Пробив в сигурността

  • Palo Alto Networks, Fidelis, Qualys и Mimecast разкриха инциденти, свързани със Solar Winds

    Списъкът на киберкомпаниите, засегнати от свързаната със SolarWinds supply chain атака продължава да нараства.

    Palo Alto Networks, Fidelis, Qualys и Mimecast са поредните, разкрили троянизирани версии на приложението на SolarWinds (Orion) в своите вътрешни мрежи.

    Доставчикът на софтуер за киберсигурност и мрежово оборудване, Palo Alto Networks, е открил два инцидента със сигурността си още през есента на 2020 г. Атаките са били неуспешни и са свързани със софтуера на SolarWinds, едва след разкритието на пробива във FireEye.

    Троянизирана версия на приложението Orion са разкрили и от киберкомпанията Fidelis. Инсталацията е направена още през май 2020 г., като част провеждана оценка на софтуера, и е останала изолирана в тестова среда.

    Вниманието към Qualys пък се насочи след като „corp.qualys.com“ се появи в списък на нови домейни, използвани от хакерите на SolarWinds за вторични атаки.

    Qualys твърди, че приложението Orion е инсталирано само в лабораторна среда за целите на тестването, отделно от основната мрежа.

    Най-силно засегнат изглежда е Mimecast – доставчик на продукти за защита на имейли. Компанията разкри, че хакерите са проникнали в мрежата й и са получили достъп до акаунтите в Microsoft 365 на някои от клиентите й. Пробивът е осъществен чрез цифрови сертификати, използвани от един от продуктите за сигурност на Mimecast.

  • Network Management System – перфектната цел за атака

    Последен ъпдейт на 16 декември 2020 в 01:48 ч.

    За тези, които не знаят за какво служи платформата Orion на SolarWinds – това е система за управление на мрежата (NMS – Network Management System).

    SolarWinds е един от най-използваните и широкоразпространени брандове NMS в световен мащаб. Използва се в средни и големи частни организации, правителствени агенции, военни и други стратегически формирования с национално значение.

    NMS обикновено служи за наблюдение на мрежови устройства и критични сървъри. Ако някога сте виждали мрежова карта, на която устройствата са показани в зелено/жълто/червено, то тя вероятно е създадена от NMS.

    Как NMS генерира картата

    Понякога това е проста задача – колкото командата за проверка на наличността на дадена система в мрежата (ping).  По-често обаче NMS използва SNMP (протокол за наблюдение и управление на мрежата) или инсталиран върху машината агент, за да научи или промени състоянието на отдалечените устройства. В допълнение към това, тези управляващи мрежата системи могат да променят конфигурацията, да рестартират услуги и т.н. Разбира се, не всички NMS са в състояние или имат права да правят промени или поне – не за всички системи в инфраструктурата.

    Защо NMS са отлични цели за атакуващия и защо евентуален хак е труден за откриване

    Както споменахме по-горе, NMS имат достъп до повечето (може и до всички) системи в мрежата, така че изходящите IP ACL (правилата за контрол на мрежовия трафик) не са полезен контрол. Netflow (протоколът, следящ за активността в мрежовия трафик) обикновено също не помага, тъй като NMS не само има достъп до всичко, но и говори много – тя се нуждае от разнообразна информация относно мрежата, която управлява, за да е максимално полезна.

    Може би добра новина е, че NMS рядко има достъп до всички системи. Лоша новина е, че до най-критичните системи, най-вероятно достъпът е с най-високи привилегии и са позволени, както промяна в конфигурации, така и рестартиране на сървиси, цели машини или достъп до чувствителна информация, касаеща работата на системата. Това, разбира се, не е провал в моделирането на сигурността, защото същността на работа на тези системи предполага подобен тип взаимодействие с машините в мрежата. Нека си припомним, че сигурността включва и наличност (CIA – Confendentiality, Integrtity, Availability). В този ред на мисли, колкото по-критична е системата, толкова по-вероятно е да искате да осигурите нейната наличност. NMS я осигурява, като следи за услуги, които не реагират и ги рестартира автоматично, като част от зададен автоматизиран процес, а в повечето случаи – дори и без администраторът да разбере.

    Друга лоша новина е, че дори и само в режим на монитор, NMS все още може да се използва за четене на конфигурации, които често включват достатъчно информация, за да могат хакерите да преминат от една система в друга (lateral movement). По-този начин хакерът може незабелязано да прескача от система към система, деактивирайки средствата им за защита и преодолявайки механизмите за наблюдение.

    Сега вече всички се досещате, защо компрометирането на SolarWinds NMS е апетитна хапка и защо хакерите са се насочили точно към тази система:

    1. Широкото й разпространение предоставя възможност за достъп до голям брой системи в таргетирани организации, вкл. такива от национално значение
    2. Критичността и нивата на достъп на системата на практика осигуряват ключа за цялото „кралство”. Това е все едно да имате потребител „enterprise domain super administrator plus”

    Какво трябва да направите ако имате инсталиран SolarWinds NMS

    1. Не изпадайте в паника и не го изтегляйте офлайн
    2. Следете “изкъсо” препоръките на производителя и приложете всички налични и бъдещи ъпдейти, които се публикуват
    3. Помислете и за наблюдение и предупреждение при всеки опит за достъп до администраторския интерфейс
    4. Независимо коя NMS използвате, препоръчваме да заключите достъпа до администраторските интерфейси, като използвате списъци за контрол на достъпа

    Откриването на аномалии в трафика няма да е лесно, но в следващите няколко дни и седмици ще се появят IOCs (indicators of compromise), които ще подпомогнат системите за наблюдение.

