Kiitokset Bill Kearneylle Sophos Rapid Response -yksiköstä tämän artikkelin laatimisesta.
Jos olet lukenut viimeisimmän Sophosin vuoden 2021 uhkakuvaraportin, tiedät, että sisällysimme siihen tarkoituksella osion, jossa kerroimme kaikista haittaohjelmistoista, jotka eivät ole lunnasohjelmia.
Totta kai, lunnasohjelmat ovat ymmärrettävästi median otsikoissa näinä päivinä, mutta tietoverkkorikollisuus on paljon muutakin kuin lunnasohjelmahyökkäyksiä.
Kuten olemme todenneet aiemminkin, monet lunnasohjelmatapaukset johtuvat muista haittaohjelmista, jotka tunkeutuivat ensin verkkoosi ja toivat lunnasohjelmat sinne myöhemmin.
Tosiasiassa moniin verkkoon tunkeutumisiin ei liity haittaohjelmia lainkaan, koska verkkorikollisilla on paljon muitakin tapoja riistää rahaa käyttäjiltäsi, yritykseltäsi tai molemmilta.
Tässä on esimerkki, johon Sophos Rapid Response -tiimi törmäsi hiljattain – opportunistinen verkkomurto, joka ei ollut yhtä kehittynyt kuin tyypillinen lunnasohjelmisto- tai tietovarkaushyökkäys, mutta joka oli kuitenkin vaarallinen ja hämmentävä.
Yrityksen työntekijöiden kannalta vielä pahempaa oli se, että nämä huijarit eivät nimenomaan halunneet hyökätä koko yritystä vastaan, vaan he näyttivät hyökkäävän verkkoon vain siksi, että se oli kätevä tapa hakkeroida monia yksilöitä samaan aikaan.
Hyvin yksinkertaisesti sanottuna huijarit tavoittelivat mahdollisimman monia tilejä, joihin he pääsivät käsiksi ostaakseen mahdollisimman monta lahjakorttia mahdollisimman nopeasti.
Kuten varmaan tiedätkin, verkosta ostetut lahjakortit toimitetaan yleensä sähköpostitse valitsemallesi vastaanottajalle salaisen koodin ja rekisteröintilinkin muodossa.
Lahjakorttikoodin saaminen on siis vähän kuin saisi käsiinsä prepaid-luottokortin numeron, voimassaolopäivän ja turvakoodin – väljästi sanottuna se, jolla koodi on, voi käyttää sen.
Vaikka lahjakortit on tarkoitettu vain vastaanottajan käyttöön – niitä ei ole tarkoitus siirtää – ei ole paljon esteitä sille, että vastaanottaja antaa jonkun muun käyttää niitä halutessaan, ja se tarkoittaa, että niitä voidaan myydä tietoverkkorikollisuuden alaverkossa.
Ja vaikka 200 dollarin lahjakortti, jota myydään laittomasti verkossa vaikkapa puoleen nimellisarvostaan, ei kuulosta paljolta…
…huijarit, joilla on pääsy kokonaisen yrityksen käyttäjäkuntaan – tässä tarinassa yrityksen VPN tuki noin 200 ihmistä -, voivat yrittää hankkia lyhyen ajan sisällä ei vain yhden vaan mahdollisesti jopa satoja prepaid-lahjakortteja.
Rikolliset eivät tässä tapauksessa välittäneet siitä, olivatko taskuun jääneet uhrit yksittäisiä työntekijöitä, yritys itse vai molemmat.
Murskattiin ja torjuttiin
Hyvä uutinen tässä tapauksessa on se, että huijarit pääsivät käyttämään vain 800 dollaria toisten ihmisten rahoja, ennen kuin Rapid Response -tiimi pystyi potkimaan heidät ulos verkosta, ja tietojemme mukaan vilpilliset ostot havaittiin ja peruttiin ajoissa, joten kukaan ei jäänyt pulaan.
