Podziękowania dla Billa Kearneya z Sophos Rapid Response za jego pracę nad tym artykułem.
Jeśli czytałeś ostatni Sophos 2021 Threat Report, będziesz wiedział, że celowo włączyliśmy sekcję o całym złośliwym oprogramowaniu, które nie jest ransomware.
Z pewnością, ransomware ze zrozumiałych względów zajmuje czołówki mediów w tych dniach, ale cyberprzestępczość wykracza daleko poza ataki ransomware.
I rzeczywiście, jak zauważyliśmy wcześniej, wiele incydentów ransomware dzieje się z powodu innego złośliwego oprogramowania, które przeniknęło do sieci najpierw i przyniosło ransomware później.
W rzeczywistości, wiele włamań do sieci nie wiąże się w ogóle ze złośliwym oprogramowaniem, ponieważ cyberprzestępcy mają mnóstwo innych sposobów na wyciągnięcie pieniędzy od użytkowników, firmy lub obu.
Oto przykład, na który natknął się ostatnio zespół Sophos Rapid Response – oportunistyczne włamanie do sieci, które było znacznie mniej wyrafinowane niż typowy atak typu ransomware lub kradzież danych, ale mimo to niebezpieczne i niepokojące.
Co gorsza dla pracowników firmy, ci oszuści nie byli specjalnie po stronie firmy jako całości, ale wydawali się atakować sieć po prostu dlatego, że stanowiła wygodny sposób na włamanie się do wielu osób w tym samym czasie.
Bardzo prosto mówiąc, oszustom chodziło o jak najwięcej kont, do których mogli uzyskać dostęp, aby kupić jak najwięcej kart podarunkowych tak szybko, jak to możliwe.
Jak zapewne wiesz, karty podarunkowe, które kupujesz online, są zazwyczaj dostarczane pocztą elektroniczną do wybranego przez ciebie odbiorcy jako tajny kod i link rejestracyjny.
Więc, otrzymanie kodu karty podarunkowej jest trochę jak zdobycie numeru, daty ważności i kodu bezpieczeństwa z przedpłaconej karty kredytowej – luźno mówiąc, ktokolwiek ma kod może go wydać.
Ale karty podarunkowe są przeznaczone do użycia tylko przez odbiorcę – nie powinny być zbywalne – nie ma zbyt wiele, aby powstrzymać odbiorcę przed pozwoleniem komuś innemu na ich użycie, jeśli się na to zdecyduje, a to oznacza, że mogą być sprzedawane w cyberprzestępczej sieci.
I dla wszystkich, że 200$ bon upominkowy, sprzedany nielegalnie online za, powiedzmy, połowę jego wartości nominalnej, nie brzmi jak dużo…
…oszuści z dostępem do całej firmy wartej użytkowników – w tej historii, VPN firmy obsługiwał około 200 osób – mogą próbować zdobyć nie tylko jedną, ale potencjalnie setki przedpłaconych kart upominkowych w krótkim czasie.
Przestępcy w tym przypadku nie zwracali uwagi na to, czy ofiarami, które zostały bez kieszeni, byli poszczególni pracownicy, sama firma, czy obie te grupy.
Rumbled and repelled
Dobrą wiadomością jest to, że oszuści posunęli się tylko do wydania 800 dolarów z pieniędzy innych osób, zanim zespół szybkiego reagowania był w stanie wyrzucić ich z sieci, a z tego co wiemy, oszukańcze zakupy zostały wykryte i odwrócone na czas, tak że nikt nie wyszedł z tego bez szwanku.
Jak zobaczycie, głównym powodem, dla którego oszuści zostali zdławieni i odepchnięci na wczesnym etapie, było to, że administrator systemu w dotkniętej firmie zadziałał tak szybko, jak tylko zauważył, że coś jest nie tak.
Jeśli oglądaliście zeszłotygodniowe wideo Naked Security Live, zatytułowane „Pokonaj zagrożenie”, wiecie, że w naszych wskazówkach na końcu wideo, powiedzieliśmy:
Każda wskazówka, którą możesz uzyskać, która sugeruje, że oszust może być w twojej sieci, jest wskazówką wartą uwagi. ponieważ patrzysz na coś, czego nie możesz do końca uzasadnić, ale co widziałeś wcześniej i było w porządku ostatnim razem – nie zakładaj, że jest w porządku tym razem. To trochę tak, jakbyś usłyszał, że twój alarm przeciwpożarowy wyłączył się w kuchni i pomyślał: „Wiesz co, ostatnim razem to para z czajnika uruchomiła go przez pomyłkę, więc po prostu założę, że to właśnie się dzieje”. Tym razem, może to być coś na kuchence, która już się zapaliła.