    В повечето организации NMS се конфигурира от администраторите, чиято единствена цел е осигуряване на наличност. Работете заедно с екипите по сигурност и моделирайте системите също и от гледна точка на поверителност.

    В заключение само ще кажем, че NMS са “необходимото зло”. Без тях конфигурирането, управлението и наблюдението на множество системи би довело до доста по-силен “слънчев вятър” (solar wind), който би „довял“ съпътстващи проблеми. Или иначе казано – не изхвърляйте бебето, заедно с водата за къпане! Обърнете сериозно внимание на моделирането на сигурността в организацията си, за да минимизирате риска и щетите при евентуален инцидент. Ако срещате трудности – допитайте се до специалисти с опит и познания по темата.

  • Хакери са проникнали в мрежата на Министерство на финансите и други държавни структури на САЩ

    Последен ъпдейт на 2 януари 2021 в 06:46 ч.

    Правителството на САЩ съобщи за мащабен пробив в мрежата на Министерство на финансите, а вероятно и на други държавни агенции. Все още не е ясен пълния списък със засегнати структури, но се очаква той да нарасне.

    Експертите смятат, че няма достатъчно квалифицирани екипи от специалисти, които да идентифицират надлежно всички правителствени и частни системи, които може да са били хакнати. Държавната администрация пък не иска да сподели пълния обхват на инцидента и имената на засегнатите.

    Не е ясно какво точно са търсили хакерите, но експертите казват, че това може да включва ядрени тайни, схеми на усъвършенствани оръжия, изследвания, свързани с ваксината COVID-19 и информация от досиетата на ключови държавни и индустриални лидери.

    За атаката се счита, че е част от киберкампания срещу американски институции, жертва на която стана и компанията за киберсигурност FireEye. Смята, че зад атаката стои чуждо правителство, като най-много се спряга руско участие.

    Пробивът е станал през широкоизползвания софтуер за мониторинг на ИТ инфраструктура Orion на компанията SolarWinds. Веднъж получили отдалечен достъп до него, всичко в засегнатата мрежа  става видимо за хакерите.

    Според разследване на Microsoftзловреден код е бил вмъкнат в DLL файл, свързан с платформата за управление на инфраструктурата Orion. Той е осигурил на хакерите backdoor, използван за осъществяване на същинската атака.

    За пробивът в американското правителство е станало ясно при разследването, което FireEye е провела в собствената си мрежа. Компанията е установила, че софтуерът на SolarWinds е инжектиран със зловреден код, който се е разпространил с ъпдейт, приложен през март 2020.

    На сайта си SolarWinds заявяват, че имат над 300 хил. клиенти по целия свят, включително всичките пет клона на американската армия, Пентагона, Държавния департамент, НАСА, Агенцията за национална сигурност, Министерството на правосъдието и Белия дом. Според него 10-те водещи американски телекомуникационни компании и петте най-добри американски счетоводни фирми също са сред клиентите.

    Флорида е първият щат, който призна, че е станал жертва на хака на SolarWinds. Cisco Systems Inc. и Microsoft Corp. също съобщиха, че системите им са били засегнати от злонамерения ъпдейт. Към списъка се присъединиха Министерството на енергетиката (DOE) и Националната администрация за ядрена сигурност (NNSA) на САЩ. Пентагонът е заявил, че към момента не са открити прониквания в мрежата му.

    Американските държавни агенции са получили директива за предприемане на незабавни действия, които да намалят щетите от използването на компрометирания софтуер Orion на SolarWinds.

    Продължаваме да следим темата, за да ви информираме своевременно за развитието на инцидента.

    Ситуацията показва, че 100% сигурност не съществува, но наличието на средства за проследяване на случващото се в мрежата (Cybersecurity Monitoring) ви дава възможност да реагирате навременно и адекватно и да вземете мерки за минимизиране на нанесените щети.

    Прочетете още: Network Management System – перфектната цел за атака

    Друга интересна гледна точка представяме и тук: Хакерите на SolarWinds заобикалят многофакторното удостоверяване на Duo

  • Man Utd хакнат

    Футболният клуб Манчестър Юнайтед потвърди, че е претърпял кибератака срещу ИТ системите си.

    Няма информация за нарушаване на личните данни на футболисти, фенове или клиенти. Засегнатите системи са спрени, за да не се разпространи атаката и се работи по възстановяването им.

    Говорителят на Юнайтед е предупредил, че този тип атаки стават все по-чести и е нужна подготовка за да им се противодейства.

    Тук, тук и тук може да прочетете и за други атаки срещу водещи футболни отбори, случили се по-рано през годината.