Kuten huijarit havaitaan, tärkein syy siihen, että huijarit saatiin ryminällä kiinni ja torjutuksi ajoissa, oli se, että asianomaisen yrityksen järjestelmänvalvoja toimi heti, kun hän huomasi, että jokin oli pielessä.
Jos katsoit viime viikon Naked Security Live -videon otsikolla ”Beat the Threat”, tiedät, että videon lopussa olleissa vinkeissämme sanoimme:
Jokainen vihje, jonka voit saada ja joka viittaa siihen, että verkossasi saattaa olla huijari, on vinkki, joka kannattaa huomioida. koska katsot jotakin, jota et voi oikein perustella, mutta jonka olet nähnyt aiemmin ja joka oli kunnossa edellisellä kerralla – älä oleta, että se on kunnossa tällä kertaa. Se on vähän sama kuin kuulisit savuhälyttimen laukeavan keittiössä ja ajattelisit: ”Tiedätkö mitä, viime kerralla se laukesi vahingossa vedenkeittimestä tulevan höyryn vaikutuksesta, joten oletan, että näin on nytkin käynyt. Tällä kertaa se voi olla jotain liesitasolla, joka on jo syttynyt tuleen.”
Kaikenkaikkiaan olemme ylpeitä siitä, että Sophosin Rapid Response -tiimi pystyi reagoimaan nopeasti ja käsittelemään hyökkäyksen, elintärkeää oli se, että uhri laukaisi asianmukaisen vastatoimen nopeasti alun perin.
Miten se tapahtui
Nämä roistot eivät ehtineet siivota jälkiään – tai ehkä heillä ei ollut aikomustakaan – mutta sikäli kuin voimme sanoa, hyökkäys eteni yksinkertaisesti ja nopeasti.
Emme voi olla varmoja siitä, miten roistot tarkalleen ottaen pääsivät sisään, mutta tiedämme seuraavaa:
- Uhrin VPN-palvelinta ei ollut korjattu useisiin kuukausiin. Pelkästään tämä olisi saattanut riittää, jotta huijarit olisivat päässeet sisään – vanhaan versioon oli olemassa hyväksikäyttö, jonka avulla huijarit olisivat teoriassa voineet hiipiä verkkoon.
- VPN-palvelinta ei ollut määritetty vaatimaan 2FA:ta. Tämä tarkoittaa sitä, että yksittäiseltä käyttäjältä onnistunut salasanan phishing olisi saattanut riittää antamaan heille rantautumispaikan. (Huolimatta korjaamattomasta haavoittuvuudesta epäilemme, että hyökkääjät murtautuivat tällä kertaa sisään tällä tavoin.)
- Kun he olivat ”sisällä” VPN:ssä, huijarit pystyivät käyttämään RDP:tä sisäisesti hyppäämällä tietokoneelta toiselle. Tämä tarkoitti sitä, että he pystyivät avaamaan verkkoselaimet käyttäjien tietokoneilla ja näkemään, mistä verkkotileistä he eivät olleet kirjautuneet ulos, mukaan lukien heidän henkilökohtaiset sähköpostitilinsä (esim. Gmail ja Outlook.com). Varmista, että suojaat RDP:n yhtä tukevasti verkon sisältä kuin ulkopuoleltakin.
- Huijarit käyttivät yksittäisiä sähköpostitilejä tehdäkseen lukuisia salasanojen nollauksia. Tietokoneissa, joissa huijarit pääsivät sähköpostitileille välimuistiin tallennettujen tunnusten ansiosta, mutta eivät päässeet muille mielenkiintoisille tileille, koska käyttäjä oli kirjautunut ulos niistä, he tekivät salasanojen nollauksia sähköpostitilin kautta. Huijareiden kohteena olleisiin tileihin kuuluivat Best Buy, Facebook, Google Pay, PayPal, Venmo ja Walmart.
