По-рано тази седмица Sony потвърдиха новината, че са станали жертва

По-рано тази седмица Sony потвърдиха новината, че са станали жертва на хакерска офанзива. А самата вест пристигна откакто известна рансъмуер група разгласява на уеб страницата си в даркуеб информация за това. Тактиката „ уточни и засрами “ (name and shame), при която киберпрестъпници, най-много разпространяващи рансъмуер, беше разпространявана преди няколко години. Тя се показва в това, че откакто осъществят пробив в мрежата на някоя компания, въпросните киберпрестъпници крадат информация и разгласяват част от нея на специфичен уебсайт в Tor пространството. Това деяние има за цел да потвърди триумфа им и принуди жертвата да заплати откуп, с цел да не стане обществено притежание откраднатата от тях информация. Жертвата има избор – да заплати и данни за пробива да не бъдат оповестени или откраднатата информация да бъде изложена на показ и вероятно продадена. В случая на Sony, наподобява те са избрали второто. Случаят с японската компания не е изолиран и освен това. Според отчет на Secureworks, имената на фирмите, появяващи се на този вид уеб сайтове се усилва.

Компанията написа, че в последните четири месеца – в интервала март-юни 2023, броят на имената, които се разгласяват на тези уеб сайтове е достигнал невиждани равнища. Към сегашния миг, 2023 се обрисува да е рекордна за появяването на имената на жертви на самобитните „ стени на срама “. От Secureworks допълват, че чакат в края на лятото броя на посочените тук компании да надвиши 10 000 – отчетът преглежда интервала юли 2022 – юни 2023, като Secureworks не са удостоверили прекосяването на тази граница към момента, цитират проучването Infosecurity-Magazine. В него се показват огромните играчи на Name and Shame сцената, а също по този начин главните вектори за офанзива, употребявани от хакерските групи в тези случаи, както и главните способи, по които фирмите могат да си оказват помощ, с цел да не видят имената си по този жанр уеб сайтове.

GOLD MYSTIC е името на киберпрестъпната формация, което Secureworks дават на разпространяващите LockBit. Водещи в самобитната ранглиста, групата е разгласила близо три пъти повече имена на компании на уеб страницата си от втората хакерска група тук – GOLD BLAZER (BlackCat). Споменава се името и на GOLD TAHOE – групата зад Clop. Те са виновни за офанзивата към Sony и нашумяха в последните месеци с офанзивите си към към този момент покритата накърнимост в софтуера за ръководство на прехвърляния MOVEit Transfer. Макар и да не се показва точния брой на жертвите на първите три групи, Secureworks загатва броя на жертвите на една от дребните групи – 8BASE, които единствено през юни са качили на уеб страницата си данните и имената на 40 компании. И наподобява, че тактиката „ уточни и засрами “ работи тъй като броя на този вид киберпрестъпни групи се усилва.

По отношение на векторите на офанзива, преобладаващи тук са сканирането на софтуерната среда и експлоатиране на недостатъци в нея (32%), следвани от забранен вход в мрежата посредством откраднати данни за регистриране. Третият метод за офанзива е посредством доставянето на злотворен код с фишинг имейли (14%). Какво предлагат на фирмите от Secureworks в опит да се предпазят от такива офанзиви:

• Навременно и редовно актуализиране на софтуера. Освен, че администриращите IT ресурсите в дадена организация е нужно да поддържат постоянно системите актуализирани, то е нужно и да наблюдават настоящото положение на сцената на заканите и приоритизират обновяването на по-често атакувани стратегии. Пример за това са продължаващите офанзиви към към този момент запушената накърнимост в MOVEit Transfer. • Мултифакторно засвидетелствуване. Независимо от това, че постоянно огромните киберпрестъпни групи да намират способи да преодоляват 2FA отбраните, то двойната отбрана при достъп си остава благонадежден щит против доста от хакерските офанзиви. • Проследяване и мониторинг. Администриращите фирмените мрежови масиви би трябвало да реализират непрекъснат мониторинг на протичащото се в мрежите им, да наблюдават за трансфер на огромни обмени от данни и подозрителна интензивност. Освен това, не е неприятна концепция да се наеме компания, която да следи протичащото се в киберпрестъпните пространства, където първо излиза информация за сбъднат пробив.

Пълният отчет на Secureworks може да намерите тук (pdf).