  • Анатомия на кибератаката – как да се предпазите

    Както всеки администратор знае, хаковете са навсякъде около нас и постоянно еволюират. С една-единствена цел – да ни затруднят да ги разпознаем и класифицираме и да оцелеят възможно най-дълго в нашата компютърна екосистема.

    Всяка кибератака представлява комплексен низ от стъпки, събития и действия, които трябва да се изпълнят последователно, за да бъде тя успешна. Ако администраторите познават основните фази, през които преминава изпълнението на една кибератака, те ще могат да я разпознаят в някой от етапите на протичането й и да я предотвратят.

    Първа фаза:  Разузнаване

    Атакуващият има нужда от максимум информация за жертвата си, за да планира правилно атаката. В тази фаза се тестват и изследват механизмите за защита на жертвата. Хакерът обикновено търси уязвимо устройство или уязвима операционна система. Опитва се да научи максимално много за служителите, използвайки социални медии. Понякога дори използва партньори с по-слаба защита, които могат да бъдат компрометирани лесно, като точка за достъп до основната жертва.

    Противодействие:

    • Не публикувайте твърде много информация в интернет и по възможност редактирайте или отстранете т.нар. банери на сървърите, които използвате. Те указват точната версия, която се използва и по този начин дават на атакуващия предимство в търсенето на уязвими места.
    • Обучавайте служителите си да не споделят прекомерно и ненужно в социалните мрежи
    • Проверявайте внимателно дали получените съобщения идват наистина от ваши партньори и дали прикачената информация не е измама

    Втора фаза: Подготовка за атака (въоръжаване)

    След като открият уязвимост в инфраструктурата на набелязаната жертва, атакуващите подготвят приложения, с които да я експлоатират, като се стремят да останат незабелязани. Повечето киберпрестъпници използват инструменти, които вече са известни и са използвани и в миналото. Ако такива обаче липсват, по всяка вероятност атакуващите ще се въоръжат с т.нар. Zero-Day експлойт, срещу който все още няма подготвени дефиниции или кръпки.

    Противодействие:

    • Създайте във вашата организация политики и процедури за информационна сигурност, за да повишите нивото си на защита или се обърнете към специалисти, които да го направят за вас

    Вижте също: Какво е Zero trust security и защо да го въведете в компанията си през 2020 г.

    Трета фаза: Доставяне

    След като се „въоръжи“, престъпникът трябва да намери механизъм, с който да достави пейлоуда (файлът, който изтегля същинския зловреден код). Това става най-често чрез фишинг имейли, а също и през инфектирани уеб сайтове, фалшиви реклами и др. Атакуващият се нуждае само от една слабост – един служител, който да натисне грешния линк или да отвори неправилният файл.

    Противодействие:

    • Използвайте технически средства, с които да отсеете масовката от спам и фишинг
    • Провеждайте адекватни и регулярни обучения за персонала ви, за да могат те да разпознават фишинг атаки, както и други заплахи
    • Използвайте услуги или системи за мониторинг, които биха ви подсказали за нетипично поведение в мрежата или крайните станции.

    Прочетете още: Защо фишингът е най-често използваният метод за кибератаки?

    Четвърта фаза: Експлоатация

    След като пейлоудът е доставен успешно, той трябва да бъде изпълнен незабелязано. Повечето атаки се фокусират върху приложения от трети страни, които работят с по-високи права върху операционната система. В повечето случаи тези приложения не се ъпдейтват често и почти не се тестват за уязвимости, затова стават лесна мишена и входна врата към превземането на системата.

    Противодействие:

    • Подбирайте внимателно и не се предоверявайте на приложения от трети страни
    • Прилагайте навреме и редовно наличните кръпки в операционната система и съпътстващите приложения
    • Използвайте защита на крайните станции от доказал се разработчик
    • Наблюдавайте действията на потребителите за нетипично поведение или изпълнение на съмнителен код върху системата, а при невъзможност да се справите сами, изнесете тази задача като услуга

    Ще ви бъде интересно да разгледате: 15 добри практики за защита на приложенията – за разработчици и клиентите им

    Пета фаза: Командване & Контрол

    След като експлойта е доставен и изпълнен успешно, той започва да комуникира със сървър на нападателя. В повечето случаи тази комуникация бива криптирана, за да остане трафикът скрит. Целта на атакуващия е да бъдат свалени допълнителен зловреден код и инструменти, които да  проникнат и компрометират мрежата на жертвата.

    Противодействие:

    • Използвайте добри технологични решения, които бързо и точно да идентифицират злонамерения софтуер в системата
    • Наблюдавайте мрежата си за съмнителен трафик и поведение

    Шеста фаза: Вътрешно разузнаване

    След като си осигури входна точка за достъп до инфраструктурата на организацията-жертва, атакуващият търси начини за движение по-навътре, за да си изгради топология на мрежата и да открие търсената информация. За целта той инфектира и други устройства – сървъри, домейни, крайни станции и дори IoT устройства.

    Противодействие:

    • Използвайте технологични решения, които да анализират съдържанието на мрежовия ви трафик и да защитават от мрежови атаки
    • Използвайте силни пароли. Препоръчително е също да добавите MFA за всички администратори и за достъп до важните активи.

