Дълго чаканите празнични намаления започват: Клиентите ще купят изгодно подаръци за близките си, търговците ще навъртят оборотите, които чакат цяла година, а хакерите… ще откраднат колкото могат повече и от едните и от другите. След като това ни е пределно ясно, най-логично е да положим нужното внимание и мерки, за да посрещнем Новата година щастливи, а не ощетени и разочаровани.
Колкото повече онлайн покупки, толкова повече възможности за хакерите
Търговците на дребно, които бяха сериозно ударени от пандемията, ще се възползват от празничната еуфория, като изпратят още повече имейли с отстъпки и оферти, отколкото през 2019 г. – те лесно могат да бъдат подправени, за подмамят потребителите. Внимавайте: оферта, която е твърде добра, за да е истина най-вероятно е поредният опит за измама!
Потребителите пазаруват повече онлайн, отколкото преди COVID-19, за да останат в безопасност по домовете си. Това води до увеличаване броя на потенциалните жертви на измами, фишинг атаки и други злонамерени дейности.
Киберпрестъпниците са напълно наясно колко пари биха могли да откраднат от нетърпеливите онлайн купувачи, търсещи ниски цени. Милиардите, похарчени от потребителите по целия свят, са стимул за хакерите, по-силен и по-опасен от всяко друго време през годината.
Фишингът си остава най-популярната кукичка за клиенти
Винаги проверявайте внимателно адресите, от които получавате имейли: задръжте курсора на мишката върху адреса (без да кликате) и проверете дали се визуализира името на подател, който познавате и очаквате. Използвайте публично достъпни инструменти за проверка дали даден файл или сайт не е злонамерен (напр. https://www.virustotal.com/gui/). В краен случай, винаги можете да се свържете с търговец чрез уебсайта му, за да проверите дали имейлът, който сте получили от него, е истински. Пазете се също и от телефонни измами и фалшиви виртуални събития.
Пазарувайте предпазливо
Никой не е безгрешен, особено под еуфорията за предстоящите празници. С колкото повече правила се съобразявате, толкова по-малка ще бъде вероятността нещо да развали празника ви:
Пазарувайте от проверени магазини
Проверявайте отзивите на останалите клиенти
Не изпращайте пари на непознати
Проверявайте защитата на плащанията, която онлайн магазина прилага
Използвайте кредитни карти за плащане, защото те са застраховани
Никога не изпращайте данните от картата си по и-мейл
Не споделяйте детайли от платежната си карта ако няма да пазарувате
Уверете се, че сайтовете, от които пазаруване са защитени (HTTPS, SSL)
Пазете всички документи, свързани с онлайн покупката ви
Е-търговци, #SellSafe – информирайте се и споделяйте
2020 е годината на онлайн търговията, вероятно тенденцията ще продължи. Затова е логично да отделим специално внимание на уязвимостта на продавачите през дните на голямото предпразнично пазаруване. #SellSafe е кампания, насочена специално към електронните търговци. Тя цели да им помогне да идентифицират по-добре измамите, насочени към техните платформи и да предприемат стъпки за защита на бизнеса и клиентите си срещу кибератаки. Провежда под шапката на 2020 e-Commerce Action, като обединява усилията на правоприлагащите органи от 16 европейски държави и Европейския център за киберпрестъпност на Европол (EC3). Замисълът на кампанията е, както организаторите, така и търговците да споделят послания и информация за инциденти, използвайки #SellSafe, за да достигнат до възможно най-широката аудитория.
В началото на тази кампания редица държави са извършили оперативни действия, довели до ареста на 22 онлайн измамника само през октомври 2020 г.
Как да защитите вашия е-бизнес
Собственици на електронни магазини, проверете дали сте предприели следните мерки:
Правете регулярни одити на сигурността на сайта или платформата си: Професионална фирма за киберсигурност ще открие уязвимостите и ще ви помогне да ги отстраните
Познавайте клиентите си: Изградете си механизъм за проверка, който да ви гарантира, че изпращате закупената стока точно на лицето, което е платило за нея
Осигурете защитен канал за плащане: Активирайте безопасна система за плащане, която задължава клиентите да сертифицират, че те правят поръчката
Използвайте надежден доставчик: Изберете надежден доставчик или метод за доставяне на стоките, които продавате. Освен, че ще гарантира успешното финализиране на сделката, това ще предотврати и потенциални рекламации
На финала ще повторим: И тази година хакерите ще положат максимални усилия да се възползват от колкото е възможно повече участници в онлайн пазаруването. Методите им няма да са уникални – просто ще разчитат на вашето невнимание или прибързаност. Не им предоставяйте тази възможност – запазете празника за себе си и за своите близки.
Както всеки администратор знае, хаковете са навсякъде около нас и постоянно еволюират. С една-единствена цел – да ни затруднят да ги разпознаем и класифицираме и да оцелеят възможно най-дълго в нашата компютърна екосистема.
Всяка кибератака представлява комплексен низ от стъпки, събития и действия, които трябва да се изпълнят последователно, за да бъде тя успешна. Ако администраторите познават основните фази, през които преминава изпълнението на една кибератака, те ще могат да я разпознаят в някой от етапите на протичането й и да я предотвратят.
Първа фаза: Разузнаване
Атакуващият има нужда от максимум информация за жертвата си, за да планира правилно атаката. В тази фаза се тестват и изследват механизмите за защита на жертвата. Хакерът обикновено търси уязвимо устройство или уязвима операционна система. Опитва се да научи максимално много за служителите, използвайки социални медии. Понякога дори използва партньори с по-слаба защита, които могат да бъдат компрометирани лесно, като точка за достъп до основната жертва.
Противодействие:
Не публикувайте твърде много информация в интернет и по възможност редактирайте или отстранете т.нар. банери на сървърите, които използвате. Те указват точната версия, която се използва и по този начин дават на атакуващия предимство в търсенето на уязвими места.
