći nekoliko poslovnih operacija njegovih klijenata, od kojih većina pripada zdravstvenom sektoru. Prema riječima državnog povjerenika za privatnost, “incident kibernetičke bezbjednosti koji uključuje napad ransomware-a” krajem novembra prekinuo je svakodnevne operacije novozelandskog ministarstva zdravlja kada je spriječilo osoblje da pristupi hiljadama medicinskih kartona. Ministarstvo pravde, šest zdravstvenih regulatornih tijela, zdravstveno osiguranje i nekolicina drugih preduzeća također su među onima koji su pogođeni štetom iz druge ruke od napada. Postoje načini za oporavak od napada ransomware-a , ali šteta se često proteže na klijente i dobavljače te napadnute organizacije.
Ciljani MSP u ovom incidentu je Mercury IT, preduzeće sa sjedištem u Australiji. Te Whatu Ora, novozelandsko ministarstvo zdravlja, nije bilo u mogućnosti pristupiti najmanje 14.000 medicinskih kartona zbog nestanka u Mercury IT-u. Ovo uključuje 8.500 evidencija službi za njegu iz 2015. godine i 5.500 evidencija registra srčanih naslijeđenih bolesti iz 2011. godine. Iako je Te Whatu Ora rekao u javnoj izjavi da njihove zdravstvene usluge nisu bile pogođene napadom ransomware-a, lako se može vidjeti koliko loša sigurnost može nenamjerno naštetiti medicinskim pacijentima.
U privatnom sektoru, kompanija za zdravstveno osiguranje Accuro prijavila je nezakonito preuzimanje i širenje korporativnih podataka nakon Mercury IT napada. Većina ukradenih podataka odnosila se na finansije kompanije, navodi Accuro u izjavi, koja je potom procurila na dark web. Neki od ukradenih podataka uključuju kontakt informacije članova i brojeve politike, dodaje Accuro, ali navodi da nije uočena zloupotreba ukradenih ličnih podataka.
MSP napadi: Ubijanje nekoliko ptica jednim udarcem
Ovaj incident pokazuje kako su MSP-ovi privlačne mete za napadače zbog ogromne količine podataka o klijentima pohranjenih u sistemima jedne kompanije. Sajber kriminalci treba samo da iskoriste bezbjednosne propuste jednog MSP-a da ukradu poverljive podatke od desetina kompanija odjednom. Istražitelji su prerano u svojoj istrazi da bi utvrdili cilj i motiv napadača, ali u ovoj priči postoji jasna lekcija za IT administratore, odradite reviziju sigurnosne prakse MSP-a prije nego što platite.
Lozinke: Najslabija karika
Izvještaj o prijetnjama MSP-a za 2021. godinu od strane ConnectWise-a otkrio je da je 60% incidenata na MSP klijentima bilo povezano s ransomware-om. Ransomware grupe trebaju samo “najniže visiće voće” da pokrenu uspješan napad – slabe lozinke. Čak i dok se razvijaju novi oblici autentifikacije kako bi lozinke postale zastarjele, lozinke ostaju najčešći i najranjiviji način osiguranja podataka.
Shodno tome, jedan od najčešćih metoda za distribuciju ransomware-a je RDP brute-force napad. Hakeri pokreću napade grubom silom koristeći automatizovani program da isprobaju dugu listu kombinacija lozinki na nalogu dok ne pogode pravu, nakon mnogo pokušaja i grešaka. Kada uđe, napadač je slobodan da ukrade podatke iz organizacije mete i paralizira njihove sisteme pomoću ransomware-a. Uobičajena odbrana od napada grubom silom uključuje postavljanje ograničenog broja pokušaja prijave prije nego što se račun privremeno zaključa.
Revizija lozinki dobavljača
Organizacije rizikuju da naslijede sigurnosne slabosti svojih dobavljača bez prethodne revizije sigurnosti. Specops Password Auditor je besplatan alat za reviziju lozinki samo za čitanje koji pomaže IT administratorima u donošenju odluka skeniranjem aktivnog direktorija u potrazi za sigurnosnim slabostima vezanim za lozinku. Koristeći ovaj alat, administratori mogu vidjeti sigurnosnu poziciju svakog računa tako da nijedan račun s probijenim lozinkama neće ostati neprimijećen.
Specops Password Auditor dolazi do korena slabih lozinki tako što identifikuje politike lozinki koje su omogućile njihovo kreiranje. Uz interaktivne izvještaje koje generiše Specops Password Auditor, MSP mogu identifikovati da li su njihove politike usklađene i koje se oslanjaju na standardne politike lozinki. Oni takođe mogu uporediti svoje politike lozinki sa različitim standardima usklađenosti, kao što su NIST, CJIS, NCSC, HITRUST i drugi regulatori. IT administratori mogu zatražiti od dobavljača i njihovih MSP-a da pokrenu ovo besplatno skeniranje, a zatim dobiju izvještaj samo za čitanje. Za precizno sigurnosno planiranje, administratori mogu prilagoditi izvještaj o usklađenosti s pravilima lozinke tako da prikazuje samo standarde relevantne za njihovu organizaciju.
Izvor: The Hacker News