    Седма фаза: Присъствие

    Заветната цел на всеки атакуващ е да придобие контрол върху системата на жертвата или поне част от нея. След като това се случи, атакуващият прилага техники, с които запазва присъствието си върху машината, така че да може да я достъпи отново във всеки един момент. В повечето случаи се цели това присъствие да бъде запазено дори и ако системата бъде преинсталирана (за справка: UEFI Malware) или се направи опит да бъде почистена чрез антивирусни приложения.

    Противодействие:

    • Създавайте редовно резервни копия на важната за вас информация
    • Ограничете достъпа до хранилищата на данни
    • Използвайте надеждно криптиране
    • Ако системата не е с голяма критичност – преинсталирайте я. Това е почти най-сигурния начин да елиминирате зловредния код.

    Заключение

    Компрометирането на една система или организация не е лесна задача, но както специалистите по информационна сигурност обичат да казват „100% сигурност няма“. При всички положения обаче разликата от 1% в защитата ви може да бъде критична и вие винаги трябва да бъдете максимално добре подготвени. Затова бихме ви посъветвали да се ориентирате към адаптирането на стандарт и добри практики за информационна сигурност. По този начин ще сте сигурни че няма да пропуснете важни стъпки и подходи при интегрирането и поддръжката на система за киберсигурност.

  • iPhone 11 Pro с iOS 14 хакнат за 10 секунди

    Най-успешният хак в тазгодишния турнир, провеждан от TianFu Cup, е този на iPhone 11 Pro с iOS 14 – само за 10 секунди.


    Разбира се, уязвимостите на хакнатия софтуер са докладвани на производителя, така че да бъдат отстранени при следващите актуализации.

  • 8 важни стъпки, които да предприемете при Ransomware атака: Ръководство за бързо възстановяване след инцидент

    Ефективният план за реакция в случай на Ransomware атака прави разликата между предприемането на правилни действия и изпадането в паника. Точно планът би предопределил изхода от инцидента: уловена и овладяна навреме атака или широко-разпространена инфекция, а още по-важно – бързо възстановяване от инцидент или окончателно прекратяване на бизнеса.

    Липсата на подготовка е подготовка за провал

    Как да реагираме при Ransomware атака

    Ако превантивните мерки не са се оказали достатъчни и организацията ви е станала жертва на криптовирус, трябва да предприемете следните стъпки веднага след идентифициране на инцидента:

    1.      Изолирайте

    Изолацията на засегнатите системи трябва да се счита за основен приоритет при Ransomware атака. Една от основните функции на зловредния код е сканиране на мрежата на жертвата. След това той криптира споделените файлове и разпространява атаката по мрежата във всички системи на организацията. Поради това е необходимо заразените системи да бъдат изолирани от мрежата възможно най-скоро. Така ще бъде овладяна инфекцията и предотвратено нейното разпространяване.

    2.      Защитете архивите си

    Въпреки, че резервните копия играят главна роля в отстраняването и възстановяването от атаки, е важно да запомните, че те не са имунизирани срещу Ransomware. За да осуетят възстановяването, много от съвременните Ransomware щамове са насочени именно към архивите на компанията и ще се опитат да ги криптират, заменят или изтрият.

    В случаите на Ransomware атака, организациите трябва да подсигурят своите резервни копия, като временно изключат хранилището от мрежата или ограничат достъпа до него, докато инфекцията не бъде овладяна. Повече информация на тази тема може да прочетете тук.

    3.      Деактивирайте задачите за поддръжка

    Незабавно деактивирайте зададени задачи за автоматизация и поддръжка на засегнатите системи, като временно изтриване на файлове и ротация на логове. Ако са активни, те биха могли да попречат на работата на екипите, които разследват инцидента.

    Например файловите логове могат да съдържат ценна информация относно първоначалната точка на заразяване. Във временните файлове пък някои лошо програмирани варианти на Ransomeware биха могли да съхранят важна информация, като напр. ключовете за криптиране.

    4.      Създайте резервни копия на заразените системи

    Има две основни причини, поради които трябва да създадете резервни копия или изображения на заразените системи, след като ги изолирате от мрежата:

    • Предпазвате се от загубата на данни

    Някои Ransomeware декриптори съдържат грешки, които могат да повредят данните. Например, за декриптора  Ryuk, от  семейство Ransomeware, беше известно, че съкращава файлове, като ефективно отрязва по един байт от всеки файл по време на декриптиращия процес. Въпреки че това не представлява съществен проблем при някои файлови формати, то при други типове – като виртуални дискове за съхранение, като VHD / VHDX, както и много от файловете с бази данни на Oracle и MySQL –  важната информация бива съхранявана именно в последния байт, излагайки файловете  на риск от повреда след декриптиране.

    Наличието на резервно копие на заразените системи гарантира целостта на данните. Ако нещо се обърка по време на декриптиращия процес, жертвите могат да възстановят своите системи до нивото на инфекцията и отново да се опитат да повторят декриптирането. Препоръчително е да се консултирате със специалисти, за да използвате правилното решение за декриптиране.

    • Възможно е безплатно декриптиране в бъдеще

    Ако криптираните данни не са от решаващо значение за ежедневните операции на организацията ви и не е необходимо тяхното спешно възстановяване, то те трябва да бъдат архивирани и добре съхранени. Има вероятност в бъдеще те да могат да бъдат декриптирани.

