Mulțumim lui Bill Kearney de la Sophos Rapid Response pentru munca depusă la acest articol.
Dacă ați citit recentul Raport Sophos 2021 privind amenințările, veți ști că am inclus în mod deliberat o secțiune despre toate programele malware care nu sunt ransomware.
Sigur, ransomware-ul acaparează, în mod de înțeles, titlurile din mass-media în aceste zile, dar criminalitatea cibernetică merge mult dincolo de atacurile de ransomware.
De fapt, așa cum am remarcat înainte, multe incidente de ransomware se întâmplă din cauza altor programe malware care s-au infiltrat mai întâi în rețeaua dvs. și au adus ransomware-ul ulterior.
De fapt, multe intruziuni în rețea nu implică deloc malware, deoarece infractorii cibernetici au o mulțime de alte modalități de a scoate bani de la utilizatorii dvs., de la compania dvs. sau de la ambele.
Iată un exemplu pe care echipa Sophos Rapid Response l-a întâlnit recent – o intruziune oportunistă în rețea care a fost mult mai puțin sofisticată decât un atac tipic de ransomware sau de furt de date, dar totuși periculoasă și deconcertantă.
Chiar și mai rău pentru angajații afacerii, acești infractori nu urmăreau în mod special compania ca întreg, ci păreau să atace rețeaua pur și simplu pentru că reprezenta o modalitate convenabilă de a ataca o mulțime de indivizi în același timp.
Mai simplu spus, escrocii urmăreau cât mai multe conturi pe care le puteau accesa pentru a cumpăra cât mai multe carduri cadou cât mai repede posibil.
După cum probabil știți, cardurile cadou pe care le cumpărați online sunt de obicei livrate prin e-mail către un destinatar ales de dvs. sub forma unui cod secret și a unui link de înregistrare.
Așadar, primirea unui cod de card cadou este un pic ca și cum ai intra în posesia numărului, a datei de expirare și a codului de securitate de pe un card de credit preplătit – în linii mari, oricine are codul îl poate cheltui.
Deși cardurile cadou sunt destinate a fi folosite doar de către destinatarul vizat – nu ar trebui să fie transferabile – nu există prea multe care să împiedice destinatarul să permită altcuiva să le folosească dacă dorește, ceea ce înseamnă că acestea pot fi vândute pe rețeaua subterană a criminalității informatice.
…
Și, cu toate că un voucher cadou de 200 de dolari, vândut ilegal online pentru, să zicem, jumătate din valoarea sa nominală, nu pare mare lucru…
…escrocii care au acces la utilizatorii unei întregi companii – în această poveste, VPN-ul companiei susținea aproximativ 200 de persoane – pot încerca să achiziționeze nu doar unul, ci potențial sute de carduri cadou preplătite în scurt timp.
Criminalilor din acest caz nu le-a păsat dacă victimele lăsate fără buzunar au fost angajații individuali, compania însăși sau ambele.
Încurcate și respinse
Veștile bune în acest caz sunt că escrocii au ajuns să cheltuiască doar 800 de dolari din banii altora înainte ca echipa de intervenție rapidă să reușească să-i scoată din rețea și, din câte știm, achizițiile frauduloase au fost detectate și anulate la timp, astfel încât nimeni nu a rămas fără bani.
După cum veți vedea, principalul motiv pentru care escrocii au fost zdruncinați și respinși din timp a fost faptul că un administrator de sistem de la compania afectată a acționat imediat ce și-a dat seama că ceva nu este în regulă.
Dacă ați urmărit videoclipul Naked Security Live de săptămâna trecută, intitulat „Beat the Threat” (învingeți amenințarea), veți ști că, în sfaturile noastre de la sfârșitul videoclipului, am spus:
Chiar orice indiciu pe care îl puteți primi și care sugerează că un escroc ar putea fi în rețeaua dvs. este un sfat care merită analizat. pentru că vă uitați la ceva ce nu puteți justifica, dar pe care l-ați mai văzut înainte și a fost în regulă data trecută – nu presupuneți că este în regulă și de data aceasta. Este ca și cum ai auzi alarma de fum declanșându-se în bucătărie și te-ai gândi: „Știi ce, data trecută a fost aburul de la ceainic care a declanșat-o din greșeală, așa că voi presupune că asta se întâmplă. De data aceasta, ar putea fi ceva de pe aragaz care a luat deja foc.
