Hackerii au pus bazele acum câteva luni pentru atacuri. Acum răsucesc întrerupătorul.
Noua pandemie de coronavirus a extins sistemele de îngrijire a sănătății la nivel mondial, creând o criză globală. Noile cercetări realizate de Microsoft arată că atacatorii ransomware-ului înrăutățesc în mod activ acea criză, forțând organizațiile de asistență medicală și infrastructura critică să plătească atunci când își permit cel mai puțin timpul de întrerupere. În multe cazuri, hackerii își câștigă recompensele pe care le-au depus luni în urmă, înainte ca Covid-19 să ajungă pe deplin.
Hackerii știu de ani buni că spitalele și alți furnizori de îngrijiri medicale își propun ținte perfecte pentru atacurile de ransomware, deoarece există urgență de viață sau de moarte pentru a se face înapoi și a funcționa rapid. Cu toate acestea, în timpul pandemiei, riscul a devenit și mai grav. După ce un spital din Republica Cehă a fost lovit de un atac de ransomware debilitant în martie, agenția de supraveghere a cibersecurității din țară a avertizat în urmă cu două săptămâni că acționează pentru atacuri cibernetice răspândite împotriva serviciilor critice din țară. Două spitale cehe au raportat tentative de atac la o zi mai târziu, iar Departamentul de Stat al SUA a amenințat consecințele dacă antagonismul continuă.
Incidentele din Cehia reflectă doar un colț al unei tendințe globale îngrijorătoare de activări ransomware oportuniste.
“Atacatorii sunt cu siguranță ceea ce voi numi actori economici raționali, ceea ce, din păcate, înseamnă și vicios”, spune Rob Lefferts, vicepreședinte corporativ al securității Microsoft 365. “Vedem un comportament în care se vor transforma în organizații și de fapt stau în stare latentă, atât pentru că fac recunoaștere, cât și pentru că, aparent, estimează care este momentul în care acea organizație va fi cea mai vulnerabilă și mai probabil să plătească”.
Un atac inițial ar putea oferi hackerilor acces la rețeaua victimei. Apoi vor aștepta săptămâni sau luni pentru un moment deosebit de oportun pentru a infecta efectiv sistemul cu ransomware. Microsoft a urmărit un astfel de comportament de la grupuri folosind o serie de tulpini proeminente de ransomware, cum ar fi Robbinhood, Maze și REvil. În timp ce unele grupuri ransomware s-au angajat să nu atace spitale în timpul crizei coronavirusului, în practică, hackerii încearcă tot mai mult să încaseze bani.
Cercetătorii Microsoft au observat adesea atacatorii primind accesul inițial la rețea prin exploatarea vulnerabilităților neatacate în infrastructura web a victimelor. Au văzut unii hackeri care profită de un defect publicizat pe scară largă în VPN-ul Pulse Secure și alții care exploatau defecte în funcțiile de gestionare la distanță, cum ar fi sistemele de la distanță. Atacatorii au vizat, de asemenea, vulnerabilitățile și configurațiile nesigure ale produselor proprii Microsoft. Atacatorii ar putea ghici parolele organizațiilor care utilizează Protocolul Desktop la distanță fără autentificarea multifactorilor sau ar putea exploata bug-urile cunoscute în serverele Microsoft SharePoint și Microsoft Exchange pe care victimele au neglijat să le facă pe patch-uri.
Atacatorii au profitat chiar și de instrumentele utilizate în securitate pentru a găsi și a conecta în mod proactiv găuri de rețea, inclusiv platforma de emulare a atacului Cobalt Strike și tehnici malițioase în cadrul sistemului de management de la distanță Microsoft PowerShell. Această activitate pare adesea legitimă și poate strecura scanerele anterioare, permițând atacatorilor să stea în așteptare și să facă recunoaștere nedetectată în rețea până când aleg momentul să lovească efectiv.
În timp ce atacatorii așteaptă condițiile potrivite pentru a elibera ransomware-ul, de multe ori exfiltrează datele din rețelele victimelor lor. Microsoft spune că motivul acestei activități nu este întotdeauna clar. Poate fi dificil de spus diferența dintre atacatorii care au furtul IP sau alte adunări de informații ca obiectiv principal și cei care adună doar ceea ce pot ca un beneficiu secundar de a se poziționa pentru atacuri ransomware.
„Acest timp de locuit poate varia între zile, săptămâni sau chiar luni”, spune Jérôme Segura, șeful serviciilor de informații despre amenințări la firma de monitorizare Malwarebytes. “Când a sosit momentul pentru desfășurarea ransomware-ului, actorii amenințători vor alege de obicei weekend-urile și, de preferință, orele mari de duminică dimineață. Acest lucru avea sens pre-pandemic, deoarece personalul ar reveni de obicei la muncă luni pentru a asista la daune. Acum multe companii au resursele lor s-au întins cu mult mai mult decât înainte și, prin urmare, pot fi într-o poziție mai dură pentru a răspunde unui compromis. ”
Microsoft Lefferts subliniază faptul că grupurile de atac nu pot fi urmărite în mod fiabil de instrumentele sau tipul de ransomware pe care le folosesc, deoarece atât de multe grupuri se copiază reciproc sau folosesc tehnici diferite împotriva țintelor diferite. Și el spune că, deși majoritatea activității valorifică pur și simplu vulnerabilitățile cunoscute, grupurile ransomware sunt, în general, inteligente în ceea ce privește rotirea infrastructurii lor precum adresele IP pentru a face mai greu să le urmărești.
„Este o necesitate reală pentru organizații să se gândească la postură și igienă și la modul în care acestea depistează și monitorizează”, spune Lefferts. “În multe feluri, organizațiile au fost catapulte cinci ani în viitor de tendințele de muncă la distanță continuă pandemice în care eram deja se întâmplă și ia măsuri. ”
Descoperirile Microsoft se bazează în mare parte pe atacuri de ransomware din primele două săptămâni ale lunii aprilie, care au început ca intruziuni în lunile anterioare, iar cercetătorii spun că au văzut o creștere mică a atacurilor de ransomware în această perioadă. Dar acest lucru nu înseamnă neapărat că atacatorii au reușit întotdeauna să colecteze o răscumpărare. Firma de criptomonede Chainalysis a spus în urmă cu două săptămâni că a înregistrat o scădere a plăților ransomware urmărite în întreaga pandemie. Compania constată că poate urmări doar anumite plăți și că multe organizații plătesc răscumpărări în liniște pentru a evita publicitatea proastă.
La începutul lunii aprilie, Interpol a emis un avertisment global cu privire la amenințarea ransomware-ului pentru furnizorii de servicii medicale. “Întrucât spitalele și organizațiile medicale din întreaga lume lucrează non-stop pentru a păstra bunăstarea persoanelor afectate de coronavirus, acestea au devenit ținte pentru cibernetici nemiloși care caută să obțină un profit în detrimentul pacienților bolnavi”, a declarat secretarul general al Interpol. Jürgen Stock a spus în notificare.
Cele mai bune apărări împotriva ransomware-ului au rămas în mare parte aceleași de-a lungul anilor, iar pandemia poate servi drept motivație specială pentru a obține în cele din urmă vulnerabilitățile vechi, pentru a schimba parolele implicite ușor de intuit și pentru a extinde capabilitățile de monitorizare a sistemului. Dar răspândirea Covid-19 prezintă provocări unice – la fel cum ransomware-ul este cel mai amenințător.
sursa : www.wired.com