Donosimo Vam tri najgora kršenja, taktike i tehnike hakera iz 2022. godine i sigurnosne kontrole koje mogu pružiti efikasnu, sigurnosnu zaštitu kompanije.
#1: Dva RaaS napada u 13 mjeseci
Ransomware kao usluga je vrsta napada u kojem se ransomware softver i infrastruktura iznajmljuju napadačima. Ove ransomware usluge mogu se kupiti na dark web-u od drugih hakera i ransomware bandi. Uobičajeni planovi kupovine uključuju kupovinu cijelog alata, korištenje postojeće infrastrukture uz plaćanje po infekciji ili prepuštanje drugim napadačima da izvedu uslugu dok se s njima dijeli prihod.
U ovom napadu, akter prijetnje se sastoji od jedne od najzastupljenijih grupa ransomware-a, specijalizovanih za pristup putem trećih strana, dok je ciljana kompanija trgovački lanac srednje veličine sa desetinama lokacija u SAD-u.
Hakeri su koristili ransomware kao uslugu za probijanje mreže žrtve. Bili su u mogućnosti da iskoriste kredencijale treće strane da dobiju početni pristup, napreduju lateralno i prikupe otkup za kompaniju, sve u roku od nekoliko minuta.
Brzina ovog napada bila je neobična. U većini slučajeva RaaS-a, napadači obično ostaju na mrežama nedeljama i mesecima pre nego što zatraže otkupninu. Ono što je posebno interesantno u vezi sa ovim napadom je da je kompanija platila otkup za nekoliko minuta, bez potrebe za otkrivanjem ili lateralnog kretanja nedeljama.
Istraga dnevnika otkrila je da su napadači ciljali servere koji ne postoje u ovom sistemu. Kako se ispostavilo, žrtva je prvobitno provaljena i platila otkupninu 13 mjeseci prije drugog ransomware napada. Nakon toga, prva grupa napadača je unovčila prvi napad ne samo putem otkupnine koju su dobili, već i prodajom mrežnih informacija kompanije drugoj ransomware grupi.
U 13 mjeseci između dva napada, žrtva je promijenila mrežu i uklonila servere, ali novi napadači nisu bili svjesni ovih arhitektonskih modifikacija. Skripte koje su razvili dizajnirane su za prethodnu mrežnu mapu. Ovo takođe objašnjava kako su mogli da napadnu tako brzo – imali su dosta informacija o mreži. Glavna lekcija ovdje je da napade ransomware-a mogu ponoviti različite grupe, posebno ako žrtva dobro plati.
“RaaS napadi kao što je ovaj dobar su primjer kako potpuna vidljivost omogućava rano uzbunjivanje. Globalna, konvergentna, SASE platforma izvorna u Cloud-u koja podržava sve ćoškove, kao što je Cato Networks, pruža potpunu vidljivost mreže u mrežnim događajima koji su nevidljivi drugima pružaoci usluga ili mogu proći ispod radara kao benigni događaji, a mogućnost potpunog kontekstualizovanja događaja omogućava rano otkrivanje i sanaciju.
#2: Napad kritične infrastrukture na mreže upozorenja o radijaciji
Napadi na kritičnu infrastrukturu postaju sve češći i opasniji. Napadi u postrojenjima za vodosnabdijevanje, kanalizacionim sistemima i drugim sličnim infrastrukturama mogli bi milione stanovnika dovesti u opasnost. Ove infrastrukture također postaju ranjivije, a alati za upravljanje napadom za OSINT kao što su Shodan i Censys omogućavaju sigurnosnim timovima da pronađu takve ranjivosti s lakoćom.
Tako su, 2021. godine dvojica hakera osumnjičena da su ciljali mreže za uzbunu radijacije. Njihov napad se oslanjao na dva insajdera koji su radili za treću stranu. Ovi insajderi su onemogućili sisteme upozorenja na zračenje, značajno oslabivši njihovu sposobnost praćenja radijacijskih napada. Napadači su tada uspjeli izbrisati kritični softver i onemogućiti mjerače zračenja (koji su dio same infrastrukture).
“Nažalost, skeniranje ranjivih sistema u kritičnoj infrastrukturi lakše je nego ikad. Iako mnoge takve organizacije imaju više slojeva sigurnosti, one i dalje koriste point rješenja kako bi pokušale obraniti svoju infrastrukturu, a ne jedan sistem koji može holistički gledati na cijeli životni ciklus napada. Kršenja nikada nisu samo problem krađe identiteta, problem kredencijala ili ranjivi sistemski problem, oni su uvijek kombinacija višestrukih kompromisa koje čini akter prijetnje,“ rekao je Etay Maor, stariji direktor sigurnosne strategije u Cato Networks-u.