Pentru tot ceea ce suntem mândri că echipa Sophos Rapid Response a fost capabilă să reacționeze rapid și să se ocupe de atac, partea vitală a fost că victima a declanșat rapid un răspuns adecvat în primul rând.
Cum s-a întâmplat
Acești escroci nu au avut timp să facă curățenie după ei înșiși – sau poate că oricum nu intenționau să o facă – dar, din câte ne putem da seama, atacul s-a desfășurat simplu și rapid.
Nu putem fi siguri cu exactitate cum au intrat escrocii pentru început, dar ceea ce știm este:
- Serverul VPN al victimei nu mai fusese corectat de câteva luni. Doar acest lucru ar fi putut fi suficient pentru a le permite infractorilor să pătrundă – exista un exploit pentru versiunea veche care ar fi putut, teoretic, să le permită infractorilor să se strecoare în rețea.
- Serverul VPN nu fusese configurat pentru a necesita 2FA. Acest lucru înseamnă că o parolă reușită obținută prin phishing de la un singur utilizator ar fi putut fi suficientă pentru a le oferi capul de pod. (În ciuda vulnerabilității neparametrizate, bănuim că acesta este modul în care atacatorii au pătruns de data aceasta.)
- Odată „intrați” în VPN, escrocii au putut folosi RDP intern pentru a sări de la un computer la altul. Acest lucru a însemnat că puteau să deschidă browsere web pe computerele utilizatorilor și să vadă din ce conturi online nu s-au deconectat, inclusiv conturile personale de e-mail (de exemplu, Gmail și Outlook.com). Asigurați-vă că securizați RDP la fel de solid atât din interiorul rețelei, cât și din exterior.
- Escrocii au folosit conturi de e-mail individuale pentru a face o serie de resetări de parole. Pe computerele în care escrocii puteau accesa conturile de e-mail datorită acreditărilor memorate în cache, dar nu puteau intra în alte conturi interesante deoarece utilizatorul era deconectat de la acestea, au făcut resetarea parolelor prin intermediul contului de e-mail. Printre conturile pe care escrocii le-au accesat se numără Best Buy, Facebook, Google Pay, PayPal, Venmo și Walmart.
Din păcate, se pare că doar câțiva dintre utilizatorii atacați în acest fel își salvaseră detaliile cardului de credit pentru reutilizarea automată atunci când făceau cumpărături, acesta fiind probabil motivul pentru care escrocii au reușit să achiziționeze doar câteva sute de dolari din carduri cadou înainte de a fi descoperiți.
Se pare că numeroși utilizatori care trebuiau să își reseteze parolele modificate pentru a intra din nou în conturile lor au observat că în coșurile lor de cumpărături online erau carduri cadou la coadă pentru cumpărare, dar că escrocii nu reușiseră să finalizeze aceste achiziții.
(Nu putem spune dacă escrocii au lăsat cumpărăturile nereușite în urmă pentru că au fost prinși înainte de a putea face curățenie, pentru că au sperat că vor fi trecute cu vederea și cumpărate din greșeală de către deținătorul legitim al contului mai târziu sau pentru că erau concentrați pe viteză și nu le-a păsat ce se va întâmpla ulterior.)
Dar mai e și altceva
Ca și în cazul multor atacuri, acesta nu a avut doar un singur scop, deși punerea mâna pe „bani de vânzare” pare să fi fost motivația principală în acest caz.
Contrabandiștii au descărcat și instalat, de asemenea, un popular instrument gratuit de căutare a fișierelor pentru a-i ajuta să caute fișiere interesante în rețea.
Acest instrument a lăsat în urmă un fișier jurnal care dezvăluie faptul că infractorii vânau în mod activ date personale și confidențiale referitoare atât la companie, cât și la personalul acesteia.
Nu știm cât de mult au reușit infractorii să obțină din fișierele pe care le vânau, dacă au obținut ceva, dar știm de ce erau interesați, care includea:
- Extrase de cont bancar referitoare la persoane și la companie.
- Acorduri comerciale pentru acceptarea plăților cu carduri de credit.
- Cereri de carduri de credit.
- Detalii de înregistrare pentru șoferii companiei.
Din câte ne putem da seama, căutarea de fișiere pare să fi fost un interes secundar pentru acești infractori, care erau însă hotărâți și perseverenți în încercările lor de a face achiziții frauduloase împotriva cât mai multor utilizatori ai rețelei.