    Съществуват случаи, при които правоприлагащите органи улавят авторите на Ransomware атаки и използваните от тях C&C сървъри за съхранение на декриптиращи ключове. Това позволява на жертвите да възстановят данните си безплатно. В допълнение, част от Ransomware групите – Shade, TeslaCrypt, CrySis и др. – по свое желание обявиха публично своите декриптиращи ключове след прекратяване на операциите си.

    5.      Карантинирайте злонамерения софтуер

    Жертвите никога не трябва да премахват, изтриват, преформатират или преинсталират заразените системи, освен ако не са изрично инструктирани от специалист да го направят. Вместо това, зловредният софтуер трябва да бъде поставен под карантина. Това ще позволи на следователите да анализират инфекцията и да идентифицират точния Ransomware щам, отговорен за криптирането на файлове. Премахването на цялата инфекция преди тя да бъде анализирана би създало затруднения за специалистите в опита им да открият конкретната Ransomware проба, причинила атаката.

    Ако зловредният софтуер е все още в процес, е необходимо да се направят записи на всичко протичащо в RAM паметта. По този начин ще се създаде пълен лог на всички настъпили злонамерени процеси, преди Ransomware щамът да бъде поставен под карантина. Тези записи могат да съдържат ключовия материал, използван при криптирането на файловете. Той евентуално би могъл да бъде извлечен и използван от жертвите, помагайки им да декриптират засегнатата информация, без да плащат откупа.

    6.      Идентифицирайте и изследвайте нулевия пациент

    Идентифицирането на нулевия пациент т.е. източникът на инфекцията е от решаващо значение. Това ще даде ясна представа как нападателите са получили достъп до системата, какви други действия са предприели, докато са били в мрежата и каква е степента на заразата. Откриването на източника на инфекцията е полезно не само за разрешаване на текущия инцидент. То може да помогне на организациите да се справят с уязвимостите и да намалят риска от евентуални инциденти в бъдеще.

    Идентифицирането на източника на инфекцията може да бъде изключително предизвикателство.  В много случаи извършителите на атаката са били в системата седмици или дори месеци преди да внедрят изпълнимия файл на Ransomware. Препоръчва се компании, които не разполагат с нужните ресурси или опитни служители за извършване на разследване и задълбочен анализ, да обмислят възможността да се обърнат за съдействие към компании занимаващи се професионално с такава дейност.

    7.      Идентифицирайте щама на Ransomware

    Можете да използвате безплатни услуги за да определите от кой щам Ransomware сте били засегнати. Такива са онлайн инструмента за идентификация на Ransomware на Emsisoft или ID Ransomware,

    Тези инструменти позволяват да качите информация – бележка за откуп, примерен криптиран файл, контактите на нападателя. Чрез анализ на данните може да се идентифицира кой точно е щамът на криптовируса, засегнал системата ви. Потребителите, също така, могат да бъдат насочени към  безплатен инструмент, с който да декриптират информацията си, ако има наличен такъв.

    8.      Решете дали да платите откупа

    Ако архивите ви са повредени и няма наличен безплатен инструмент за тяхното декриптиране, може да се изкушите да платите откуп, за да възстановите файловете си.

    Това не бива да бъде решение, което трябва да се вземе с лека ръка. Плащането на откупа може да намали периода на прекъсване на бизнеса ви. Сумата му може да е по-малка като стойност в сравнение с общите разходи/загуби, които компанията ви ще направи за времето в което е била в евентуален застой поради атаката. Все пак, плащането на откуп трябва да бъде последна опция, налична само ако всички други възможности са изчерпани и има опасност загубата на данни да доведе до прекратяване на дейността завинаги.

    Прочетете още: Ransomware. Да платиш или не, това е въпросът

    Задължително имайте предвид следните фактори:

    • Съществува вероятност (в една 1 от 20 Ransomware атаки) хакерите да вземат парите, но да не предоставят декриптиращи ключове на своите жертви. Най-общо казано, по-големите „професионалисти“ сред Ransomware групите са по-склонни да осигурят работещ декриптор, за разлика от по-малките (Dharma и Phobos). Независимо обаче кой стои зад атаката, жертвата може да разчита само на думата на хакера. А никога няма гаранция, че престъпниците ще удържат на думата си.
    • Предоставеният от нападателя декриптиращ ключ може да не работи правилно;
    • Заплатените откупи може да бъдат използвани за финансиране на сериозна престъпна дейност, включително трафик на хора и тероризъм;
    • Плащането на откупа обосновава бизнес модела на Ransomware и мотивира престъпниците да извършват нови атаки.

    Какво да НЕ правите по време на Ransomware атака

    Неправилното обработване на Ransomware инциденти би възпрепятствало усилията за възстановяване: би изложило на риск данните ви и би довело до ненужно изплащане на откуп. По време на Ransomware атака трябва да избягвате следните грешки:

    1.      НЕ рестартирайте засегнати устройства

    Много Ransomware щамове разпознават опитите за рестартиране на системата и наказват жертвите, като повреждат Windows инсталацията на устройството. Така системата никога повече не може да стартира, а други щамове може да започнат да изтриват на случаен принцип криптираните файлове на жертвата. Скандалният Jigsaw Ransomware, нашумял през 2016 г., произволно изтрива 1000 криптирани файла всеки път, когато заразеното устройство се рестартира.