Обучавайте служителите си да не споделят прекомерно и ненужно в социалните мрежи
Проверявайте внимателно дали получените съобщения идват наистина от ваши партньори и дали прикачената информация не е измама
Втора фаза: Подготовка за атака (въоръжаване)
След като открият уязвимост в инфраструктурата на набелязаната жертва, атакуващите подготвят приложения, с които да я експлоатират, като се стремят да останат незабелязани. Повечето киберпрестъпници използват инструменти, които вече са известни и са използвани и в миналото. Ако такива обаче липсват, по всяка вероятност атакуващите ще се въоръжат с т.нар. Zero-Day експлойт, срещу който все още няма подготвени дефиниции или кръпки.
Противодействие:
Създайте във вашата организация политики и процедури за информационна сигурност, за да повишите нивото си на защита или се обърнете към специалисти, които да го направят за вас
След като се „въоръжи“, престъпникът трябва да намери механизъм, с който да достави пейлоуда (файлът, който изтегля същинския зловреден код). Това става най-често чрез фишинг имейли, а също и през инфектирани уеб сайтове, фалшиви реклами и др. Атакуващият се нуждае само от една слабост – един служител, който да натисне грешния линк или да отвори неправилният файл.
Противодействие:
Използвайте технически средства, с които да отсеете масовката от спам и фишинг
Провеждайте адекватни и регулярни обучения за персонала ви, за да могат те да разпознават фишинг атаки, както и други заплахи
Използвайте услуги или системи за мониторинг, които биха ви подсказали за нетипично поведение в мрежата или крайните станции.
След като пейлоудът е доставен успешно, той трябва да бъде изпълнен незабелязано. Повечето атаки се фокусират върху приложения от трети страни, които работят с по-високи права върху операционната система. В повечето случаи тези приложения не се ъпдейтват често и почти не се тестват за уязвимости, затова стават лесна мишена и входна врата към превземането на системата.
Противодействие:
Подбирайте внимателно и не се предоверявайте на приложения от трети страни
Прилагайте навреме и редовно наличните кръпки в операционната система и съпътстващите приложения
Използвайте защита на крайните станции от доказал се разработчик
Наблюдавайте действията на потребителите за нетипично поведение или изпълнение на съмнителен код върху системата, а при невъзможност да се справите сами, изнесете тази задача като услуга
След като експлойта е доставен и изпълнен успешно, той започва да комуникира със сървър на нападателя. В повечето случаи тази комуникация бива криптирана, за да остане трафикът скрит. Целта на атакуващия е да бъдат свалени допълнителен зловреден код и инструменти, които да проникнат и компрометират мрежата на жертвата.
Противодействие:
Използвайте добри технологични решения, които бързо и точно да идентифицират злонамерения софтуер в системата
Наблюдавайте мрежата си за съмнителен трафик и поведение
Шеста фаза: Вътрешно разузнаване
След като си осигури входна точка за достъп до инфраструктурата на организацията-жертва, атакуващият търси начини за движение по-навътре, за да си изгради топология на мрежата и да открие търсената информация. За целта той инфектира и други устройства – сървъри, домейни, крайни станции и дори IoT устройства.
Противодействие:
Използвайте технологични решения, които да анализират съдържанието на мрежовия ви трафик и да защитават от мрежови атаки
Използвайте силни пароли. Препоръчително е също да добавите MFA за всички администратори и за достъп до важните активи.
Седма фаза: Присъствие
Заветната цел на всеки атакуващ е да придобие контрол върху системата на жертвата или поне част от нея. След като това се случи, атакуващият прилага техники, с които запазва присъствието си върху машината, така че да може да я достъпи отново във всеки един момент. В повечето случаи се цели това присъствие да бъде запазено дори и ако системата бъде преинсталирана (за справка: UEFI Malware) или се направи опит да бъде почистена чрез антивирусни приложения.
Противодействие:
Създавайте редовно резервни копия на важната за вас информация
Ако системата не е с голяма критичност – преинсталирайте я. Това е почти най-сигурния начин да елиминирате зловредния код.
Заключение
Компрометирането на една система или организация не е лесна задача, но както специалистите по информационна сигурност обичат да казват „100% сигурност няма“. При всички положения обаче разликата от 1% в защитата ви може да бъде критична и вие винаги трябва да бъдете максимално добре подготвени. Затова бихме ви посъветвали да се ориентирате към адаптирането на стандарт и добри практики за информационна сигурност. По този начин ще сте сигурни че няма да пропуснете важни стъпки и подходи при интегрирането и поддръжката на система за киберсигурност.
Разработката на мобилни и уеб app-ове преживява безпрецедентен растеж от 2010 г. насам. Днес всяка организация използва приложения, които са от ключово значение за функционирането й. Същевременно, техните слабости и уязвимостите на софтуера продължават да бъдат най-често срещания метод за външна атака.
Какво е сигурност на приложенията и защо тя е важна
Application Security е процесът на повишаване сигурността на приложенията чрез тестване, коригиране и подобряване на тяхната защита. Той се извършва предимно през фазата на разработка, но включва също инструменти и методи за защита на приложенията, след като те бъдат внедрени.
В доклад са представени резултатите от тестването на 85 хил. приложения: Установени са общо 10 млн. проблема със защитата. 83% от всички апликации са имали поне един недостатък в сигурността. Това означава, че много от тестваните софтуери са имали доста повече от един недостатък. 20% от всички разглеждани приложения са имали поне един проблем със сигурността с висока степен на сериозност.
Днес приложенията се създават, внедряват и интегрират ежедневно, понякога за часове. Често липсва внимателно прецизиране на изискванията, създаване и тестване на прототипи – директно се доставя завършено решение за крайните потребители. Какви са недостатъците води след себе си този бум:
Все повече програмисти–аматьори: Все повече самоуки начинаещи програмисти пишат мобилни приложения. Често на тях им липсват знания относно потенциалните проблемите със сигурността. За съжаление, подобни пропуски се откриват и при някои по-опитни екипи за разработка на приложения.
