Заплахата от продажба на откраднатите данни е допълнителен стимул за

Заплахата от продажба на откраднатите данни е спомагателен тласък за заплащане на откуп
(снимка: CC0 Public Domain)

Бързото нахлуване на облачните технологии, работата от разстояние, подвижността – това е плодородната почва, довела до растеж на офанзивите вид двойно кибер-изнудване, съгласно ново проучване на Check Point Research (CPR). Този жанр офанзиви са шлагер измежду нарушителите, а най-атакуваните жертви са лечебните заведения.

Двойното кибер-изнудване е наклонност, която се зароди през втората половина на 2020 година и се дефинира като „ новата вълна на рансъмуер ”, изяснява в своя публикация Паоло Пасери, откривател в региона на киберсигурност от Университета в Милано. При двойното кибер-изнудване участниците в опасността могат да усилят оптимално възможностите си за облага, като дадат на жертвите си спомагателен тласък да платят откупа – опасността да продадат откраднатите криптирани данни.

„ Бандата зад REvil (известна още като Sodinokibi) беше първата, която приложи тази тактика и други групи скоро започнаха да подражават ”, написа в обзора си Пасери, оповестен в.

Експоненциален растеж

Атаките с двойно изнудване се усилват експоненциално, съгласно отчета на CPR. През третото тримесечие на 2020 година съвсем половината от всички произшествия с са включвали опасността от продажба на „ заключените ” данни, откраднати от целевата организация. В световен мащаб приблизително по една организация става жертва на рансъмуер на всеки 10 секунди.

Кибератаките към бранша на опазването на здравето се трансформират в зараза: те бележат приблизително по 37% нарастване на месец за последните 12 месеца, съгласно CPR. През четвъртото тримесечие на 2020 година хакерските атаки (особено офанзивите на рансъмуер) против лечебни заведения са се нараснали с 45% в международен мащаб, защото нарушителите считат, че е по-вероятно жертвите им да платят откуп заради натискa поради случаите на Covid-19.

Всеки е евентуална цел

Честотата и въздействието на рансъмуер офанзивите демонстрираха, че всеки обект е евентуална цел, споделя пък в своя разбор Пасери. „ В резултат на това, с изключение на да внедряват спомагателни вложения в технологии за отбрана, организациите работят интензивно, с цел да вкарат и ефикасни тактики за архивиране, с цел да се оправят с най-лошия сюжет на сполучлива деструктивна рансъмуер офанзива ”.

Но при офанзивите с двойно изнудване съществуването на аварийно копие може да се окаже неефикасно. Заплахата от приключване на данни в действителност може да окаже по-голям напън върху жертвата, защото евентуалните стопански и репутационни вреди могат да бъдат даже по-опустошителни от самата загуба на данни.
още по тематиката
Притеснителното е, че откакто кибернападателите пробият отбраната на дадена организация, творчеството им е на процедура неограничена. В някои акции участниците в закани „ подвигнаха летвата ” още повече, като сканираха мрежите на организацията-жертва за програмен продукт за ръководство на кредитни карти и точки за продажба (PoS), а това им разреши да си обезпечават спомагателни доходи от офанзивата, показва специалистът от Милано.

Паралелно с възприемането на тактиката за двойно изнудване, кибер-нападателите са трансформирали и метода си на деяние, преминавайки от опортюнистичен модел на работа към по-целенасочен метод. Те сортират жертвите си, с цел да употребяват уязвими системи, отворени към интернет, и да обхванат в мрежата на задачата. По този метод нападателите могат да пробият, да инжектират зловредния товар и да се уверят, че огнището бързо се популяризира в цялата организация.

Една от особеностите, които благоприятстват работата на нападателите, е потреблението на програмен продукт с уязвимости – остарял, „ незакърпен ”. са отворени порти за инжектиране на рансъмуер (но също по този начин и за осъществяване на акции за кибершпионаж), припомня Пасери.

Когато през 2020 година доста организации внезапно вкараха отдалечена работа за чиновниците си, това се оказа отворена врата за кибер-злодеите. Работещите отдалечено са средство за „ верижно изнудване ” – първо бива атакувано устройството, с което работи обособеният чиновник, а след това посредством инфектираното устройство се навлиза в корпоративната мрежа. Системите за далечен достъп вършат това елементарно за зложелателите.

Какво може да се направи?

Ако в действителност би трябвало да осигурите достъп до вътрешни запаси на мрежово равнище посредством VPN, уверете се, че системите са обновени с най-новите „ кръпки ” навреме, поучава Пасери.

„ За да се предпазите от „ груба силова ” офанзива (brute-force) и „ напръскване с пароли ” (password-spraying), наложете ефикасна. Ако е допустимо, комбинирайте я с многофакторно засвидетелствуване както на външния пласт, по този начин и при достъп до вътрешни запаси. Разбира се, постоянно изключвайте VPN достъпа за тези, които не се нуждаят от него ”, предлага експертът.

При работа с RDP блокирайте достъпа до RDP портовете (3389 TCP / UDP), в случай че не се изисква, ограничете достъпа до тези, които в действителност се нуждаят, и използвайте „ шлюз ”, с цел да избегнете излагането на системата непосредствено в интернет. Както при VPN, налагайте многофакторно засвидетелствуване и засвидетелствуване на равнище мрежа за RDP.

Но най-много не трябва да се не помни, че най-трудно е да се нападат системите, които са невидими, заключава специалистът.