Таргетирани атаки

Последен ъпдейт на 28 юни 2018 в 13:49 ч.

Последен ъпдейт на 28 юни 2018 в 13:50 ч.

IT отделите ще трябва да добавят „военизирани виртуални машини“ към списъка със заплахи за киберсигурността в облака. Това обяви Microsoft в доклада Security Intelligence Report Volume 22.

Докладът оценява заплахите за информационната сигурност на компаниите в първата четвъртина на 2017 г. Microsoft констатира, че престъпниците следват пътя на бизнеса и го атакуват там, където той оперира. Все по-често това са облачни услуги, предоставени от трети страни.

Военизиран облак

„Киберпрестъпниците успяват успешно да компрометират облачната инфраструктура като установят контрол върху една или повече виртуални машини“, твърди докладът.

Microsoft нарича тази заплаха „военизиран облак“ и я дефинира по следния начин:

„Киберпрестъпниците използват компрометираните виртуални машини за да осъществяват престъпна дейност, която включва удари срещу други виртуални машини под формата на brute-force атаки, спам кампании с цел имейл фишинг и сканиране на уязвими портове с цел организиране и провеждани на нови атаки.“

That moment when your Kali VM gets so weaponized from #OSCP that AVs are trying everything to prevent it from loading.

— Grant Boudreau (@gzboudreau) November 5, 2015

По време на първата четвъртина на 2017 г. услугата Azure на Microsoft е регистрирала редица изходящи опити за подобна дейност. Най-често срещаните форми са били опити за установяване на връзка със злонамерени IP адреси (51%) и RDP (Remote Desktop Protocol) brute-force атаки. Сред другите активности на злонамерените хакери били спам атаки (19%), сканиране на портове (3.7%) и опити за преодоляване на SSH (Security Shell) защити.

Прочете повече: Brute-force атака удари потребители на Office 365

Когато една виртуална машина е компрометирана, тя опитва да установи контакт с командния център на киберпрестъпниците. Огромна част от опитите за установяване на комуникация с такива центрове, били към китайски IP адреси (89%), следвани от САЩ (4.2%).

Входящите атаки срещу Azure идвали главно от Китай (35.1%), САЩ (32.5%) и Южна Корея (3.1%).

Заплаха за бизнеса и потребителите

Експертите по информационна сигурност на Microsoft предупреждават, че хакерите вече не се задоволяват само с ransomware атаки срещу крайни потребители, а все повече насочват вниманието си срещу лични и бизнес акаунти в облака.

„Наблюдаваме ръст от 300% в атаките срещу потребителски акаунти в облака за първата четвъртина на 2017 г. спрямо същия период на 2016 г.“, съобщава Microsoft в блога Microsoft Secure Blog.

В същото време броят на опитите за влизане в облачни акаунти от злонамерени IP адреси се е увеличил с 44%. Според американския IT гигант това доказва нуждата от прилагането на сигурни пароли както от потребителите, така и от бизнеса.

Microsoft призовава IT отделите да въведат политики за условен достъп, базирани върху анализ на риска за сигурността. Такива политики следва да ограничават достъпа до непознати устройства и IP адреси, намалявайки риска от слаби или компрометирани пароли.

В заключителната си част докладът констатира, че ransomware атаките продължават да бъдат сериозен проблем, въпреки че анализът на заплахите е бил компилиран преди масираните ransomware атаки на криптовирусите WannaCry и Petya. Тогава бяха засегнати повече от 200 хиляди устройства в над 150 държави по света.

Как да се защитим в облака?        

• Активирайте двуфакторна верификация за всички облачни акаунти, които използвате
• Създайте сигурни пароли, които включват цифри, символи и думи, изписани с малки и главни думи
• Създайте и поддържайте копия на най-важната информация в различни облачни услуги
• Използвайте антивирусна програма и я актуализирайте често
• Уверете се, че услугата за автоматична актуализация на Windows е активирана както на домашния, така на и работния компютър

Прочетете повече: Колко безопасни са публичните облаци за съхранение на бизнес информация?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:50 ч.

Съвсем наскоро Световната федерация по кеч стана жертва на пробив в сигурността, вследствие на който изтекоха лични данни на 3 милиона клиенти. Хакерите успешно са пробили системата, хоствана от облачна услуга на Amazon. Според Forbes  данните съдържат адресите, етническата принадлежност, залозите и печалбите, както и други лични данни на жертвите. Случилото се е смущаващо, но и чудесен пример за последиците от подобни престъпления.

Ето кои са шестте най-големи пробива в сигурността на облака досега.