Неефективна употреба на инструменти: Програмистите често не успяват да тестват сигурността на разработваните от тях приложения по най-оптималния начин, тъй като смятат, че това ще забави процеса по разработване.
Липса на DevSecOps: Често софтуерът не се разработва по установените най-добри практики за сигурност. Пренебрегва се DevSecOps процеса (подхода“shift-left”), който е жизненоважен за откриването и отстраняването на проблемите със сигурността на възможно най-ранен етап.
Уязвимости, свързани с open-source източници: Изчислено е, че 96% от корпоративните приложения използват open-source софтуер и библиотеки, които сами по себе си съдържат голям брой уязвимости.
Непознаване на използваните приложения: Ако горните пропуски са присъщи на разработчиците, то този касае конкретно потребителите. Те трябва да са наясно с наличните приложения и свързаните с тях функционални рискове. Много организации биват хаквани през app, за чието наличие не са подозирали.
Разработчици, положете добрите основи за защита на приложенията
Имплементирайте DevSecOps подход.DevSecOps (shift-left) открива пропуски в сигурността на разработваните приложения още от самото начало. Чрез него може да предотвратите потенциалното възникване на проблеми или да ги разрешите възможно най-бързо ако такива се появят. Този метод позволява да засечете слабостите в сигурността по време на всеки етап от развитието на софтуера – от дизайна до пускането му на пазара.
Имплементирайте процес за управление на жизнения цикъл на разработвания софтуер от гледна точка на сигурността (Secure Software Development Life Cycle Management Process – SSDLC). SSDLC следи дали във всеки един етап софтуерът: 1) се разработва и поддържа от обучени и запознати с изискванията за сигурност служители, 2) се разработва в сигурна среда, 3) се доставя до клиентите сигурно.
Справете се с open-source уязвимостите. Следете постоянно за наличие на грешки и ги елиминирайте посредством прилагане на навременен patch и регулярни ъпдейти.
Aвтоматизирайте. Това е жизненоважно. Автоматизирането ще позволи на екипа ви да се съсредоточи върху по-сложните предизвикателства за сигурността.
Посещавайте редовни обучения по киберсигурност. Подсигуряването на кода на приложението е ваша отговорност. Затова е важно вие и екипът ви да бъдете обучени от специалисти по киберсигурност – съгласно спецификите на вашата работа и роля.
Регулярно обновявайте и прилагайте пачове. Това е един от най-ефективните начини да подсигурите софтуера си. Важна точка от този процес е планирането на самото обновяване – кой, какво и кога да направи. Предварителното дефиниране на подходящата архитектура ще предотврати проблеми, свързани с евентуална несъвместимост на приложенията с новите версии.
Криптирайте информацията. Най-базовото криптиране е това, което използва SSL с валиден сертификат. Недопустимо е чувствителна информация като лични данни и пароли да се съхранява некриптирана, тъй като при една man-in-the-middle атака тя би попаднала незащитена в ръцете на недоброжелатели.
Провеждайте Pentesting. Pentester-ът ще се опита да хакне приложението с цел да открие уязвимости и потенциални вектори на атака. След това ще помогне за разрешаване на идентифицираните проблеми, за да предпази приложението от истинска атака. Добра практика е човекът, който ще извършва pentesting, да е външен експерт, който не е участвал в създаването на самото приложение.
Заложете валидиране на входните данни. Данните, които потребителят ще въвежда в приложението трябва да бъдат синтактично и семантично правилни. Предвидете нужните проверки на въвежданите цифри, символи, знаци и др.
Разрешавайте проблемите дългосрочно. Някои видове уязвимости се повтарят във времето (cross-site scripting (XSS), SQL injection, buffer overflow). Вместо да правите частична кръпка на проблема (patch), изкоренете уязвимостта в дългосрочен план: Определете кои са местата във вашето приложение, на които могат да се наблюдават тези уязвимости и елиминирайте причината за наличието им.
Управлявайте правилно контейнерите. Уверете се, че вашите контейнерни изображения са подписани цифрово. Стартирайте автоматично сканиране за уязвимости с отворен код.
Потребители, погрижете се за сигурното използване приложенията
13. Познавайте съдържанието. Идентифицирайтe и разпознавайтe функционалностите на приложенията, които използвате.Не може да защитите от нещо, за което не знаете, че съществува.
14. Оценете риска от гледна точка на атакуващия. Може да си помогнете със следните стъпки:
Създайте списък на всички активи, които изискват защита
Идентифицирайте заплахите и определете как те да бъдат изолирани и премахнати
Идентифицирайте вектори на атака, през които приложението може да бъде компрометирано
Уверете се, че правилните мерки за сигурност са приложени и могат да засекат и предотвратят потенциални атаки
Преценете дали има нужда от допълнителни или различни инструменти за защита
Ако не можете да се справите сами, обърнете се към външен специалист по информационна сигурност
15. Ограничете достъпа до приложението.
Определете кой потребител от какъв достъп има нужда
Създайте правила за достъп
Добра практика е прилагането на принципа на най-необходимия достъп (least privilege access)
В заключение
Application Security е процес, който се провежда, както от разработчици, така и от ползватели и външни специалисти. От планиране, реализиране, проверка за уязвимости и закърпване на дупките до сигурното използване на приложенията и ограничаване на достъпа до тях.
При инцидент, свързан с изтичане на данни, криптирани сървъри или друго, неприятностите са за всички.
Обезпечаването на сигурността става много по-лесно, когато всички участници се стремят към обща цел, а не прехвърлят собствената си отговорност на другите.
Визуализацията (краткият предварителен преглед) на линковете, които си разменяме през чат приложенията, е много удобна функционалност. Тя съдържа картинка и кратък текст, които ни насочват какво е прикаченото съдържание. Оказва се обаче, че това улеснение може да доведе до сериозни нарушения на поверителността и сигурността ви.
Как е възможно една обикновена функция да се превърне в заплаха
За да създаде подходяща визуализация, чат приложението трябва да посети връзката, да отвори файла там и да проучи какво има в него. В резултат на това, изпращането/получаването на линкове в някои чат приложения може да отвори вратички, които недоброжелатели да използват.