#3: Napad Ransomware-a u tri koraka koji je započeo phishing-om
Treći napad je takođe napad na ransomware. Ovaj put se sastojao od tri koraka:
1. Infiltracija – Napadač je uspio dobiti pristup mreži putem phishing napada. Žrtva je kliknula na link koji je generisao vezu sa eksternom lokacijom, što je rezultovalo preuzimanjem korisnog učitavanja.
2. Mrežna aktivnost – U drugoj fazi napadač je dvije sedmice napredovao lateralno u mreži. Tokom tog vremena, prikupljao je administratorske lozinke i koristio maliciozni softver bez datoteka u memoriji. Zatim je u novogodišnjoj noći izvršio šifrovanje. Ovaj datum je izabran jer se (s pravom) pretpostavljalo da će tim za obezbeđenje otići na odmor.
3. Eksfiltracija – Konačno, napadači su prenijeli podatke van mreže.
Pored ova tri glavna koraka, tokom napada su korištene dodatne podtehnike i rješenja za sigurnost, žrtve nisu mogla blokirati ovaj napad.
„Pristup višestruke tačke gušenja, onaj koji gleda “horizontalno” na napad, a ne kao skup vertikalnih, nepovezanih pitanja, način je da se poboljša otkrivanje, ublažavanje i prevencija takvih prijetnji. Za razliku od popularnog vjerovanja, napadač mora biti u pravu mnogo puta, a branioci moraju biti u pravu samo jednom. Osnovne tehnologije za implementaciju pristupa višestrukih prigušnih tačaka su potpuna vidljivost mreže putem backbone-a u Cloud-u i sigurnosni stack za jedan prolaz koji je baziran na ZTNA-u.” rekao je Etay Maor, stariji direktor sigurnosne strategije u Cato Networks.
Kako se stack-uju rješenja Security Point-a?
Uobičajeno je da profesionalci u oblasti bezbjednosti podlegnu „zabludi o jednoj tački neuspeha“. Međutim, kibernetički napadi su sofisticirani događaji koji rijetko uključuju samo jednu taktiku ili tehniku koja je uzrok kršenja. Stoga je potreban sveobuhvatan pogled da bi se uspješno ublažili kibernetički napadi. Rešenja za sigurnosne tačke su rešenje za pojedinačne tačke kvara. Ovi alati mogu identifikovati rizike, ali neće povezati tačke, što je moglo i dovesti do kršenja.
Na sledeće trebate obratiti pažnju
Prema tekućem sigurnosnom istraživanju koje provodi Cato Networks Security Team, identifikovane su dvije dodatne ranjivosti i pokušaji eksploatacije za koje se preporučuje da uključite u Vaše nadolazeće sigurnosne planove:
1. Log4j
Dok je Log4j debitovao još u decembru 2021. godine, buka koju stvara nije utihnula. Log4j još uvijek koriste napadači za iskorištavanje sistema, jer nisu sve organizacije bile u mogućnosti da zakrpe svoje Log4j ranjivosti ili otkriju Log4j napade, u onome što je poznato kao “virtuelne zakrpe”. Oni preporučuju davanje prioriteta ublažavanju Log4j-a.
2. Pogrešno konfigurisani firewall-ovi i VPN-ovi
Sigurnosna rješenja poput firewall-a i VPN-ova postali su pristupne tačke za napadače. Krpanje je postalo sve teže, posebno u eri Cloud arhitekture i rada na daljinu. Preporučljivo je obratiti posebnu pažnju na ove komponente jer su one sve ranjivije.
Kako minimizovati površinu napada i dobiti vidljivost u mreži
Da bi smanjili površinu napada, stručnjacima za sigurnost je potrebna vidljivost u svojim mrežama. Vidljivost se oslanja na tri stuba:
- Informacije koje se mogu primijeniti – koje se mogu koristiti za ublažavanje napada
- Pouzdane informacije – koje minimizuju broj lažnih pozitivnih rezultata
- Pravovremene informacije – kako bi se osiguralo da se ublažavanje dogodi prije nego što napad ima uticaj
Kada organizacija ima potpunu vidljivost aktivnosti na svojoj mreži, ona može kontekstualizovati podatke, odlučiti da li se aktivnost treba dozvoliti, odbiti, nadzirati, ograničiti (ili bilo koju drugu radnju), a zatim imati mogućnost da provede ovu odluku. Svi ovi elementi moraju se primijeniti na svaki entitet, bilo da se radi o korisniku, uređaju, aplikaciji u Cloud-u, itd. Stalno i svugdje. To je ono što predstavlja SASE.
Izvor: The Hacker News