1. Microsoft

През 2010 г., вследствие на неправилно конфигуриране на услугата Business Productivity Online Suite, инцидентно се дава достъп на неупълномощени потребители на облачната услуга до контактите на други потребители. Компанията потвърждава за нерегламентирания достъп, но уверява, че проблемът е бил разрешен в рамките на два часа. Тъй като са засегнати сравнително малък брой хора, инцидентът се счита за незначителен. Случилото се е не само първият сериозен пробив в сигурността на облачните услуги, но и предвестник на онези, които ще последват.

2. Dropbox

Никой не е подозирал за истинските размери на чудовищния пробив в Dropbox, когато се е случил през 2012 г. Едва 4 години по-късно, през 2016 г., става ясно, че хакерите успяват да се сдобият с данни за достъп на 68 милиона профила . Пробивът е толкова мащабен, че файловете с данни на потребители са с обща големина цели 5 Gb! Откраднатите имейли и пароли за достъп се търгуват от хакерите в dark web срещу биткойни, когато цената им е била около 1,100 щатски долара. Вследствие на пробива Dropbox предприема масово нулиране на потребителски пароли, за да предпази клиентите си от злоупотреба с лични данни.

@darkpawH and @PyroTek3 on hacking the cloud to a huge and packed room at @defcon pic.twitter.com/zXK292dl8v

— MrShannon (@MrShannonFritz) July 27, 2017

3. Национален електорален институт на Мексико

През април 2016 г. Националният електорален институт на Мексико става жертва на атака, която разкрива регистрациите на 93 милиона избиратели. Личните данни се оказват публични вследствие на лошо конфигурирана база данни. Този пробив разкрива редица други нарушения, като например това, че институцията е съхранявала чувствителни данни на необезопасен облачен сървър на Amazon извън пределите на Мексико. На това му се казва „как да не съхраняваме лични данни, ако сме държавна институция“.

4. LinkedIn

Понякога късметът наистина може да ни изиграе лоша шега. Точно това се случва с LinkedIn, когато през 2012 г. киберпрестъпници успяват да откраднат 6 милиона потребителски пароли и да ги публикуват в руски форум. Само 4 години по-късно, през май 2016 г., втора атака води до компрометиране на данни за достъп на над 167 милиона LinkedIn профила, които хакерите пускат за продажба на черния пазар. Инцидентът става причина LinkedIn да предприемат спешни мерки по сигурността и освен смяна на компрометираните пароли, въвеждат двустепенно удостоверяване (two-factor authentication) – опция, която позволява допълнително въвеждане на ПИН код, получен чрез SMS при всяко логване в сайта.

5. Apple iCloud

Няма да сгрешим, ако наречем пробива в Apple iCloud най-скандалния по рода си, защото този път не става дума за някакви си милиони обикновени потребители, а за известни личности. Личните снимки на Дженифър Лорънс и други публични личности, съхранявани в облака, стават достъпни за хакерите. Първоначално се смята, че причината е масово хакване на телефони, но впоследствие се оказва, че е била компрометирана услугата iCloud, използвана от звездите за съхранение на личните им архиви. В отговор на атаката Apple подканва потребителите да сменят паролите си с по-сигурни, както и да активират известия в случай, че се установи съмнителна активност в профилите им.

6. Yahoo

Съвременните уеб гиганти базират услугите си почти изцяло върху облачна инфраструктура. Това включва и Интернет мастодонтът Yahoo, който сам се оказва жертва на киберпробив. На компанията са й нужни близо 3 години, за да се справи с пораженията от атаката, случила се през 2013 г., и едва в края на 2016-а, разкрива детайли за мащаба й. Компрометирани са близо 1 милиард потребителски профила, което включва електронните адреси, имената, рождените дати и тайните отговори на въпросите за възстановяване на парола. Това се счита за най-мащабният киберпробив в историята, което си е сериозен рекорд, особено предвид че месеци преди това, от същата компания изтичат данните на други 500 милиона профила.

В бизнес средите няма съмнение,  че облачните услуги имат както предимства, така и недостатъци. Но изводите от тези мащабни атаки са, че облакът може да разкрие целия си потенциал само, ако сигурността му се развива паралелно с все по-голямата му популярност.

Прочетете повече: Колко безопасни са публичните облаци за съхранение на бизнес информация?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

В последно време се убедихме, че потребителят действително е най-слабото звено в системата на информационна сигурност на една компания. Без значение дали става дума за откуп, фишинг или кражба на лични данни, изглежда, че винаги има намесен служител, който волно или неволно отваря вратите за киберпрестъпниците.

