Za práci na tomto článku děkujeme Billu Kearneymu ze společnosti Sophos Rapid Response.
Pokud jste četli nedávnou zprávu Sophos 2021 Threat Report, víte, že jsme do ní záměrně zařadili kapitolu o veškerém malwaru, který není ransomwarem.
Jistě, ransomware v těchto dnech pochopitelně plní titulky v médiích, ale kybernetická kriminalita dalece přesahuje rámec útoků ransomwaru.
Jak jsme již dříve uvedli, k mnoha incidentům s ransomwarem dochází kvůli jinému malwaru, který nejprve pronikl do vaší sítě a později přinesl ransomware.
Ve skutečnosti mnoho průniků do sítě vůbec nezahrnuje malware, protože kyberzločinci mají spoustu jiných způsobů, jak z vašich uživatelů, vaší společnosti nebo z obou vylákat peníze.
Tady je příklad, na který nedávno narazil tým rychlé reakce společnosti Sophos – oportunistické narušení sítě, které bylo mnohem méně sofistikované než typický ransomware nebo útok na krádež dat, ale přesto nebezpečné a znepokojivé.
Ještě horší pro zaměstnance firmy je, že tito podvodníci nešli konkrétně po firmě jako celku, ale zdálo se, že napadli síť prostě proto, že představovala pohodlný způsob, jak se nabourat do mnoha jednotlivců najednou.
Velmi zjednodušeně řečeno, podvodníci šli po co největším počtu účtů, ke kterým měli přístup, aby mohli co nejrychleji nakoupit co nejvíce dárkových karet.
Jak asi víte, dárkové karty zakoupené na internetu jsou obvykle doručeny e-mailem vybranému příjemci jako tajný kód a registrační odkaz.
Obdržení kódu dárkové karty je tedy něco jako získání čísla, data platnosti a bezpečnostního kódu z předplacené kreditní karty – volně řečeno, kdo má kód, může ji utratit.
Ačkoli jsou dárkové karty určeny pouze k použití určeným příjemcem – nemají být přenosné – nic moc nebrání tomu, aby je příjemce umožnil použít někomu jinému, pokud se tak rozhodne, a to znamená, že je lze prodat v podsvětí kybernetické kriminality.
A na to, že dárkový poukaz v hodnotě 200 dolarů, prodávaný nelegálně na internetu například za polovinu své nominální hodnoty, nezní jako mnoho…
…podvodníci, kteří mají přístup k uživatelům celé společnosti – v tomto příběhu podporovala VPN společnosti asi 200 lidí – se mohou pokusit získat v krátké době nejen jeden, ale potenciálně stovky předplacených dárkových poukazů.
Zločincům bylo v tomto případě jedno, zda obětí, která zůstala bez peněz, byli jednotliví zaměstnanci, samotná společnost nebo obojí.
Odhaleni a odraženi
Dobrou zprávou je, že se podvodníci dostali jen tak daleko, že utratili 800 dolarů z cizích peněz, než je tým rychlého nasazení dokázal vyřadit ze sítě, a pokud víme, podvodné nákupy byly včas odhaleny a stornovány, takže nikdo neskončil bez peněz.
Jak uvidíte, hlavním důvodem, proč byli podvodníci včas odhaleni a odraženi, bylo to, že sysadmin v postižené společnosti jednal, jakmile si všiml, že něco není v pořádku.
Pokud jste minulý týden sledovali video Naked Security Live s názvem „Překonejte hrozbu“, víte, že v našich tipech na konci videa jsme říkali:
Každý tip, který můžete získat a který naznačuje, že by ve vaší síti mohl být podvodník, je tip, který stojí za pozornost. protože se díváte na něco, co nedokážete zcela zdůvodnit, ale co jste viděli dříve a minule to bylo v pořádku – nepředpokládejte, že je to v pořádku i tentokrát. To je trochu jako slyšet, že se vám v kuchyni spustil kouřový alarm, a myslet si: „Víte co, minule ho omylem spustila pára z rychlovarné konvice, takže budu předpokládat, že se děje právě tohle .“. Tentokrát to může být něco na varné desce, co už se vznítilo.
