A Sophos egy friss elemzésében olyan példát is hoz, amikor egy vállalatot órákon-heteken belül ért három egymástól független ransomware-támadás.

Zsarolóvírust benyelni egyszer sem öröm, hát még egymás után hármszor! A rossz hír, hogy egyre gyakoribbak azok az esetek, amikor egy vállalat rendszerét egymás után támadják meg különböző hekkercsoportok, melyek között nincs semmiféle kapcsolat. A Sophos kiberbiztonsági cég egy friss elemzése egy autóipari beszállító esetét hozza fel példának: a cég hálózatát nagyon rövid időn beül – lényegében egymást átfedve – megtámadta a Hive, a Lockbit és a BlackCat zsarolóvírus-csoport is (a konkrét eset elemzése itt olvasható).

Ha megvan egy hiba, mindenki rárepül

A Sophos X-Ops Active Adversary hasonló támadásokat elemző tanulmánya szerint (Multiple Attackers: A Clear and Present Danger) ez általános tendencia. A példaként hozott vállalat hálózatánál az első két támadás között mindössze két óra telt el, de a harmadik is alig két héten belül következett be. Ennek eredményeként a fájlok egy része háromszorosan volt titkosítva.

A Sophos szerint ez újdonság. Bbár korábban is volt rá példa, hogy egy szervezet hálózatát több hullámban támadták különböző kiberbűnözői csoportok, az egyes támadások között minimum hónapok teltek el. Ma viszont már az egymást átfedő kibertámadások sem ritkák. Sokszor egy kriptobányászat célú támadást (amikor bányász algoritmsuok futtatására csapolják meg a megtámadott rendszer erőforrásait) rövid időn belül követ egy távoli hozzáférésű trójai eszköz (remote access trojan, RAT), majd esetleg bothálózat.

Ez az elemzés szerint azért fontos újdonság, mert alapesetben a bűnözői csoportok is versengenek egymással az erőforrásokért, ezért igyekeznek akadályozni egynást. A kriptobányászok például általában olyan erőforráslopó kódot telepítenek, amely kiiktat minden olyan konkurens káros kódot, amely veszélyezteti a hatékonyságát. De a RAT-ekbe is egyre gyakrabban építenek olyan funkciót, amely kilövi a különböző botokat. (Amikor 2018-ban megtalálták az első olyan káros kódot, amely kiirtotta a megtámadott rendszerről a konkurenseit, a kutatók még azt feltételezték, hogy talán valamilyen programozási hiba okozhatja ezt a viselkedést.)

A Sophos által példaként hozott támadásoknál viszont mintha a támadások segítették is volna egymást: a három egymást követő ransomware-támadásban például az utolsó csoport (a BlackCat) nem csak a saját tevékenységének nyomait törölte, hanem a LockBitét és a Hive-ét is. De a kutatók találkoztak olyan esettel is, amikor egy rendszert a LockBit zsarolóvírus fertőzött meg, majd három hónappal később a Contihoz kapcsolódó Karakurt Team a LockBit által létrehozott backdooron keresztül lopott adatokat, hogy azokért váltságdíjat követeljen.

Kattintson a képre a nagyobb mérethez!


A Sophos kutatója, John Shier szerint valami változóban lehet: bár nincs bizonyíték a különböző kiberbűnözői csoportok együttműködésre, de lehetséges, hogy a támadók felismerték, hogy az egyre kompetitívebbé váló piacon véges számú erőforráson kell osztozniuk.

Gyorsabban jön a támadás, mint a patch

Az elemzés szerint a támadás első hulláma általában valamilyen javítatlan sebezhetőségen keresztül történt. (A Sophos sok foltozatlan Log4Shell-, ProxyLogon- és ProxyShell-sérülékenységet talált, de gyakori támadási felület a rosszul konfigurált Remote Desktop Protocol is.) A legtöbb esetben az történt, hogy megtámadott szervezet már az első támadást sem tudta megfelelően elhárítani, így az gyakorlatilag kinyitotta az ajtókat a további támadások előtt.

Mint azt John Shier a SecurityWeeknek összefoglalta, az első támadást gyakran kriptobányászok hajtáj végre, akik egy könnyen kihasználható új sebezhetőségre azonnal rávetik magukat. Ha ezt nem fedezi fel időben a vállalat kiberbiztonsági csapata, a kriptobányász program megnyitotta úton jön a támadások újabb és újabb hulláma. A tanulság tehát, hogy a legkisebb biztonsági réssel is azonnal, a felfedezésekor kell foglalkozni.

Biztonság

Újfajta játékban zárkózott fel hozzánk a mesterséges intelligencia

A teljesinformációs játékokban az MI már hosszú ideje jól teljesít, de a DeepMind most kifejlesztett egy olyan modellt, amelyik a legmagasabban jegyzett embereket is elveri a Stratego nevű társasjátékban.
 
Bár az 5G-s beruházások megtérülését biztosító alkalmazási területeket még a szolgáltatók és az ügyfelek is keresik, a fejlesztési kényszer megvan, mert aki ebből kimarad, lemarad.

a melléklet támogatója a Yettel

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Az EU Tanácsa szerint összeegyeztethető a backdoor és a biztonság. Az ötlet alapjaiban hibás. Pfeiffer Szilárd fejlesztő, IT-biztonsági szakértő írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizenegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2022 Bitport.hu Média Kft. Minden jog fenntartva.