Служителят е най-слабото звено

Хакерите разчитат все повече на обикновените потребители в една система, за да получат нерегламентиран достъп до нея. Скорошно проучване показа, че всяка втора фирма на запад е била жертва на ransomware през последните 12 месеца, а повечето компании са претърпели един или друг киберпробив в системата си. България не е изключение от тази статистика. Да си припомним случая с фалшивия имейл от НАП, съдържащ архивен файл с троянски кон Nemucod, който подканваше потребителите да се запознаят с промени в регламента за подаване на приходни декларации. Разархивиране на прикачения файл на офисен компютър води до задействане на вируса, който от своя страна започва да тегли и инсталира други зловредни кодове, потенциално компрометирайки цялата система.

В повечето случаи в България и в чужбина, грешка от страна на служителя води до създаване и експлоатиране на уязвимости. Но именно фактът, че това се дължи на човешко действие прави тези вид заплахи толкова трудни за преодоляване.

 

Almost half of IT security incidents are caused by company employeeshttps://t.co/LpvclZBqho via @TechRepublic#training #security pic.twitter.com/vwVPeZT2u6

— Pensar (@Pensar_IT) July 18, 2017

Какви действия да предприемем, за да предпазим бизнеса си от човешка грешка?

Най-доброто решение за опазване на корпоративната инфраструктура от човешка грешка е превенцията, а отговорността за взимането на предпазни мерки е в ръководството на компанията.

Първата стъпка е въвеждането на корпоративни политики, които да са част от официалните правила на работа. Текстът трябва да е практичен, лесен за осмисляне и да съдържа най-често срещани случаи. Това ще увеличи шанса за спазване на правилата.

Втората, далеч по-важна стъпка, е инвестицията в трейнинги за информационна сигурност.

„Инвестирайте в трейнинги по информационна сигурност. Статистиката показва, че компаниите, чиито служители са преминали подобно обучение, са 75% по-малко уязвими спрямо останалите“, твърди Марк Брунели от американската фирма за криптирани облачни услуги Carbonite.

Експертът добавя, че това е най-ефективната „първа линия на защита“ срещу потенциална атака.

Третият подход, който препоръчват експертите е показването на съвети за поддържане на информационна хигиена по време на работа, например през push нотификации в Интранет или с имейл-напомняне към всички служители. Колкото по-често се показват тези съвети, толкова по-вероятно е те да бъдат следвани.

Ето пример за 5 простички правила, които всеки служител може да следва:

• Не отговаряйте на подозрителни имейли
• Няма случай, в който някой да има основание да ви поиска информация за потребителско име или парола! Не я давайте!
• Не кликвайте върху подозрителни линкове и банери!
• Ъпдейтвайте софтуера регулярно, включително и антивирусната си програма
• Замислете се дали има основание да предоставяте лична информация, когато ви бъде поискана

Не на последно място по-напредналите мениджъри могат да поискат инсталирането на специални софтуери за превенция на загуба на информация  (Data Loss Prevention [DLP]), които показват предупреждения в рискови случаи като изпращането на вътрешни документи към външни имейл адреси или използването на опасни програми и сайтове по време на работа.

Интегрирането на един или повече от тези подходи в работния процес ще намали значително риска от компрометиране на ключови бизнес процеси.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Последен ъпдейт на 4 декември 2018 в 18:00 ч.

Хакери са откраднали 1.5 терабайта информация от сървърите на американската телевизионна компания HBO, съобщава Wired. Сред компрометираните продукции са неизлъчвани досега епизоди от сериалите Ballers, Insecure, Room 104 и Barry, както и сценария на следващия епизод на култовия сериал Игра на тронове.

Игра на кодове

Ударът е оповестен по имейл до технологични журналисти в САЩ в неделя сутринта от група анонимни хакери. В съобщението се съдържа линк към сайт, на който са качени откраднатите епизоди и сценария на сезон 7, епизод 4 на Игра на тронове.

HBO потвърди атаката във вътрешно съобщение до служители на компанията, но отказва да коментира публично, заради провеждащото се разследване.

„Станахме жертва на кибератака, насочена срещу компанията ни, която доведе до загуба на собственост, включително и на програми“, признава изпълнителният директор на HBO Ричърд Плеплър.

„За жалост проблемът, с който се сблъскваме сега, е част от реалността на света, в който живеем“, допълва Плеплър.