Cu toate acestea, interes secundar sau nu, escrocii nu urmăreau doar cardurile cadou.
La urma urmei, datele personale și corporative care ar trebui să fie private au, de asemenea, valoare în subteranul criminalității cibernetice – nu doar pentru a fi revândute altor infractori, ci și ca un vehicul pentru a ajuta la continuarea activității infracționale.
Reacția rapidă dă roade
Din păcate, acești escroci par să se fi împotmolit încă de la începutul atacului lor.
Probabil frustrați pentru că nu au putut intra în atâtea conturi de e-mail ale utilizatorilor pe cât își doreau, au resetat parolele de la diverse conturi legate de companie pentru a-și extinde accesul.
Aceasta a avut ca efect secundar blocarea utilizatorilor, inclusiv a unuia dintre administratorii de sistem, în afara diverselor sisteme ale companiei…
…iar administratorul de sistem nu a remediat doar problema imediată pentru a remedia ce , ci a declanșat și o reacție pentru a afla de ce.
Această reacție a dus foarte repede la alungarea infractorilor din rețea.
Așa cum am spus mai sus, orice pont este un pont bun!
Ce e de făcut?
Rapiditatea și determinarea acestor escroci, care s-au logat speculativ în cont de e-mail după cont de e-mail, este un excelent memento pentru a ne reaminti de ce este importantă apărarea în profunzime.
Toate aceste sfaturi ar fi ajutat aici:
- Patch devreme, patch-uri des. VPN-ul vulnerabil menționat în acest articol probabil că nu a fost modalitatea prin care escrocii au obținut accesul în acest caz, dar a fost oricum o posibilă cale de intrare. De ce să fiți în urma infractorilor când ați putea fi în față în schimb?
- Utilizați 2FA ori de câte ori puteți. Un al doilea factor de autentificare atât pentru VPN-ul extern, cât și pentru serverele RDP interne ar fi putut fi suficient de unul singur pentru a-i ține departe pe acești escroci.
- Deconectați-vă de la conturi atunci când nu le folosiți. Da, este o bătaie de cap să vă conectați din nou la conturi de fiecare dată când trebuie să le folosiți, dar, combinat cu 2FA, face mult mai greu pentru escroci să profite de dumneavoastră dacă au acces la browserul dumneavoastră.
- Regândiți-vă la ce site-uri web permiteți păstrarea online a datelor cardurilor de plată data viitoare. Companiile care păstrează datele cardului de plată doar pentru achiziții specifice, cum ar fi plata unei facturi de utilități, reprezintă un risc mult mai mic decât serviciile online prin intermediul cărora cardul dvs. poate fi folosit pentru a plăti aproape orice, în special pentru articole care sunt „livrate” imediat prin e-mail.
- Nu blocați malware-ul doar cu produsul dvs. de protecție împotriva amenințărilor. Blocați și aplicațiile cu potențial nedorit (PUA) și instrumentele de hacking. Infractorii cibernetici apelează din ce în ce mai mult la software legitim de securitate cibernetică și de gestionare a rețelelor pe care îl aveți deja în sistem, în loc să folosească programe malware – o tehnică care se numește „a trăi pe uscat” – în speranța de a părea ei înșiși sysadmins. Prindeți-i dacă puteți.
- Aveți un loc unde utilizatorii să raporteze problemele de securitate. Dacă sunteți blocat în mod neașteptat din propriul cont, asigurați-vă că reacția dvs. nu este pur și simplu „trebuie să mă conectez din nou”, ci și „trebuie să găsesc cauza de bază”. O adresă de e-mail ușor de reținut sau un număr de telefon al companiei pentru rapoartele de securitate cibernetică vă poate ajuta să transformați întreaga companie în ochi și urechi pentru echipa de securitate IT.
- Țineți-vă utilizatorii atenți la cele mai recente tendințe de phishing. Luați în considerare un produs de instruire antiphish, cum ar fi Sophos Phish Threat. Nu putem fi încă siguri, dar se pare că o singură parolă phishing ar fi putut fi modul în care escrocii au început aceste atacuri.
- Nu vă lăsați distras de amenințări specifice, cum ar fi ransomware. Instrumentele specifice ransomware sunt utile ca parte a unei abordări de apărare în profunzime, dar nu ar fi oprit acest atac pe cont propriu. Cu toate acestea, o abordare holistică care ar fi blocat acești escroci ar fi oprit foarte probabil și majoritatea atacurilor ransomware.