Näyttää siltä, että vain harvat tällä tavoin hyökkäyksen kohteeksi joutuneista käyttäjistä olivat tallentaneet luottokorttitietonsa automaattista uudelleenkäyttöä varten ostoksia tehdessään, minkä vuoksi huijarit onnistuivat luultavasti tekemään lahjakorttiostoksia vain muutaman sadan dollarin arvosta ennen kuin heidät huomattiin.
Ilmeisesti lukuisat käyttäjät, jotka joutuivat palauttamaan muutetut salasanansa uudelleen päästäkseen takaisin tililleen, huomasivat, että lahjakortteja oli jonossa ostettavana heidän verkkokaupan ostoskorissaan, mutta huijarit eivät olleet pystyneet viimeistelemään näitä ostoksia.
(Emme voi sanoa, jättivätkö huijarit epäonnistuneet ostokset jälkeensä, koska he jäivät kiinni ennen kuin ehtivät siivota, koska he toivoivat, että ne jäisivät huomaamatta ja laillinen tilinomistaja ostaisi ne vahingossa myöhemmin, vai koska he keskittyivät nopeuteen eivätkä välittäneet siitä, mitä sen jälkeen tapahtui.)
Mutta on muutakin
Kuten monilla hyökkäyksillä, tälläkään hyökkäyksellä ei ollut vain yhtä ainoaa tarkoitusta, vaikka ”myytävän rahan” saaminen haltuunsa näyttäisikin olleen tässä ensisijainen motiivi.
Rikolliset latasivat ja asensivat myös suositun ilmaisen tiedostohakutyökalun, jonka avulla he etsivät mielenkiintoisia tiedostoja verkosta.
Työkalu jätti jälkeensä lokitiedoston, joka paljastaa, että rikolliset metsästivät aktiivisesti henkilökohtaisia ja luottamuksellisia tietoja, jotka liittyivät sekä yritykseen että sen henkilökuntaan.
Emme tiedä, kuinka paljon rikolliset pystyivät hankkimaan metsästämistään tiedostoista, jos mitään, mutta tiedämme, mistä he olivat kiinnostuneita, joita olivat muun muassa:
- Yksityishenkilöihin ja yritykseen liittyvät tiliotteet.
- Kauppiassopimukset luottokorttimaksujen hyväksymisestä.
- Luottokorttihakemukset.
- Yrityksen kuljettajien rekisteritiedot.
Sikäli kuin voimme sanoa, tiedostojen etsiminen näyttää olleen toissijainen kiinnostuksen kohde näille rikollisille, jotka olivat vaan päättäväisiä ja sinnikkäitä yrittäessään tehdä vilpillisiä ostoksia mahdollisimman monelle verkon käyttäjälle.
Toisesta toissijaisesta kiinnostuksen kohteesta tai ei, konnat eivät kuitenkaan olleet vain lahjakorttien perässä.
Loppujen lopuksi henkilökohtaisilla ja yritystiedoilla, joiden pitäisi olla yksityisiä, on myös arvoa tietoverkkorikollisuuden alamaailmassa – ei vain jälleenmyyntiä varten toisille rikollisille, vaan myös välineenä rikollisen toiminnan edistämiseksi.
Nopea reaktio kannattaa
Onneksi nämä roistot näyttävät jumiutuneen hyökkäyksensä alkuvaiheessa.
Turhautuneina siitä, etteivät he päässeet niin monen käyttäjän sähköpostitileille kuin olisivat halunneet, he nollasivat salasanoja useilla yritykseen liittyvillä tileillä laajentaakseen pääsyään.
Tällä oli sivuvaikutuksena se, että käyttäjät, mukaan lukien yksi järjestelmänvalvojista, suljettiin ulos yrityksen eri järjestelmistä…
…ja järjestelmänvalvoja ei korjannut vain välitöntä ongelmaa korjatakseen mitä , vaan käynnisti myös reaktion selvittääkseen miksi.
Tämä reaktio johti hyvin nopeasti siihen, että roistot potkittiin ulos verkosta.