Exclusive: HBO hacked: Upcoming episodes, @GameOfThrones data leaked online in cyber breach https://t.co/FaWjpnHeIR pic.twitter.com/7bfqptuqxv

— James Hibberd (@JamesHibberd) July 31, 2017

Цел: Холивуд

Не е ясно как точно е осъществена атаката, но засега няма данни хакерите да са поискали откуп. Според запознати със случая посегателството над HBO е различно от други подобни атаки в Холивуд, които са станали възможни поради слаба киберзащита, разчитаща на външни програми.

Хакерите твърдят, че са успели да пробият защитата на HBO и да получат достъп до „огромната мрежа на телевизията“. Техният говорител, г-н Смит (подобно на програмата-злодей от „Матрицата“), обещава да разпространи още откраднати продукции и заплашва да направи публични личните данни на стотици служители на телевизионната компания.

„Хакерите обичат да преувеличават нещата“, коментира журналистът Браян Барет от Wired.

Според Барет тази атака няма да навреди твърде много на HBO предвид огромната популярност, с която се ползват филмите и сериалите им.

„Това, което може да нанесе истинска вреда, е финансовата и репутационна стойност, която се съдържа във вътрешната комуникация, до която са получили достъп хакерите“, предупреждава американският журналист.

Как да не станем жертва на хак?

Историята с откраднатата от HBO информация напомня на т.нар. фишинг атака (опит за кражба на лични данни с фалшифициран имейл, съдържащ зловредни линкове или прикачени файлове), която удари български банки през 2015 и 2016 г. Експертите съветват да:

• Гледате, но не кликате. Задръжте мишката върху всеки линк, за да проверите накъде води.
• Анализирате ситуацията. Подвеждащ имейл може да бъде изпратен и от реален адрес. Нещо струва ли ви се подозрително?
• Опитате с фалшива парола. Ако въведете фалшива парола – и все пак страницата, към която води имейла ви позволи да продължите, значи най-вероятно става въпрос за фишинг сайт.
• Внимавате с прикачените файлове. Ако отворите познат прикачен документ (.doc или .pdf), който поиска от вас да разрешите допълнителна функция, най-вероятно става въпрос за файл, който ще се опита да ви зарази със зловреден код.

Повече информация за това как да се предпазите от различни видове злонамерени имейли, вижте тук.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

 

Последен ъпдейт на 28 юни 2018 в 13:51 ч.

Вече всички си дават сметка, че живеем в ерата на ransomware вирусите. Тези зловредните кодове блокират достъпа ни до информация на заразеното устройство, докато не се плати откуп. WannaCry и NoPetya (линк към статията за Petya) ни показаха, че дори и организации, които считаме за непробиваеми, като банки, болници и фармацевтични компании, са почти, ако не и също толкова уязвими на пробив в киберсигурността, колкото и обикновените потребители.

We confirm our company’s computer network was compromised today as part of global hack. Other organizations have also been affected (1 of 2)

— Merck (@Merck) June 27, 2017

Какво е Ransomware и как работи?

През май и юни тази година българска компания за информационна сигурност докладва за заплахите от криптовирусите WannaCry и Petya.

Специалистите обясняват, че вирусът WannaCry засяга само компютри с операционна система Windows, използвайки конкретна уязвимост в нея. Веднъж попаднал на твърдия диск, Ransomware вирусът криптира информацията на компютъра и я „заключва“, докато не бъде платена сумата от 300 щатски долара или еквивалента им в Bitcoin. Западни експерти твърдят, че уязвимостта е била открита от американската агенция за национална сигурност (АНС), която разработва инструменти за нерегламентиран достъп до системата под кодовото название EternalBlue. Хакери от групата Shadow Brokers успяват да откраднат инструментите от американското правителство и дори правят някои от тях безплатни за свои съмишленици.

Според Европол мащабът на заразата с вируса WannaCry е бил главозамайващ. Засегнати са 200 хиляди компютъра в над 150 държави, покосявайки бизнеси, институции и лични устройства. Самият вирус е от типа „червей“. Веднъж засегнал един компютър, червеят се размножава масово на всички останали компютри в мрежата, към която принадлежи първоизточникът. За разлика от повечето зловредни вируси, които засягат един компютър и са резултат на човешко действие като кликване върху линк или отваряне и задействане на файл, червеят не се закача за конкретна програма, разпространява се сам и е много по-заразен. Експертите от Sophos наричат червеите от семейството на Ransomware вирусите „най-страшният сред страшните“.

Как да се предпазим?