    Рестартирането би могло да затрудни и разследващите екипи. Когато системата се рестартира, самият процес изчиства паметта на машината, която, както беше отбелязано по-рано, може да съдържа улики, полезни за следователите. Вместо това, засегнатите системи трябва да бъдат поставени в хибернация, която записва всички данни от RAM паметта в референтен файл намиращ се в паметта за съхранение на устройството, позволявайки анализирането им в бъдеще.

    2.      НЕ свързвайте външни устройства за съхранение към заразени системи

    Много Ransomware семейства са целенасочени главно към устройства за съхранение и системи за бекъп. Поради тази причина, външните устройства за съхранение и системите за архивиране не трябва да бъдат свързани (физически или чрез мрежов достъп) към заразени системи, докато не сте напълно уверени, че инфекцията е овладяна и премахната.

    За съжаление, не винаги е видимо дали Ransomware все още е в системата и работи. Има много случаи, в които организациите започват процес по възстановяване, без да осъзнават, че Ransomware все още присъства в тяхната система. В резултат на това той отново криптира резервните копия и устройства за съхранение.

    3.      НЕ плащайте откупа веднага

    Въпреки плашещите факти, че временното спиране на работа би могло да доведе до потенциална загуба на репутация, организациите не трябва да плащат поискания откуп веднага. Винаги има други възможности и те трябва да бъдат проучени изцяло, преди да се прибегне до тази крайна мярка.

    4.      НЕ комуникирайте в засегнатата мрежа

    По време на възстановяването следва да имате предвид, че нападателите все още имат достъп до компрометираната ви мрежа. Следователно те могат да могат да прихващат всякакви съобщения, изпратени и получени по нея. Необходимо е да си осигурите защитени комуникационни канали извън обхвата на засегнатата мрежа и да забраните комуникациите в нея, докато отстраняването на нарушителите не завърши.

    5.      НЕ изтривайте файлове

    Не трябва да изтривате файловете от криптираните системи, освен ако специалистът по възстановяване от атаки не ви е посъветвал да го направите. Не само криптираните файлове са полезни за разследването, но и факта, че някои Ransomware семейства съхраняват ключове, използвани за криптирането им в самите тях. Ако файловете бъдат изтрити, декрипторът няма да работи.

    Също така не трябва да изтривате съобщенията за искане на откуп. Някои хакери (DoppelPaymer, BitPaymer), създават съобщение за откуп за всеки файл, който криптират – точно в него се съдържа кодирания и криптиран ключ, необходим за декриптиране. Ако съобщението бъде изтрито, съответният файл няма да може да бъде възстановен.

    6.      НЕ вярвайте на Ransomware авторите

    Въпреки, че все повече се опитват да показват професионализъм, авторите на Ransomeware са престъпници. Като такива, те не се считат задължени да спазват споразумения или етичен кодекс. Не трябва да вярвате на каквато и да е информация, предоставена от групи за искане на подкуп, вкл. и на написаното в искането за откуп. Най-вече не трябва да се доверявате, че плащането на откупа ще доведе до възстановяване на криптираните данни.

    Винаги използвайте сигурни услуги/инструменти за идентификация на Ransomware (Emsisoft и ID Ransomware) за идентифициране на щамовете на инфекцията. Не забравяйте, че съществува риск да не получите декриптора от нападателите след заплащане на поискания откуп. Също е възможно предоставените инструменти за декриптиране да са дефектни и/или потенциално да повредят криптираните данни.

    Как да намалим риска да станем жертви на Ransomware атака

    Предприемането на проактивен подход към сигурността помогне за намаляване на риска от инцидент с Ransomware. Независимо от размера на организациите, те трябва да внедряват, прилагат и редовно тестват следните превантивни мерки:

    • Хигиена на автентикиране: Практикуването на добра хигиена за автентикиране може да предотврати кражбата на идентификационни данни (пароли) с цел получаване на неоторизиран достъп до мрежата.
    • Принцип на least privilege: Всяка организация трябва да се придържа към принципа на най-необходимия достъп. Това е концепция за сигурност, при която на потребителите, програмите и процесите се дава минималния достъп, необходим за изпълнение на техните задачи.
    • Обучение на служители: Тъй много често точно служителите са подмамени да отворят прикачен файл или линк, който разпространява Ransomware инфекцията, компаниите трябва да извършват редовни обучения по киберсигурност. Акцентът следва да бъде върху фишинг, злонамерени файлове, прикачени към имейл и други похвати за социално инженерство.
    • Многофакторно удостоверяване (MFA): MFA трябва да стане задължително, когато е възможно, за да се намали рискът от неоторизиран достъп.

