Köszönjük Bill Kearney-nek a Sophos Rapid Response-tól a cikken végzett munkáját.
Ha olvastad a legutóbbi Sophos 2021-es fenyegetésjelentést, akkor tudod, hogy szándékosan írtunk egy részt az összes olyan malware-ről, ami nem zsarolóprogram.
A zsarolóprogramok érthető módon manapság a média címlapjait uralják, de a kiberbűnözés messze túlmutat a zsarolóprogram-támadásokon.
Mint azt már korábban is megjegyeztük, sok zsarolóprogramos incidens más kártevők miatt következik be, amelyek először beszivárogtak a hálózatba, majd később behozták a zsarolóprogramot.
Sőt, sok hálózati behatolás egyáltalán nem jár rosszindulatú szoftverrel, mert a kiberbűnözőknek rengeteg más módjuk van arra, hogy pénzt szedjenek ki a felhasználóiból, a vállalatából vagy mindkettőből.
Íme egy példa, amellyel a Sophos Rapid Response csapata nemrég találkozott – egy opportunista hálózati behatolás, amely sokkal kevésbé volt kifinomult, mint egy tipikus zsarolóprogram vagy adatlopási támadás, de ennek ellenére veszélyes és nyugtalanító volt.
Még rosszabb a vállalkozás alkalmazottai számára, hogy ezek a csalók nem kifejezetten a vállalat egészét akarták megtámadni, hanem úgy tűnt, hogy egyszerűen azért támadták a hálózatot, mert ez egy kényelmes módja annak, hogy egyszerre sok embert megtámadjanak.
Nagyon leegyszerűsítve, a csalók annyi fiókra voltak kíváncsiak, ahányhoz csak hozzáférhettek, hogy minél több ajándékkártyát vásárolhassanak a lehető leggyorsabban.
Amint azt valószínűleg Ön is tudja, az online vásárolt ajándékkártyákat általában e-mailben küldik el egy Ön által kiválasztott címzettnek egy titkos kód és egy regisztrációs link formájában.
Az ajándékkártya kódjának kézhezvétele tehát kicsit olyan, mintha egy előre fizetett hitelkártya számát, lejárati dátumát és biztonsági kódját kapnánk meg – lazán szólva, aki a kód birtokában van, az költheti el.
Bár az ajándékkártyákat csak a címzett használhatja fel – nem szabad átruházni őket -, nem sok akadálya van annak, hogy a címzett másnak is megengedje, hogy használja őket, ha úgy dönt, és ez azt jelenti, hogy eladhatók a kiberbűnözés alvilágában.
És bár egy 200 dolláros ajándékutalvány, amelyet illegálisan, mondjuk a névérték feléért adnak el az interneten, nem hangzik soknak…
…a csalók, akik hozzáférnek egy egész vállalat felhasználóihoz – ebben a történetben a vállalat VPN-je körülbelül 200 embert támogatott -, rövid időn belül nem csak egy, hanem akár több száz előre fizetett ajándékkártyát is megpróbálhatnak megszerezni.
A bűnözőket ebben az esetben nem érdekelte, hogy a zsebükből kimaradt áldozatok az egyes alkalmazottak, maga a vállalat vagy mindkettő.
Megzavarták és visszaverték
A jó hír itt az, hogy a csalók csak addig jutottak, hogy 800 dollárt költöttek el mások pénzéből, mielőtt a Rapid Response csapat ki tudta őket dobni a hálózatból, és amennyire tudjuk, a csalárd vásárlásokat időben felfedezték és visszafordították, így senki sem került zsebbe.
Amint látni fogja, a fő oka annak, hogy a csalókat idejekorán lefülelték és visszaverték, az volt, hogy az érintett vállalat rendszergazdája azonnal cselekedett, amint észrevette, hogy valami nincs rendben.
Ha láttad a múlt heti Naked Security Live videót “Győzd le a fenyegetést” címmel, akkor tudod, hogy a videó végén lévő tippjeinkben azt mondtuk:
Minden olyan tippet érdemes megnézni, ami arra utal, hogy egy csaló lehet a hálózatodban. mivel olyasmit látsz, amit nem tudsz teljesen igazolni, de amit már láttál korábban, és legutóbb rendben volt – ne feltételezd, hogy ezúttal is rendben van. Ez egy kicsit olyan, mintha hallanád a füstjelzőt a konyhában, és azt gondolnád: “Tudod mit, legutóbb a vízforralóból származó gőz volt az, ami tévedésből működésbe hozta, szóval csak feltételezem, hogy ez történik . Ezúttal lehet, hogy valami a tűzhelyen van, ami már kigyulladt.”
Noha büszkék vagyunk arra, hogy a Sophos gyorsreagálású csapata gyorsan tudott reagálni és kezelni a támadást, a legfontosabb az volt, hogy az áldozat először is gyorsan kiváltotta a megfelelő választ.