• Бъдете внимателни когато получите имейл от неизвестен източник: обръщайте внимание на подателите на имейли. Ако подателят е непознат, подходете консервативно към линкове и файловете в имейла. Най-добре не отговаряйте на имейла и се обърнете към техническо лице за съвет.
• Не отваряйте подозрителни линкове и не стартирайте съмнителни файлове: Често хакерите имитират познати за вас адреси и ви примамват да кликнете върху линкове в тялото на имейла или да свалите и отворите прикачени файлове. Ако тези файлове са с познати за вас имена, но непознати удължения (абревиатурата, която следва точката: .exe, .pdf, .doc), рискът това да е вирус, е голям. Използвайте здравия си разум и не се подавайте на любопитството си.
• Ъпдейтвайте често операционната си система: уверете се, че автоматичната система за ъпдейти на Windows е активирана. Операционната система ще ви информира, че е готова да бъде актуализирана и ще ви предупреди, ако услугата е изключена. Изгубените 10-15 минути в ъпдейт на Windows ще ви спестят часове главоболия.
• Инсталирайте и ъпдейтвайте често антивирусната си програма: уверете се, че имате инсталирана актуализирана антивирусна програма от наложените на пазара компании
• Сканирайте компютъра си и компютрите в локалната мрежа: ако имате и най-малкото съмнение, че може да сте заразен, стартирайте ръчен скан на компютъра си през интерфейса на антивирусната програма.
• Създайте копие на информацията си и я складирайте на външно устройство или в облака: обикновено копиране на най-важната ви информация върху флаш-диск или в облачни услуги като Google Drive и pCloud, е сигурен начин за взимане на превантивни мерки.

Прочетете повече: Как да се защитите от WannaCrypt?

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

 

Последен ъпдейт на 28 юни 2018 в 13:52 ч.

Колко от компаниите, в които сте работили са имали план за действие при кризисни ситуации? Колко от компаниите дори разбират какво означава кризисна ситуация? Пробив в системата е един от най-често срещаните кризисни сценарии, а финансовите и репутационни последствия могат да са катастрофални.

Според скорошно проучване на института Ponemon в Америка сред 419 компании в 16 страни финансовите загуби от пробиви в системата възлизат на 3.94 милиона долара средно. Всяка втора компания съобщава за материални щети вследствие на подобен инцидент, а  последствията за репутацията на организацията са още по-големи: 62%.

Пробивът в Агенция „Пътна инфраструктура“

За съжаление България не е изключена от статистика. През януари, т.г., bTV докладва за пробив в системата, която дава информация за трафика в страната. Личните данни на хората, давали сигнали за проблеми на пътя през приложението LIMA не били защитени, а според тогавашния министър на регионалното развитие Лиляна Павлова, пробивът бил резултат от хакерска атака. В следствие на киберинцидента над 130 души са станали жертва на кражба на лични данни.

Повечето хора възприемат причините за подобни атаки за сложни. Системни уязвимости, лошо написани приложения и 0-day exploits действително водят до пробойни, но най-честите причини за пробив в системата са далеч по-елементарни:

• Слаби пароли или твърде честото използване на еднакви пароли
• Липса на многофакторна автентикация
• Грешни настройки и настройки по подразбиране
• Неактуализирани операционни системи, протоколи, приложения и технологии

Запълването на тези пропуски е първата и най-важна стъпка за предотвратяване на пробив в системата, но ако организацията ви държи да повиши нивото на информационна сигурност, трябва да разширите обхвата.

Какви мерки да вземем срещу пробив в системата?

1. Създайте специализирано звено, което да събира, анализира и оценявана потенциалните заплахи за информационната ви сигурност. Уверете се, че в екипа има както компетентни технически лица, така и ключови мениджъри
2. Вземете превантивни мерки за оценка на потенциалните уязвимости, като провеждате тестове за проникване в собствената си система.
3. Използвайте софтуер за генериране и съхранение на данни за достъп
   Облачни услуги като LastPass и локални приложения като KeePass са криптирани хранилища за пароли с няколко нива на защита. Те могат както да съхраняват, така и да генерират пароли за достъп.
4. Проучете и научете възможно най–много за използваните от вас софтуери, хардуери и технологии. Запознайте се и приложете добрите практики за конфигурация, тестване и експлоатиране. Това би могло да реши и други проблеми.
5. Внедрете механизми за известяване при налични актуализации и изгответе политика за прилагането им.

Някои от тези стъпки ще ви се сторят сложни за имплементиране, но дори едно действие е по-добро от нищо. Започнете с най-лесното за вашата организация и се опитайте да надграждате постепенно.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.