    Малко статистика по темата за защита на акаунтите може да намерите тук

    • Преглед на Активна директория: Редовно преглеждайте активните си директории за наличие на съществуващи „задни врати“ (backdoor), отворени за атаки. Такива са напр. компрометираните потребителски акаунти, често с административен достъп. Те са популярна цел за нападателите, които искат да получат идентификационни данни.
    • Сегментиране на мрежата: Ефективното мрежово сегментиране е от решаващо значение за овладяване на инциденти и минимизиране на прекъсванията за по-широкия бизнес.
    • Осигуряване на защитен отдалечен достъп: Тъй като RDP е изключително популярен вектор за атака, организациите трябва да предприемат стъпки за осигуряване на защитен отдалечен достъп (или да го деактивират, ако не се изисква). Отдалеченият достъп трябва да бъде достъпен само чрез определени мрежи или VPN с активиран MFA и ограничен само за потребители, които го изискват за своята работа.

    Вижте и: Рекорден ръст на RDP атаките в периода на извънредното положение

    • Избягвайте BYOD: Внедряването и стриктното прилагане на протоколи за сигурност върху личните устройства на служителите е изключително предизвикателство. Препоръчва се компаниите да предоставят специални устройства и хардуер на своите служители и да забранят използването на лични устройства за изпълнение на задачи, свързани с компанията и работния j процес.
    • PowerShell: PowerShell е един от най-често срещаните инструменти, използвани от Ransomware бандите, който им позволява да се движат незабелязано в рамките на компрометираната мрежа. Поради тази причина, по възможност той трябва да бъде деинсталиран. Ако се изисква употребата на PowerShell, то той трябва да бъде много внимателно наблюдаван чрез EDR системи за откриване и реакция на инциденти върху крайни точки. Администраторите трябва да са наясно с всеки отделен скрипт на PowerShell, който се изпълнява върху техните станции.
    • Кибер застраховка: Обмислете възможността за киберзастраховка с цел да минимизират загубите при евентуален Ransomware инцидент. Застраховката за киберсигурност може да бъде особено полезна за MSP (Managed Service Provider), които често са отговорни за защитата на данните на други компании. Някои компании за киберзастраховане са склонни към директното изплащане на откупи, докато други предпочитат да проучат наличните възможности за отстраняване на атаката. Когато избирате застраховател трябва добре да проучите политиките му, преди да се ангажирате с него.
    • Тествайте редовно процедурите за реагиране по време на инциденти: Само така ще се гарантира, че служителите са запознати с процесите за сигурност и разбират точно какво да правят в случай на атака. Тестването помага да идентифицирате и отстраните недостатъците по веригата за реакция. Най-лошият начин да се научите какво да правите при Ransomware атака е по време на настъпила истинска такава.

    Вижте още препоръки на ФБР за реакиция при  откриването и отстраняването на злонамерена дейност.

    Заключение

    Проактивният подход за предпазване от Ransomware атака може значително да помогне на организациите да намалят риска от бъдещи инциденти. Те трябва да разполагат с ефективен план за реакция в случай на инцидент. Само така ще могат да овладеят инцидента, да предотвратят загубата на данни и безопасно да инициират процеса по възстановяване.

    Описаните тук насоки и практики могат да помогнат на фирми от всякакъв мащаб да смекчат въздействието на Ransomeware атака. Обърнете внимание обаче, че тези процедури трябва да се считат за общи и начални съвети. Изискванията за сигурност могат да варират значително и системите за сигурност винаги трябва да бъдат съобразени с индустрията, регулаторните изисквания и уникалните нужди на компанията.

     

  • Telegram Messenger е станал входна точка за SS7 атака

    Последен ъпдейт на 5 ноември 2020 в 05:32 ч.

    Хакери, разполагащи с достъп до Signaling System 7 (SS7), използвана за свързване на мобилни мрежи по целия свят, са успели да проникнат в Telegram Messenger и през него да завладеят мобилните телефони на таргетирани лица в т.ч. получените от тях кодовете за двуфакторна автентикация. Резултатът: осигурен достъп до данните от имейли на високопоставени фигури в бизнеса с криптовалути.

    SS7 атаката позволява да се прихващат текстови съобщения и обаждания на легитимен получател, като се актуализира местоположението на устройството, сякаш то е регистрирано в друга мрежа. Конкретната атака, проведена през септември 2020 г. в Израел, е била насочена към най-малко 20 абоната, свързани с криптовалутите.

    Изглежда че хакерите се подготвят усърдно и избират инструментите, които да използват за хакване, спрямо нивото на жертвите. SS7 атаките изискват добри познания за взаимодействието на домашните мобилни мрежи и маршрутизиране на комуникацията на глобално ниво. След това е нужна само входна точка, каквато в случая се е оказал Telegram Messenger.

  • Нови критични уязвимости в Windows, милиарди потребители са изложени на риск

    Последен ъпдейт на 4 май 2020 в 11:58 ч.

    След SMBGhost, Microsoft призна за нови критични 0-day уязвимости за всички поддържани Windows операционни системи. За тях все още няма пачове, но по-долу в текста може да намерите заобиколни методи за временно разрешаване на проблема.
    И двата нови 0-day бъга са оценени със сериозност „Critical“. Те засягат Windows 10, 8.1 и Server 2008, 2012, 2016, и 2019 editions, както и Windows 7, за който Microsoft прекрати поддръжката на 14 януари 2020 г. Тези уязвимости позволяват Remote Code Execution (отдалечено изпълнение на зловреден код). За щастие публичен Proof of Concept все още не е достъпен и атаките използващи тази слабости са строго таргетирани и ограничени.