Hogyan történt
Ezeknek a csalóknak nem volt idejük eltakarítani maguk után – vagy talán amúgy sem állt szándékukban -, de amennyire meg tudjuk állapítani, a támadás egyszerűen és gyorsan zajlott le.
Nem tudhatjuk pontosan, hogyan jutottak be a csalók, de azt tudjuk, hogy:
- Az áldozat VPN-kiszolgálóját több hónapja nem javították. Ez önmagában elég lehetett ahhoz, hogy a csalók betörhessenek – a régi verzióhoz létezett egy exploit, amely elméletileg lehetővé tette volna a csalók számára, hogy beosonjanak a hálózatba.
- A VPN-kiszolgálót nem úgy állították be, hogy 2FA-t igényeljen. Ez azt jelenti, hogy egy sikeres, egyetlen felhasználótól hamisított jelszó is elég lehetett volna ahhoz, hogy megszerezzék a támaszpontot. (A javítatlan sebezhetőség ellenére gyanítjuk, hogy a támadók ezúttal így törtek be.)
- Miután “bejutottak” a VPN-be, a bűnözők belső RDP-vel tudtak számítógépről számítógépre ugrálni. Ez azt jelentette, hogy meg tudták nyitni a webböngészőket a felhasználók számítógépein, és meg tudták nézni, hogy mely online fiókokból nem jelentkeztek ki, beleértve a személyes e-mail fiókjaikat (pl. Gmail és Outlook.com). Győződjön meg róla, hogy az RDP-t a hálózaton belülről ugyanolyan stabilan biztosítja, mint kívülről.
- A csalók egyéni e-mail fiókokat használtak jelszó-visszaállítások egész sorához. Azokon a számítógépeken, ahol a csalók a gyorsítótárazott hitelesítő adatok miatt hozzáférhettek az e-mail fiókokhoz, de más érdekes fiókokhoz nem tudtak hozzáférni, mert a felhasználó ki volt jelentkezve azokból, jelszó-visszaállításokat végeztek az e-mail fiókon keresztül. A csalók többek között a Best Buy, a Facebook, a Google Pay, a PayPal, a Venmo és a Walmart fiókjait vették célba.
Szerencsére úgy tűnik, hogy az így megtámadott felhasználók közül csak néhányan mentették el a hitelkártyaadataikat, hogy vásárláskor automatikusan újra felhasználhassák azokat, ezért a csalók valószínűleg csak néhány száz dollár értékű ajándékkártyás vásárlást tudtak lebuktatni.
Vélhetően számos felhasználó, akinek újra be kellett állítania módosított jelszavát, hogy újra hozzáférhessen a fiókjához, észrevette, hogy az online bevásárlókosarakban sorban állnak a vásárlásra váró ajándékkártyák, de a csalók nem tudták befejezni ezeket a vásárlásokat.
(Nem tudjuk megmondani, hogy a csalók azért hagyták-e hátra a sikertelen vásárlásokat, mert elkapták őket, mielőtt eltakaríthattak volna, mert abban reménykedtek, hogy a jogos számlatulajdonos később véletlenül elnézi és megvásárolja őket, vagy mert a gyorsaságra koncentráltak, és nem érdekelte őket, mi történik utána.)
De van még más is
Mint sok más támadásnak, ennek sem csak egyetlen célja volt, bár úgy tűnik, itt is az “eladó pénz” megszerzése volt az elsődleges motiváció.
A bűnözők egy népszerű ingyenes fájlkereső eszközt is letöltöttek és telepítettek, hogy segítsen nekik érdekes fájlok után kutatni a hálózatban.
Ez az eszköz olyan naplófájlt hagyott hátra, amelyből kiderül, hogy a bűnözők aktívan vadásztak a vállalatra és annak alkalmazottaira vonatkozó személyes és bizalmas adatokra.
Nem tudjuk, hogy a bűnözők mennyit tudtak megszerezni az általuk vadászott fájlokból, ha tudtak egyáltalán valamit, de azt tudjuk, hogy mi érdekelte őket, ami a következőket tartalmazta:
- A magánszemélyekre és a vállalatra vonatkozó bankszámlakivonatok.
- A hitelkártyás fizetések elfogadására vonatkozó kereskedői szerződések.
- Hitelkártyaigénylések.
- A cég sofőrjeinek nyilvántartási adatai.
Amennyire meg tudjuk állapítani, úgy tűnik, a fájlkeresés csak másodlagos érdeklődés volt a bűnözők számára, akik azonban eltökélten és kitartóan próbáltak csalárd vásárlásokat végrehajtani a hálózat minél több felhasználója ellen.