Dla wszystkich, że jesteśmy dumni, że zespół Sophos Rapid Response był w stanie szybko zareagować i poradzić sobie z atakiem, istotną częścią było to, że ofiara uruchomiła właściwą reakcję szybko w pierwszej kolejności.
Jak to się stało
Te oszustki nie miały czasu, aby posprzątać po sobie – a może nie miały zamiaru – ale o ile możemy powiedzieć, atak rozwinął się prosto i szybko.
Nie możemy być pewni, jak dokładnie oszuści dostali się na początek, ale wiemy, że:
- Serwer VPN ofiary nie był łatany od kilku miesięcy. Już samo to mogło wystarczyć, aby umożliwić włamanie – dla starej wersji istniał exploit, który teoretycznie mógł pozwolić przestępcom na wkradnięcie się do sieci.
- Serwer VPN nie był skonfigurowany tak, aby wymagał 2FA. Oznacza to, że skuteczne wyłudzenie hasła od jednego użytkownika mogło wystarczyć, aby zapewnić im przyczółek. (Pomimo niezałatanej luki, podejrzewamy, że właśnie w ten sposób napastnicy włamali się tym razem.)
- Po „wejściu” do VPN, oszuści byli w stanie wewnętrznie używać RDP do przeskakiwania z komputera na komputer. Oznaczało to, że mogli otwierać przeglądarki internetowe na komputerach użytkowników i sprawdzać, z których kont online nie są wylogowani, w tym z osobistych kont pocztowych (np. Gmail i Outlook.com). Upewnij się, że zabezpieczyłeś RDP tak samo solidnie od wewnątrz sieci, jak i od zewnątrz.
- Oszuści wykorzystali indywidualne konta e-mail do wykonania szeregu operacji resetowania haseł. Na komputerach, gdzie oszuści mogli uzyskać dostęp do kont pocztowych dzięki zbuforowanym danym uwierzytelniającym, ale nie mogli dostać się do innych interesujących kont, ponieważ użytkownik był z nich wylogowany, dokonywali resetu haseł poprzez konto pocztowe. Konta, na które udali się oszuści to Best Buy, Facebook, Google Pay, PayPal, Venmo i Walmart.
Na szczęście wydaje się, że tylko kilku z zaatakowanych w ten sposób użytkowników zapisało dane swoich kart kredytowych do automatycznego ponownego użycia podczas dokonywania zakupów, co prawdopodobnie jest powodem, dla którego oszuści zdołali dokonać jedynie kilkuset dolarów zakupów za pomocą kart podarunkowych, zanim zostali zauważeni.
Najwyraźniej liczni użytkownicy, którzy musieli ponownie ustawić swoje zmienione hasła, aby dostać się z powrotem na swoje konta, zauważyli, że karty podarunkowe czekały w kolejce na zakup w ich koszykach online, ale oszuści nie byli w stanie sfinalizować tych zakupów.
(Nie możemy powiedzieć, czy oszuści pozostawili nieudane zakupy, ponieważ zostali złapani zanim zdążyli posprzątać, ponieważ mieli nadzieję, że zostaną przeoczone i zakupione przez pomyłkę przez prawowitego właściciela konta później, czy też dlatego, że byli skupieni na szybkości i nie obchodziło ich, co stanie się później.)
Ale to nie wszystko
Jak w przypadku wielu ataków, ten nie miał tylko jednego celu, chociaż wydaje się, że zdobycie „pieniędzy na sprzedaż” było tutaj głównym motywatorem.
Oszuści pobrali i zainstalowali również popularne darmowe narzędzie do wyszukiwania plików, które pomogło im w poszukiwaniu interesujących plików w sieci.
Narzędzie to pozostawiło po sobie plik dziennika, który ujawnia, że przestępcy aktywnie polowali na osobiste i poufne dane dotyczące zarówno firmy, jak i jej pracowników.
Nie wiemy, ile przestępcy byli w stanie pozyskać z plików, na które polowali, jeśli w ogóle, ale wiemy, co ich interesowało, co obejmowało:
- Wyciągi bankowe dotyczące osób fizycznych i firmy.
- Umowy handlowe na przyjmowanie płatności kartami kredytowymi.
- Wnioski o wydanie kart kredytowych.
- Dane rejestrowe kierowców firmowych.
Na tyle, na ile możemy to stwierdzić, przeszukiwanie plików wydaje się być drugorzędnym interesem dla tych przestępców, którzy byli jednak zdeterminowani i wytrwali w swoich próbach dokonania oszukańczych zakupów wobec tak wielu użytkowników sieci, jak tylko mogli.
Niemniej jednak, drugorzędny interes czy nie, oszustom nie chodziło wyłącznie o karty upominkowe.