Instagram сървърите например изтеглят всеки един директен линк, който се изпраща в съобщение, независимо от големината му. Това означава, че хакерите спокойно могат да инжектират Java script в сървърите на Инстаграм.
Визуализацията на линковете е внедрена в най-популярните приложения за чат на iOS и Android. Кликайки върху нея може да се окаже, че давате достъп до IP адреси, излагате връзки, споделени в криптираните от край до край чатове или изтегляте значителен обем ненужна информация.
Как чат приложенията генерират визуализация на линковете
Използват се следните различни подходи:
Не се генерира визуализация
Най-добрият вариант е да се откажете от прегледа на линкове. Оставете линкът, така както ви е изпратен, така че приложението да не го отваря, без да сте го посетили. Малко от приложенията обаче предлагат тази опция: Signal, Threema, TikTok, WeChat.
Подателят генерира визуализацията на линка
При изпратен линк, приложението изтегля данните, генерира кратък преглед на страницата и го изпраща, прикачен към линка. Получателят има възможност бързо да погледне за какво става дума, без да е нужно да посещава линка – това го защитава от злонамерени съобщения. Така работят iMessage, Signal, Viber, WhatsApp.
Получателят генерира визуализацията на линка
В този случай приложението автоматично отваря всеки получен линк, за да създаде кратък преглед. Това се случва без дори да кликате върху линка – достатъчно е само да отворите чата. Защо това е най-лошият вариант и не се използва от популярните приложения? Подобно на уеб браузърите, чат приложенията посещават адреса (линка) и зареждат съдържанието чрез GET заявка. В нея включват IP адреса на телефона, за да знае сървърът къде да изпрати данните обратно. Това би било от полза за вас ако планирате да отворите линка. Но ако някой иска да узнае къде се намирате?
Сървър генерира визуализацията
Това означава, че когато изпратите линк, той отива във външен сървър, който генерира визуализацията и я изпраща обратно на получателя и/или подателя. На пръв поглед този вариант изглежда по-приемлив от предходния. Но не и когато изпращате лични данни, а сървърът им направи копие, за да генерира визуализация.
Тук възниква и въпросът: Запазва ли сървърът тези данни? Ако отговорът е ДА, то за колко време и какво друго прави той с тях?
Приложенията, които работят по този начин са Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom
Какви са рисковете и последиците за поверителността
Създаване на неразрешени копия на лична информация
Споделените в чатовете линкове към документи могат да съдържат лична информация, предназначена само за получателите. Това могат да бъдат сметки, договори, медицински досиета или друга поверителна информация. Приложенията, които разчитат на сървъри за генериране на визуализации на линкове, могат да нарушават поверителността на своите потребители, като изпращат линковете, споделени в личен чат на своите сървъри. Въпреки че приложението се доверява на тези сървъри, не е сигурно какво точно изтеглят те. В държавите от ЕС действа Общ регламент за защита на личните данни (GDPR), който налага ограничения относно събирането, обработката и съхранението на лични данни.
Изтегляне на голямо количество информация
Повечето чат приложения, които разчитат на сървъри за генериране на визуализации на линковете, слагат ограничение на изтегляните данни. Причината за това е, че изтеглянето на твърде голям обем данни може да запълни капацитета на сървъра и да причини прекъсвания на услугите. Има приложения обаче – Facebook Messenger и Instagram – чиито сървъри могат да изтеглят дори много големи файлове (gigabytes).
Сриване на приложения и източване на батерията
Този проблем възниква при чат-приложенията, които не ползват сървъри за генериране на визуализация на линкове и когато приложението не е ограничило данните, които да се изтеглят. Негативният резултат ще е за вас: изтощена батерия и изразходвани данни. Това също може да доведе до непредвидено изчерпване на системни ресурси.
Разкриване на IP адреси
За да отвори връзка, телефонът ви трябва да комуникира със сървъра, към който сочи линка. Това означава, че сървърът ще знае IP адреса на вашия телефон, което може да разкрие приблизителното ви местоположение. Обикновено това не би представлявало голям проблем, ако можете да избегнете отварянето на връзки, които смятате за злонамерени. Но може ли да сте сигурни в това?
Изтичане на криптирани връзки
Някои приложения за чат криптират съобщенията от край до край. Това означава, че само подателят и получателят да ги прочетат. В такъв случай опцията за отваряне на визуализация от сървър трябва да е невъзможна. Но при някои приложения това не е така, например LINE.
Изпълнение на потенциално злонамерен код върху сървърите за визуализация на линкове
Понастоящем повечето уебсайтове съдържат код на Javascript, за да ги бъдат по-интерактивни. Такива са и рекламите, които ни облъчват. Когато генерирате визуализации на линкове е добре да избягвате изпълнението на какъвто и да е код от тези уебсайтове. Никога не трябва да се доверявате напълно на линкове, които получавате в чата, още повече – от непознат.
Чат приложенията не изчерпват списъка
Чат приложенията не са единствените, които генерират визуализация на линкове. Много приложения за електронната поща, бизнес приложения, приложения за запознанства, игри с вграден чат и др. могат да генерират визуализации на линкове по начин, който да окаже негативно влияние върху сигурността и поверителността ви.
Повече информация по темата може да прочетете в това проучване.
Ефективният план за реакция в случай на Ransomware атака прави разликата между предприемането на правилни действия и изпадането в паника. Точно планът би предопределил изхода от инцидента: уловена и овладяна навреме атака или широко-разпространена инфекция, а още по-важно – бързо възстановяване от инцидент или окончателно прекратяване на бизнеса.