Mindazonáltal, másodlagos érdeklődés ide vagy oda, a csalók nem csak az ajándékkártyákra voltak kíváncsiak.
végtére is, a magánjellegűnek hitt személyes és vállalati adatok is értéket képviselnek a kiberbűnözés alvilágában – nemcsak azért, hogy más bűnözőknek továbbértékesítsék őket, hanem azért is, hogy további bűncselekményeket segítsenek.
A gyors reakció kifizetődő
Szerencsére úgy tűnik, hogy ezek a bűnözők már a támadás korai szakaszában elakadtak.
Vélhetően azért frusztráltak, mert nem tudtak annyi felhasználó e-mail fiókjába bejutni, amennyit szerettek volna, ezért a hozzáférésük kiterjesztése érdekében visszaállították a jelszavakat különböző, a vállalathoz kapcsolódó fiókokon.
Ez azzal a mellékhatással járt, hogy a felhasználókat, köztük az egyik rendszergazdát is, kizárták a cég különböző rendszereiből…
…és a rendszergazda nem csak a közvetlen problémát orvosolta, hogy kijavítsa a mit , hanem reakciót váltott ki a miértek kiderítésére.
Ez a reakció nagyon gyorsan ahhoz vezetett, hogy a csalókat kirúgták a hálózatból.
Mint fentebb mondtuk, minden tipp jó tipp!
Mi a teendő?
A csalók gyorsasága és elszántsága, ahogy spekulatív módon e-mail fiókról e-mail fiókra jelentkeztek be, kiválóan emlékeztet arra, hogy miért fontos a mélyreható védelem.
Az alábbi tippek mindegyike segíthetett volna:
- Foltozz korán, foltozz gyakran. A cikkben említett sebezhető VPN valószínűleg nem a csalók hozzáférésének módja volt ebben az esetben, de mindenképpen egy lehetséges befelé vezető út volt. Miért maradjon le a csalók mögött, ha ehelyett megelőzheti őket?
- Használjon 2FA-t, ahol csak tud. Egy második faktoros hitelesítés mind a külső VPN, mind a belső RDP-kiszolgálók esetében önmagában is elegendő lehetett volna ahhoz, hogy távol tartsa ezeket a csalókat.
- Jelentkezzen ki a fiókokból, amikor nem használja őket. Igen, macerás minden alkalommal újra bejelentkezni a fiókokba, amikor használni kell őket, de a 2FA-val kombinálva sokkal nehezebbé teszi a csalók számára, hogy kihasználják Önt, ha hozzáférést kapnak a böngészőjéhez.
- Legközelebb gondolja át, mely weboldalaknak engedi meg, hogy online tartsák a fizetési kártya adatait. Azok a cégek, amelyek csak konkrét vásárlásokhoz, például egy közüzemi számla kifizetéséhez tartják meg a fizetési kártya adatait, sokkal kisebb kockázatot jelentenek, mint az olyan online szolgáltatások, amelyeken keresztül a kártyájával szinte bármiért fizethet, különösen az olyan termékek esetében, amelyeket azonnal “kézbesítenek” e-mailben.
- Ne blokkolja a rosszindulatú szoftvereket egyedül a fenyegetésvédelmi termékével. Blokkolja a potenciálisan nem kívánt alkalmazásokat (PUA-k) és a hackereszközöket is. A kiberbűnözők egyre inkább a jogos kiberbiztonsági és hálózatkezelési szoftverek felé fordulnak, amelyekkel már rendelkezik a rendszerében, ahelyett, hogy rosszindulatú szoftvereket használnának – ezt a technikát “földből élésnek” nevezik -, abban a reményben, hogy maguk is rendszergazdának tűnjenek. Kapja el őket, ha tudja.
- Legyen olyan hely, ahol a felhasználók jelenthetik a biztonsági problémákat. Ha váratlanul kizárnak a saját fiókodból, győződj meg róla, hogy a reakciód nem egyszerűen az, hogy “vissza kell jutnom a netre”, hanem az is, hogy “meg kell találnom a kiváltó okot”. Egy könnyen megjegyezhető e-mail cím vagy vállalati telefonszám a kiberbiztonsági bejelentésekhez segíthet abban, hogy az egész vállalat az IT-biztonsági csapat szemévé és fülévé váljon.
- Tartsa éberen felhasználóit az adathalászat legújabb trendjeivel kapcsolatban. Vegyen fontolóra egy olyan adathalászat elleni képzési terméket, mint például a Sophos Phish Threat. Még nem lehetünk biztosak benne, de úgy tűnik, hogy a csalók egyetlen hamisított jelszóval indíthatták el ezt a támadást.
- Ne térjen el olyan konkrét fenyegetések elől, mint a zsarolóprogramok. A ransomware-specifikus eszközök hasznosak a mélységi védelem részeként, de önmagukban nem tudták volna megállítani ezt a támadást. Egy holisztikus megközelítés azonban, amely blokkolta volna ezeket a csalókat, nagy valószínűséggel a zsarolóvírus-támadások többségét is megállította volna.