    Как работят уязвимостите? И двете уязвимости се коренят в Windows Adobe Type Manager Library, което всъщност е библиотека за обработка на шрифтове. Те се използва не само от външни приложения, но и от самия Windows Explorer за да покаже съдържанието (превю) на файловете в ‘Preview Pane’ или ‘Details Pane’ още преди потребителя да ги е отворил.

    Как се случва атаката? Без да изпадаме в технически подробности, ето как би била изглеждала атаката:

    1. Престъпникът (хакерът) подлъгва жертвата да отвори или просто да прегледа (Windows Preview pane) файл;
    2. Adobe Type Manager Library неправилно ще се опита да интерпретира специално изготвения „multi-master font – Adobe Type 1 PostScript format“;
    3. При успешна атака компютърът ще е изцяло подвластен на недоброжелателя.
      Preview & Details Panes
      Preview & Details Panes

    За щастие, според Microsoft, при Windows 10 недоброжелателят всъщност ще е затворен в AppContainer sandbox и ще има ограничени права на действие.

    Все още обаче не е известно дали тези уязвимости могат да бъдат атакувани директно отдалечено – например чрез специално изготвен сайт, който да превземе уеб браузера на жертвата.

    Microsoft знаят за проблема и работят върху ъпдейт, който ще поправи пропуските. Това се очаква да стане със следващия Patch Tuesday през идния месец април. Лошата новина е, че за уязвимостите все още няма пачове! За да ги елиминирате, приложете следните заобиколни методи – един от които е просто да спрете превюто на файловете в Windows Explorer.

    Прочетете тук как да се предпазите от тези 0-day уязвимости.
    В корпоративни мрежи препоръчваме на ИТ администраторите да приложат GPO, което да предпази крайните станции, докато Microsoft пуснат ъпдейти касаещи тези уязвимости.

    Това са поредните главоболия на софтуерния гигант, който намира под особено голямо напрежение в от началото на март. Освен вече пачнатият SMBGhost, Micorosft се принуди да удължи с 6 месеца поддръжката и издаването на ъпдейти касаещи сигурността за Windows 10 (build 1709), който се предполагаше, че трябва да е End of Life на 14 април 2020 г. Причината – пандемият от COVID-19.

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Над 2 млрд. мейла оставени достъпни за „всеки с връзка с интернет“

    База данни с обем 196 гигабайта или близо 2.07 млрд. записа, сред които имейли и телефони, е била разкрита от два различни анализатора, съобщава WeLiveSecurity.

    Първи за новината съобщава Боб Диаченко. Той е разкрил незащитен MongoDB сървър, на който са съхранявани 808 млн. записа, достъпни за „всеки с достъп до интернет“, както пише анализатора в блога си. Самият сървър е собственост на Verifications.io – компания, чийто бизнес е валидация на имейл адреси.

    След като Диаченко съобщава за пробива, компанията сваля базата данни на 8 март – в а последствие (и по времето на писането на този текст) спира достъпа и до целия си уебсайт.

    Малко след публикацията от миналата седмица, други анализатори – от DynaRIsk продължават разследването и разкриват, че реалният брой компрометирани лични данни е значително по-висок. Причината: Диаченко е разкрил само една от засегнатите бази данни. Според най-новата информация по случая, общият обема информация е 2.07 млрд. записа или общо 196 гигабайта данни.

    Само в едната база се съхранява следната информация:

    • emailrecords = 798 171 891 записа
    • emailWithPhone = 4 150 600 записа
    • businessLeads = 6 217 358 записа
    Част от съдържанието в базата данни. СНимка: dynarisk.com
    Част от съдържанието в базата данни. СНимка: dynarisk.com

    В голяма част от случаите имейл адресите идват с имената, акаунтите в социални медии, телефонни номера, рожденни дни, пощенски кодове и данни от кредитни регистри, взети ипотеки, лихви за взетите ипотеки и други данни на собствениците си. В част от засегнатите акаунти е публикувана информация и за приходите на компаниите, за които работят притежателите на имейлите.

    Пароли, номера на социални осигуровки (американският еквивалент на ЕГН) и данни за лични карти не са достъпни.

    И за разлика от нашумелия случай с Collection#1, в този случай записите не са просто сбор от вече публикувани бази данни с източени акаунти. Става въпрос за непубликувани до момента акаунти, които са били публично достъпни за неизвестен период от време.

    Дали вашият имейл е сред публикуваните може да разберете в haveibeenpwned.com. Над 30% от публикуваните имейли не са били налични в глобалната база данни с източени лични данни, събирана от анализатора Трой Хънт.

    Самата компания Verifications.io предлага услуга, която позволява на клиентите ѝ да намалят непотребното съдържание в базите си данни с контакти на клиенти, като сравнява въведените такива от служители или от самите клиенти със собствените си бази данни – и по този начин предотвратява въвеждането на невалидни адреси, телефони и др.

Back to top button