Липсата на подготовка е подготовка за провал
Как да реагираме при Ransomware атака
Ако превантивните мерки не са се оказали достатъчни и организацията ви е станала жертва на криптовирус, трябва да предприемете следните стъпки веднага след идентифициране на инцидента:
1. Изолирайте
Изолацията на засегнатите системи трябва да се счита за основен приоритет при Ransomware атака. Една от основните функции на зловредния код е сканиране на мрежата на жертвата. След това той криптира споделените файлове и разпространява атаката по мрежата във всички системи на организацията. Поради това е необходимо заразените системи да бъдат изолирани от мрежата възможно най-скоро. Така ще бъде овладяна инфекцията и предотвратено нейното разпространяване.
2. Защитете архивите си
Въпреки, че резервните копия играят главна роля в отстраняването и възстановяването от атаки, е важно да запомните, че те не са имунизирани срещу Ransomware. За да осуетят възстановяването, много от съвременните Ransomware щамове са насочени именно към архивите на компанията и ще се опитат да ги криптират, заменят или изтрият.
В случаите на Ransomware атака, организациите трябва да подсигурят своите резервни копия, като временно изключат хранилището от мрежата или ограничат достъпа до него, докато инфекцията не бъде овладяна. Повече информация на тази тема може да прочетете тук.
3. Деактивирайте задачите за поддръжка
Незабавно деактивирайте зададени задачи за автоматизация и поддръжка на засегнатите системи, като временно изтриване на файлове и ротация на логове. Ако са активни, те биха могли да попречат на работата на екипите, които разследват инцидента.
Например файловите логове могат да съдържат ценна информация относно първоначалната точка на заразяване. Във временните файлове пък някои лошо програмирани варианти на Ransomeware биха могли да съхранят важна информация, като напр. ключовете за криптиране.
4. Създайте резервни копия на заразените системи
Има две основни причини, поради които трябва да създадете резервни копия или изображения на заразените системи, след като ги изолирате от мрежата:
Предпазвате се от загубата на данни
Някои Ransomeware декриптори съдържат грешки, които могат да повредят данните. Например, за декриптора Ryuk, от семейство Ransomeware, беше известно, че съкращава файлове, като ефективно отрязва по един байт от всеки файл по време на декриптиращия процес. Въпреки че това не представлява съществен проблем при някои файлови формати, то при други типове – като виртуални дискове за съхранение, като VHD / VHDX, както и много от файловете с бази данни на Oracle и MySQL – важната информация бива съхранявана именно в последния байт, излагайки файловете на риск от повреда след декриптиране.
Наличието на резервно копие на заразените системи гарантира целостта на данните. Ако нещо се обърка по време на декриптиращия процес, жертвите могат да възстановят своите системи до нивото на инфекцията и отново да се опитат да повторят декриптирането. Препоръчително е да се консултирате със специалисти, за да използвате правилното решение за декриптиране.
Възможно е безплатно декриптиране в бъдеще
Ако криптираните данни не са от решаващо значение за ежедневните операции на организацията ви и не е необходимо тяхното спешно възстановяване, то те трябва да бъдат архивирани и добре съхранени. Има вероятност в бъдеще те да могат да бъдат декриптирани.
Съществуват случаи, при които правоприлагащите органи улавят авторите на Ransomware атаки и използваните от тях C&C сървъри за съхранение на декриптиращи ключове. Това позволява на жертвите да възстановят данните си безплатно. В допълнение, част от Ransomware групите – Shade, TeslaCrypt, CrySis и др. – по свое желание обявиха публично своите декриптиращи ключове след прекратяване на операциите си.
5. Карантинирайте злонамерения софтуер
Жертвите никога не трябва да премахват, изтриват, преформатират или преинсталират заразените системи, освен ако не са изрично инструктирани от специалист да го направят. Вместо това, зловредният софтуер трябва да бъде поставен под карантина. Това ще позволи на следователите да анализират инфекцията и да идентифицират точния Ransomware щам, отговорен за криптирането на файлове. Премахването на цялата инфекция преди тя да бъде анализирана би създало затруднения за специалистите в опита им да открият конкретната Ransomware проба, причинила атаката.
Ако зловредният софтуер е все още в процес, е необходимо да се направят записи на всичко протичащо в RAM паметта. По този начин ще се създаде пълен лог на всички настъпили злонамерени процеси, преди Ransomware щамът да бъде поставен под карантина. Тези записи могат да съдържат ключовия материал, използван при криптирането на файловете. Той евентуално би могъл да бъде извлечен и използван от жертвите, помагайки им да декриптират засегнатата информация, без да плащат откупа.
6. Идентифицирайте и изследвайте нулевия пациент
Идентифицирането на нулевия пациент т.е. източникът на инфекцията е от решаващо значение. Това ще даде ясна представа как нападателите са получили достъп до системата, какви други действия са предприели, докато са били в мрежата и каква е степента на заразата. Откриването на източника на инфекцията е полезно не само за разрешаване на текущия инцидент. То може да помогне на организациите да се справят с уязвимостите и да намалят риска от евентуални инциденти в бъдеще.
Идентифицирането на източника на инфекцията може да бъде изключително предизвикателство. В много случаи извършителите на атаката са били в системата седмици или дори месеци преди да внедрят изпълнимия файл на Ransomware. Препоръчва се компании, които не разполагат с нужните ресурси или опитни служители за извършване на разследване и задълбочен анализ, да обмислят възможността да се обърнат за съдействие към компании занимаващи се професионално с такава дейност.
7. Идентифицирайте щама на Ransomware
Можете да използвате безплатни услуги за да определите от кой щам Ransomware сте били засегнати. Такива са онлайн инструмента за идентификация на Ransomware на Emsisoft или ID Ransomware,
Тези инструменти позволяват да качите информация – бележка за откуп, примерен криптиран файл, контактите на нападателя. Чрез анализ на данните може да се идентифицира кой точно е щамът на криптовируса, засегнал системата ви. Потребителите, също така, могат да бъдат насочени към безплатен инструмент, с който да декриптират информацията си, ако има наличен такъв.
8. Решете дали да платите откупа
Ако архивите ви са повредени и няма наличен безплатен инструмент за тяхното декриптиране, може да се изкушите да платите откуп, за да възстановите файловете си.