Při vší hrdosti na to, že tým rychlé reakce společnosti Sophos dokázal rychle zareagovat a útok vyřešit, je podstatné, že oběť v první řadě rychle spustila správnou reakci.
Jak se to stalo
Tito podvodníci neměli čas po sobě uklidit – nebo to možná stejně neměli v úmyslu – ale pokud můžeme říct, útok se odehrál jednoduše a rychle.
Nemůžeme si být jisti, jak přesně se podvodníci dostali dovnitř, ale víme, že:
- Server VPN oběti nebyl několik měsíců opraven. To samo o sobě mohlo podvodníkům stačit k průniku – pro starou verzi existoval exploit, který teoreticky mohl podvodníkům umožnit proniknout do sítě.
- Server VPN nebyl nastaven tak, aby vyžadoval 2FA. To znamená, že k získání předmostí jim mohlo stačit úspěšné vylákání hesla od jediného uživatele. (Navzdory neopravené zranitelnosti máme podezření, že útočníci tentokrát pronikli právě tímto způsobem.)
- Jakmile byli „uvnitř“ sítě VPN, mohli podvodníci interně používat protokol RDP a přeskakovat z počítače na počítač. Díky tomu mohli otevřít webové prohlížeče na počítačích uživatelů a zjistit, ze kterých online účtů se neodhlásili, včetně jejich osobních e-mailových účtů (např. Gmail a Outlook.com). Ujistěte se, že jste RDP zabezpečili stejně robustně zevnitř sítě jako zvenčí.
- Podvodníci používali jednotlivé e-mailové účty k řadě resetů hesel. Na počítačích, kde podvodníci mohli přistupovat k e-mailovým účtům díky pověřením uloženým v mezipaměti, ale nemohli se dostat k jiným zajímavým účtům, protože uživatel byl od nich odhlášen, prováděli resetování hesel prostřednictvím e-mailového účtu. Mezi účty, na které podvodníci zaútočili, patřily účty Best Buy, Facebook, Google Pay, PayPal, Venmo a Walmart.
Naštěstí se zdá, že jen několik takto napadených uživatelů mělo uložené údaje o své kreditní kartě pro automatické opakované použití při nákupech, což je pravděpodobně důvod, proč se podvodníkům podařilo nakoupit dárkové karty v hodnotě jen několika set dolarů, než byli odhaleni.
Podle všeho si řada uživatelů, kteří potřebovali znovu nastavit svá změněná hesla, aby se dostali zpět ke svým účtům, všimla, že v jejich online nákupních košících byly dárkové karty připravené k nákupu, ale podvodníkům se nepodařilo tyto nákupy dokončit.
(Nedokážeme říci, zda podvodníci ponechali neúspěšné nákupy, protože byli přistiženi dříve, než je stačili uklidit, protože doufali, že je legitimní majitel účtu později přehlédne a omylem nakoupí, nebo protože se soustředili na rychlost a bylo jim jedno, co se stane později.)
Ale je toho víc
Jako u mnoha útoků, ani tento neměl jen jediný cíl, ačkoli získání „peněz na prodej“ zde bylo zřejmě hlavním motivem.
Podvodníci si také stáhli a nainstalovali populární bezplatný nástroj pro vyhledávání souborů, který jim pomáhal hledat zajímavé soubory v síti.
Tento nástroj po sobě zanechal logovací soubor, který prozrazuje, že zločinci aktivně lovili osobní a důvěrné údaje týkající se společnosti i jejích zaměstnanců.
Nevíme, kolik toho zločinci dokázali ze souborů, které lovili, získat, pokud vůbec něco, ale víme, o co se zajímali, což zahrnovalo:
- Bankovní výpisy týkající se fyzických osob a firmy.
- Smlouvy s obchodníky pro přijímání plateb kreditními kartami.
- Žádosti o vydání kreditní karty.
- Údaje o řidičích společnosti.
Pokud můžeme říci, zdá se, že prohledávání souborů bylo pro tyto zločince druhotným zájmem, byli však odhodlaní a vytrvalí ve svých pokusech o podvodné nákupy vůči co největšímu počtu uživatelů sítě.
Nicméně, ať už byl zájem druhotný nebo ne, podvodníkům nešlo pouze o dárkové karty.