W końcu dane osobowe i firmowe, które mają być prywatne, mają również wartość w cyberprzestępczym podziemiu – nie tylko w celu odsprzedaży innym przestępcom, ale jako narzędzie pomagające w dalszej działalności przestępczej.
Szybka reakcja się opłaca
Na szczęście ci oszuści najwyraźniej utknęli na wczesnym etapie swojego ataku.
Prawdopodobnie sfrustrowani, ponieważ nie mogli dostać się do kont e-mail tak wielu użytkowników, jak chcieli, zresetowali hasła na różnych kontach związanych z firmą, aby rozszerzyć swój dostęp.
Skutkiem ubocznym było zablokowanie użytkownikom, w tym jednemu z administratorów, dostępu do różnych systemów firmy…
…a administrator nie tylko usunął natychmiastowy problem, aby naprawić co, ale także wywołał reakcję, aby dowiedzieć się dlaczego.
Reakcja ta bardzo szybko doprowadziła do wyrzucenia oszustów z sieci.
Jak powiedzieliśmy powyżej, każdy cynk jest dobrym cynkiem!
Co robić?
Szybkość i determinacja tych oszustów, spekulacyjnie logujących się na konto e-mail po koncie e-mail, jest doskonałym przypomnieniem, dlaczego obrona w głębi jest ważna.
Wszystkie te wskazówki pomogłyby tutaj:
- Łataj wcześnie, łataj często. Wspomniana w tym artykule podatna na ataki sieć VPN prawdopodobnie nie była sposobem, w jaki oszuści uzyskali dostęp w tym przypadku, ale i tak była to możliwa ścieżka wewnętrzna. Why be behind the crooks when you could be ahead instead?
- Use 2FA wherever you can. Drugi czynnik uwierzytelniania zarówno dla zewnętrznego VPN, jak i wewnętrznych serwerów RDP mógł sam w sobie wystarczyć, aby utrzymać tych oszustów z dala.
- Wyloguj się z kont, gdy ich nie używasz. Tak, ponowne logowanie się do kont za każdym razem, gdy musisz z nich skorzystać, jest kłopotliwe, ale w połączeniu z 2FA znacznie utrudnia oszustom wykorzystanie cię, jeśli uzyskają dostęp do twojej przeglądarki.
- Następnym razem przemyśl, którym witrynom pozwalasz przechowywać dane kart płatniczych online. Firmy, które przechowują dane karty płatniczej tylko w celu dokonania określonych zakupów, takich jak zapłacenie rachunku za media, stanowią znacznie mniejsze ryzyko niż serwisy internetowe, w których karta może zostać użyta do zapłacenia za niemal wszystko, zwłaszcza za przedmioty, które są „dostarczane” natychmiast pocztą elektroniczną.
- Nie blokuj samego złośliwego oprogramowania za pomocą produktu chroniącego przed zagrożeniami. Blokuj również potencjalnie niechciane aplikacje (PUA) i narzędzia hakerskie. Cyberprzestępcy coraz częściej sięgają po legalne oprogramowanie do ochrony cybernetycznej i zarządzania siecią, które już masz w swoim systemie, zamiast używać złośliwego oprogramowania – technika ta jest nazywana „życiem z ziemi” – w nadziei, że sami będą wyglądać jak administratorzy. Wyłapuj ich, jeśli możesz.
- Miej miejsce, gdzie użytkownicy mogą zgłaszać problemy z bezpieczeństwem. Jeśli niespodziewanie zostaniesz zablokowany z własnego konta, upewnij się, że Twoja reakcja nie będzie po prostu „Muszę wrócić do sieci”, ale także „Muszę znaleźć przyczynę”. Łatwy do zapamiętania adres e-mail lub firmowy numer telefonu do raportów dotyczących cyberbezpieczeństwa może pomóc Ci uczynić z całej firmy oczy i uszy dla zespołu bezpieczeństwa IT.
- Dbaj o to, aby Twoi użytkownicy byli wyczuleni na najnowsze trendy w phishingu. Rozważ produkt szkoleniowy anti-phish, taki jak Sophos Phish Threat. Nie możemy być jeszcze pewni, ale wygląda na to, że jedno wyłudzone hasło mogło być sposobem, w jaki oszuści rozpoczęli ten atak.
- Nie daj się zepchnąć na boczny tor przez konkretne zagrożenia, takie jak ransomware. Narzędzia do walki z oprogramowaniem ransomware są przydatne jako część podejścia „defence in depth”, ale same w sobie nie powstrzymałyby tego ataku. Jednak holistyczne podejście, które zablokowałoby tych oszustów, z dużym prawdopodobieństwem powstrzymałoby również większość ataków ransomware.