Това не бива да бъде решение, което трябва да се вземе с лека ръка. Плащането на откупа може да намали периода на прекъсване на бизнеса ви. Сумата му може да е по-малка като стойност в сравнение с общите разходи/загуби, които компанията ви ще направи за времето в което е била в евентуален застой поради атаката. Все пак, плащането на откуп трябва да бъде последна опция, налична само ако всички други възможности са изчерпани и има опасност загубата на данни да доведе до прекратяване на дейността завинаги.
Съществува вероятност (в една 1 от 20 Ransomware атаки) хакерите да вземат парите, но да не предоставят декриптиращи ключове на своите жертви. Най-общо казано, по-големите „професионалисти“ сред Ransomware групите са по-склонни да осигурят работещ декриптор, за разлика от по-малките (Dharma и Phobos). Независимо обаче кой стои зад атаката, жертвата може да разчита само на думата на хакера. А никога няма гаранция, че престъпниците ще удържат на думата си.
Предоставеният от нападателя декриптиращ ключ може да не работи правилно;
Заплатените откупи може да бъдат използвани за финансиране на сериозна престъпна дейност, включително трафик на хора и тероризъм;
Плащането на откупа обосновава бизнес модела на Ransomware и мотивира престъпниците да извършват нови атаки.
Какво да НЕ правите по време на Ransomware атака
Неправилното обработване на Ransomware инциденти би възпрепятствало усилията за възстановяване: би изложило на риск данните ви и би довело до ненужно изплащане на откуп. По време на Ransomware атака трябва да избягвате следните грешки:
1. НЕ рестартирайте засегнати устройства
Много Ransomware щамове разпознават опитите за рестартиране на системата и наказват жертвите, като повреждат Windows инсталацията на устройството. Така системата никога повече не може да стартира, а други щамове може да започнат да изтриват на случаен принцип криптираните файлове на жертвата. Скандалният Jigsaw Ransomware, нашумял през 2016 г., произволно изтрива 1000 криптирани файла всеки път, когато заразеното устройство се рестартира.
Рестартирането би могло да затрудни и разследващите екипи. Когато системата се рестартира, самият процес изчиства паметта на машината, която, както беше отбелязано по-рано, може да съдържа улики, полезни за следователите. Вместо това, засегнатите системи трябва да бъдат поставени в хибернация, която записва всички данни от RAM паметта в референтен файл намиращ се в паметта за съхранение на устройството, позволявайки анализирането им в бъдеще.
2. НЕ свързвайте външни устройства за съхранение към заразени системи
Много Ransomware семейства са целенасочени главно към устройства за съхранение и системи за бекъп. Поради тази причина, външните устройства за съхранение и системите за архивиране не трябва да бъдат свързани (физически или чрез мрежов достъп) към заразени системи, докато не сте напълно уверени, че инфекцията е овладяна и премахната.
За съжаление, не винаги е видимо дали Ransomware все още е в системата и работи. Има много случаи, в които организациите започват процес по възстановяване, без да осъзнават, че Ransomware все още присъства в тяхната система. В резултат на това той отново криптира резервните копия и устройства за съхранение.
3. НЕ плащайте откупа веднага
Въпреки плашещите факти, че временното спиране на работа би могло да доведе до потенциална загуба на репутация, организациите не трябва да плащат поискания откуп веднага. Винаги има други възможности и те трябва да бъдат проучени изцяло, преди да се прибегне до тази крайна мярка.
4. НЕ комуникирайте в засегнатата мрежа
По време на възстановяването следва да имате предвид, че нападателите все още имат достъп до компрометираната ви мрежа. Следователно те могат да могат да прихващат всякакви съобщения, изпратени и получени по нея. Необходимо е да си осигурите защитени комуникационни канали извън обхвата на засегнатата мрежа и да забраните комуникациите в нея, докато отстраняването на нарушителите не завърши.
5. НЕ изтривайте файлове
Не трябва да изтривате файловете от криптираните системи, освен ако специалистът по възстановяване от атаки не ви е посъветвал да го направите. Не само криптираните файлове са полезни за разследването, но и факта, че някои Ransomware семейства съхраняват ключове, използвани за криптирането им в самите тях. Ако файловете бъдат изтрити, декрипторът няма да работи.
Също така не трябва да изтривате съобщенията за искане на откуп. Някои хакери (DoppelPaymer, BitPaymer), създават съобщение за откуп за всеки файл, който криптират – точно в него се съдържа кодирания и криптиран ключ, необходим за декриптиране. Ако съобщението бъде изтрито, съответният файл няма да може да бъде възстановен.
6. НЕ вярвайте на Ransomware авторите
Въпреки, че все повече се опитват да показват професионализъм, авторите на Ransomeware са престъпници. Като такива, те не се считат задължени да спазват споразумения или етичен кодекс. Не трябва да вярвате на каквато и да е информация, предоставена от групи за искане на подкуп, вкл. и на написаното в искането за откуп. Най-вече не трябва да се доверявате, че плащането на откупа ще доведе до възстановяване на криптираните данни.
Винаги използвайте сигурни услуги/инструменти за идентификация на Ransomware (Emsisoft и ID Ransomware) за идентифициране на щамовете на инфекцията. Не забравяйте, че съществува риск да не получите декриптора от нападателите след заплащане на поискания откуп. Също е възможно предоставените инструменти за декриптиране да са дефектни и/или потенциално да повредят криптираните данни.
Как да намалим риска да станем жертви на Ransomware атака
Предприемането на проактивен подход към сигурността помогне за намаляване на риска от инцидент с Ransomware. Независимо от размера на организациите, те трябва да внедряват, прилагат и редовно тестват следните превантивни мерки:
Хигиена на автентикиране: Практикуването на добра хигиена за автентикиране може да предотврати кражбата на идентификационни данни (пароли) с цел получаване на неоторизиран достъп до мрежата.
Принцип на least privilege: Всяка организация трябва да се придържа към принципа на най-необходимия достъп. Това е концепция за сигурност, при която на потребителите, програмите и процесите се дава минималния достъп, необходим за изпълнение на техните задачи.