Kuten edellä sanoimme, mikä tahansa vihje on hyvä vihje!
Mitä tehdä?
Nopeus ja päättäväisyys, jolla nämä huijarit kirjautuivat spekulatiivisesti sähköpostitilille toisensa jälkeen, on erinomainen muistutus siitä, miksi syvyyssuuntainen puolustus on tärkeää.
Kaikki nämä vinkit olisivat auttaneet tässä tilanteessa:
- Korjauta aikaisin, korjaa usein. Tässä artikkelissa mainittu haavoittuva VPN ei luultavasti ollut tässä tapauksessa se tapa, jolla huijarit pääsivät käsiksi, mutta se oli kuitenkin mahdollinen sisäänpääsyreitti. Miksi jäädä roistojen taakse, kun voisit sen sijaan olla edellä?
- Käytä 2FA:ta aina kun voit. Sekä ulkoisen VPN:n että sisäisten RDP-palvelimien toinen todennustekijä olisi saattanut yksinään riittää pitämään nämä huijarit poissa.
- Kirjaudu ulos tileiltä, kun et käytä niitä. Kyllä, on hankalaa kirjautua takaisin tileille joka kerta, kun sinun täytyy käyttää niitä, mutta yhdistettynä 2FA:han se tekee huijareille paljon vaikeammaksi käyttää sinua hyväkseen, jos he pääsevät käsiksi selaimeesi.
- Harkitse seuraavalla kerralla uudelleen, minkä verkkosivustojen annat säilyttää maksukorttitietoja verkossa. Yritykset, jotka säilyttävät maksukorttitietoja vain tiettyjä ostoksia, kuten sähkölaskun maksamista, ovat paljon pienempi riski kuin verkkopalvelut, joiden kautta kortillasi voi maksaa melkein mitä tahansa, etenkin tavaroita, jotka ”toimitetaan” heti sähköpostitse.
- Älä estä haittaohjelmia pelkästään uhkien torjuntatuotteellasi. Estä myös mahdollisesti ei-toivotut sovellukset (PUA) ja hakkerointityökalut. Verkkorikolliset turvautuvat yhä useammin laillisiin kyberturvallisuus- ja verkonhallintaohjelmistoihin, jotka sinulla jo on järjestelmässäsi, sen sijaan, että käyttäisivät haittaohjelmia – tekniikkaa, jota kutsutaan nimellä ”maasta eläminen” – siinä toivossa, että he voivat näyttää itse järjestelmävastaavilta. Ota heidät kiinni, jos pystyt.
- Järjestä käyttäjille paikka, jossa he voivat ilmoittaa tietoturvaongelmista. Jos sinut lukitaan yllättäen ulos omalta tililtäsi, varmista, että reaktiosi ei ole vain ”minun on päästävä takaisin verkkoon” vaan myös ”minun on löydettävä perimmäinen syy”. Helposti muistettava sähköpostiosoite tai yrityksen puhelinnumero kyberturvallisuusraportteja varten voi auttaa tekemään koko yrityksestä IT-turvaryhmän silmät ja korvat.
- Pidä käyttäjät valppaina viimeisimpien phishing-trendien suhteen. Harkitse phishingin vastaista koulutustuotetta, kuten Sophos Phish Threatia. Emme voi vielä olla varmoja, mutta näyttää siltä, että yksittäinen phishing-salasana saattoi olla se, miten huijarit pääsivät alkuun tässä hyökkäyksessä.
- Älä ajaudu sivuraiteille tiettyjen uhkien, kuten lunnasohjelmien, takia. Lunnasohjelmakohtaiset työkalut ovat hyödyllisiä osana syvyyssuuntaista puolustusta, mutta ne eivät olisi yksinään estäneet tätä hyökkäystä. Kokonaisvaltainen lähestymistapa, joka olisi estänyt nämä huijarit, olisi kuitenkin hyvin todennäköisesti pysäyttänyt myös suurimman osan kiristysohjelmahyökkäyksistä.