Koneckonců i osobní a firemní údaje, které mají být soukromé, mají v podsvětí kyberzločinu svou hodnotu – nejen pro další prodej jiným zločincům, ale i jako prostředek napomáhající další trestné činnosti.
Rychlá reakce se vyplatí
Naštěstí se zdá, že tito podvodníci uvízli na začátku svého útoku.
Pravděpodobně frustrováni tím, že se nemohli dostat do e-mailových účtů tolika uživatelů, kolik chtěli, resetovali hesla na různých účtech souvisejících s firmou, aby rozšířili svůj přístup.
To mělo vedlejší účinek v podobě zablokování přístupu uživatelů, včetně jednoho ze sysadminů, k různým systémům společnosti…
…a sysadmin neodstranil pouze okamžitý problém, aby vyřešil co , ale také vyvolal reakci, aby zjistil proč.
Tato reakce velmi rychle vedla k vyhození podvodníků ze sítě.
Jak jsme řekli výše, každý tip je dobrý tip!
Co dělat?
Rychlost a odhodlání těchto podvodníků, kteří se spekulativně přihlašovali k jednomu e-mailovému účtu za druhým, je skvělou připomínkou toho, proč je důležitá obrana do hloubky.
Všechny tyto tipy by zde pomohly:
- Záplatujte včas, záplatujte často. Zranitelná síť VPN zmíněná v tomto článku pravděpodobně nebyla v tomto případě způsobem, jakým podvodníci získali přístup, ale i tak to byla možná cesta dovnitř. Proč být za podvodníky, když místo toho můžete být napřed?“
- Používejte 2FA všude, kde to jde. Druhý faktor ověření pro externí VPN i interní servery RDP mohl sám o sobě stačit k tomu, aby se tito podvodníci nedostali ven.
- Odhlašujte se z účtů, když je nepoužíváte. Ano, je nepříjemné se znovu přihlašovat k účtům pokaždé, když je potřebujete použít, ale v kombinaci s 2FA je pro podvodníky mnohem těžší vás zneužít, pokud získají přístup k vašemu prohlížeči.
- Příště si rozmyslete, pro které webové stránky povolíte uchovávat údaje o platebních kartách online. Společnosti, které uchovávají údaje o platební kartě pouze pro konkrétní nákupy, například pro zaplacení účtu za komunální služby, představují mnohem menší riziko než online služby, prostřednictvím kterých lze vaší kartou zaplatit téměř cokoli, zejména za zboží, které je „doručeno“ okamžitě e-mailem.
- Neblokujte malware pouze pomocí produktu na ochranu před hrozbami. Blokujte také potenciálně nechtěné aplikace (PUA) a hackerské nástroje. Kyberzločinci se stále častěji obracejí k legitimnímu softwaru pro kybernetickou bezpečnost a správu sítě, který již máte ve svém systému, místo aby používali malware – techniku, které se říká „žít ze země“ – v naději, že budou sami vypadat jako sysadmini. Přistihněte je při tom, pokud můžete.
- Mějte místo, kde mohou uživatelé hlásit problémy se zabezpečením. Pokud vám nečekaně zablokují vlastní účet, ujistěte se, že vaše reakce není jen „potřebuji se dostat zpět online“, ale také „potřebuji najít základní příčinu“. Snadno zapamatovatelná e-mailová adresa nebo firemní telefonní číslo pro hlášení kybernetické bezpečnosti vám pomůže udělat z celé firmy oči a uši pro bezpečnostní tým IT.
- Upozorněte uživatele na nejnovější trendy v oblasti phishingu. Zvažte školící produkt proti phishingu, například Sophos Phish Threat. Zatím si nemůžeme být jisti, ale vypadá to, že jediné podvržené heslo mohlo být tím, jak podvodníci začali s těmito útoky.
- Nenechte se strhnout specifickými hrozbami, jako je ransomware. Nástroje specifické pro ransomware jsou užitečné jako součást přístupu obrany do hloubky, ale samy o sobě by tento útok nezastavily. Komplexní přístup, který by tyto podvodníky zablokoval, by však velmi pravděpodobně zastavil i většinu útoků ransomwaru.
.