Обучение на служители: Тъй много често точно служителите са подмамени да отворят прикачен файл или линк, който разпространява Ransomware инфекцията, компаниите трябва да извършват редовни обучения по киберсигурност. Акцентът следва да бъде върху фишинг, злонамерени файлове, прикачени към имейл и други похвати за социално инженерство.
Многофакторно удостоверяване (MFA): MFA трябва да стане задължително, когато е възможно, за да се намали рискът от неоторизиран достъп.
Преглед на Активна директория: Редовно преглеждайте активните си директории за наличие на съществуващи „задни врати“ (backdoor), отворени за атаки. Такива са напр. компрометираните потребителски акаунти, често с административен достъп. Те са популярна цел за нападателите, които искат да получат идентификационни данни.
Сегментиране на мрежата: Ефективното мрежово сегментиране е от решаващо значение за овладяване на инциденти и минимизиране на прекъсванията за по-широкия бизнес.
Осигуряване на защитен отдалечен достъп: Тъй като RDP е изключително популярен вектор за атака, организациите трябва да предприемат стъпки за осигуряване на защитен отдалечен достъп (или да го деактивират, ако не се изисква). Отдалеченият достъп трябва да бъде достъпен само чрез определени мрежи или VPN с активиран MFA и ограничен само за потребители, които го изискват за своята работа.
Избягвайте BYOD: Внедряването и стриктното прилагане на протоколи за сигурност върху личните устройства на служителите е изключително предизвикателство. Препоръчва се компаниите да предоставят специални устройства и хардуер на своите служители и да забранят използването на лични устройства за изпълнение на задачи, свързани с компанията и работния j процес.
PowerShell: PowerShell е един от най-често срещаните инструменти, използвани от Ransomware бандите, който им позволява да се движат незабелязано в рамките на компрометираната мрежа. Поради тази причина, по възможност той трябва да бъде деинсталиран. Ако се изисква употребата на PowerShell, то той трябва да бъде много внимателно наблюдаван чрез EDR системи за откриване и реакция на инциденти върху крайни точки. Администраторите трябва да са наясно с всеки отделен скрипт на PowerShell, който се изпълнява върху техните станции.
Кибер застраховка: Обмислете възможността за киберзастраховка с цел да минимизират загубите при евентуален Ransomware инцидент. Застраховката за киберсигурност може да бъде особено полезна за MSP (Managed Service Provider), които често са отговорни за защитата на данните на други компании. Някои компании за киберзастраховане са склонни към директното изплащане на откупи, докато други предпочитат да проучат наличните възможности за отстраняване на атаката. Когато избирате застраховател трябва добре да проучите политиките му, преди да се ангажирате с него.
Тествайте редовно процедурите за реагиране по време на инциденти: Само така ще се гарантира, че служителите са запознати с процесите за сигурност и разбират точно какво да правят в случай на атака. Тестването помага да идентифицирате и отстраните недостатъците по веригата за реакция. Най-лошият начин да се научите какво да правите при Ransomware атака е по време на настъпила истинска такава.
Проактивният подход за предпазване от Ransomware атака може значително да помогне на организациите да намалят риска от бъдещи инциденти. Те трябва да разполагат с ефективен план за реакция в случай на инцидент. Само така ще могат да овладеят инцидента, да предотвратят загубата на данни и безопасно да инициират процеса по възстановяване.
Описаните тук насоки и практики могат да помогнат на фирми от всякакъв мащаб да смекчат въздействието на Ransomeware атака. Обърнете внимание обаче, че тези процедури трябва да се считат за общи и начални съвети. Изискванията за сигурност могат да варират значително и системите за сигурност винаги трябва да бъдат съобразени с индустрията, регулаторните изисквания и уникалните нужди на компанията.
Проведено е уеб-базирано проучване сред 600 киберспециалисти от седем държави и 19 индустрии. Кампанията се е състояла през август 2020 г. Изпълнител е CyberEdge – специализирана в областта на маркетинга на високотехнологични компании. Резултатите могат да бъдат обобщени така:
Отдалечената работа е все по-популярна в компаниите и все по-предпочитана от служителите. Рисковете, които крие тази тенденция вече са познати, а възможностите за минимизирането им – известни. Все повече технологии използват облачни структури. А знанието и последователността се изплащат.
Проучването е в контекста на извънредната ситуация, наложена от COVID-19. В тази обстановка множество компании бяха принудени да разрешат достъп до корпоративната си мрежа на лични устройства на служители. В много компании това е станало без наличие на разработени политики за отдалечена работа. Често не е била осигурена нужната защита и контрол над информацията.
Средният брой на служителите в една компания, които работят от дома, се е увеличил от 24% преди появата на COVID-19 до 50% към август 2020 г.
Основната цел на изследването е да покаже как пандемията е повлияла: бюджетите за ИТ сигурност, персонала, киберрисковете и приоритетите при внедряване на нови решения за киберсигурност. Ето какви са основните наблюдения:
COVID-19 е създал първоначален хаос сред екипите за ИТ сигурност
Трите най-големи предизвикателства пред специалистите са: увеличен обем заплахи и инциденти със сигурността, недостатъчен капацитет за осигуряване на отдалечен достъп (VPN) и увеличени рискове поради неконтролирани устройства.
53% от екипите не са разполагали с достатъчно персонал още преди началото на пандемията. Към момента ситуацията не се е подобрила.
Увеличават се бюджетите за киберсигурност
54% от анкетираните са увеличили оперативните си бюджети за киберсигурност в средата на годината със средно 5%. 64% от организациите планират нарастване от около 7% на разходите за сигурност през 2021 г.
Повишило се е търсенето на решения за киберсигурност, базирани в облака
75% от анкетираните са изразили предпочитание към решенията за киберсигурност, разположени в облачни платформи. Това се дължи на факта, че отдалечената работа и наличието на по-малко ИТ персонал, възпрепятства поддържането на локални решения за сигурност. Трите най-търсени облачни услуги през пандемията са Secure Web Gateway (SWG), Next-generation Firewall (NGFW) и Secure Email Gateway (SEG).
Намалели са разходите за ИТ персонал, ангажиран с киберсигурността
2/3 от компаниите са били принудени временно да намалят разходите: 36% чрез замразяване наемането на нов персонал, 32% – с намаляване на отработените часове и 25% – като прекъснат работа. Само 17% от анкетираните организации са били принудени да съкращават ИТ персонал.
Отчетена е ползата от обучение и сертифициране
78% от специалистите, притежаващи професионални сертификати за киберсигурност, смятат, че това ги е направило по-добре подготвени за справяне с предизвикателства, предизвикани от пандемията. Очаква се компаниите да увеличат бюджетите си за обучение по киберсигурност средно с 6% през 2021 г.
Увеличил се е рискът, който внася работата с трети страни
В резултат на това 43% от компаниите са увеличили инвестициите си в технологии за управление на риска, свързан с трети страни (Third-party Risk Management – TPRM). 77% от тях търсят решения, които да им помогнат за автоматизирането на процеси по менажирането му.
Повишава се сигурността на притежаваните от служителите устройства
59% от компаниите предоставят антивирусен (AV) софтуер за личните устройства на служителите. 52% инвестират в решения за управление на мобилни устройства (MDM). 48% внедряват решения за контрол на достъпа до мрежата (NAC).
ИТ специалистите, ангажирани със сигурността на компанията, се радват да работят от вкъщи
81% от всички анкетирани са щастливи да работят от вкъщи. 48% биха продължили да работят дистанционно на непълно работно време. 33% биха работили от дома на пълен работен ден и след като пандемията бъде преодоляна.
За да разпространят злонамерения софтуер, хакерите създават спам кампании, маскирани под формата на имейли за фактури, покани, информация за плащане, информация за доставка, гласови съобщения и др. В тези имейли обикновено са включени прикачени файлове на Word и Excel или връзки към тях, които при отваряне и активиране на макросите ще инсталират опасен/зловреден софтуер на компютъра на жертвата.
По подразбиране, макросите са забранени в MS Office, и поради тази причина от жертвата се изисква да кликне върху бутоните „Активиране на редактирането“ (Enable Editing) или „Активиране на съдържанието“ (Enable Content), за да разреши изпълнението им. Това, разбира се, не трябва да правите!
НЕ активирайте макросите на прикачените файлове!
За да прилъжат потребителите да щракнат върху тези бутони обаче хакерите използват различни тактики.
Една от тях е прикачване на Word и Excel файлове с видимо „счупени“ текстове и/или изображения. Хакерите визуализират предупреждения, че има проблем с показването на документа и приканват потребителите да кликнат на бутоните за Активиране на съдържанието или Активиране на редактирането, за да видят „правилната“ визуализация на съдържанието.
Комбинациите от текст и изображения в тези злонамерени прикачени файлове се наричат „документни шаблони“. По-долу са представени различни шаблони на документи, които са били използвани в кампании за изпращане на нежелана поща (SPAM) за някои от по-широко разпространените инфекции със зловреден софтуер.
Трябва да се отбележи, че тези т.нар. „темплейти“ могат да се използват и със зловреден софтуер, различен от тези, описани по-долу. Освен това, тук ще видите само примери за по-често срещаните темплейти, а в реалния живот може да с сблъскате с много други, подобни на тях.
BazarLoader
BazarLoader е злонамерен софтуер, таргетиращ различни по вид и размер компании, разработен от групата, която стои зад създаването на троянския кон TrickBot. Когато бъде инсталиран, хакерите използват BazarLoader / BazarBackdoor за отдалечен достъп до вашия компютър, който след това се експлоатира за компрометирането и на останалата част от фирмената мрежа.
След инфектирането на мрежата с BazarLoader, най-често се стига до заразяване с криптовируса Ryuk, който криптира начин цялата информация и искаа откуп за декрептирането й.
Фишинг имейлите, които разпространяват BazarBackdoor, обикновено съдържат връзки към предполагаеми документи, хоствани в Google Docs и Google Sheets. При зареждането им, се вижда предупреждение за „проблем с визуализацията“ и подканване за изтегляне на документа. След клик обаче всъщност не изтегляте какъвто и да било документ, а изпълним файл, който инсталира Bazar Loaded, както е показано по-долу.
Разширението на файла (.exe) не е сред официалните файлови разширения за Word документи .
Dridex
Dridex е усъвършенстван троянски кон, разполагащ с най-различни непрекъснато актуализирани модули. Забелязан е като инструмент, таргетиращ банкови институции, за първи път през 2014 г.
След заразяване с Dridex, той ще изтегли различни модули, които могат да се използват за кражба на пароли, осигуряване на отдалечен достъп до компютър или извършване на други злонамерени дейности.
За разлика от други кампании за разпространение на злонамерен софтуер, групировката Dridex обикновено използва по-стилизирани шаблони за документи, които показват малко или замъглено съдържание и ви подканват да щракнете върху „Активиране на съдържанието“, за да го видите по-добре.
Например в шаблона по-долу се посочва, че документът е трудно четим, защото е създаден на по-стара версия на Microsoft Office Word.
Dridex: шаблон „примерен остарял Word файлов формат“.
Dridex използва и по-стилизирани шаблони за документи, представящи се за информация за доставка от DHL и UPS.
Dridex: шаблон „Фалшива информация за доставка от DHL.
Разбира се няма как да се пропусне „класиката“ в жанра, а именно – фактури за плащане. Първоначално те са трудно четими, докато не щракнете върху „Активиране на редактирането“, за да го видите “правилно”.
Dridex: шаблон „фалшива фактура от Intui
Както можете да видите от примерите по-горе, от Dridex обичат да използват изображения на вградени документи с фирмени лога и бланки, за да подмамят потребителите да активират макросите.
Emotet
Emotet е най-широко разпространеният зловреден софтуер чрез фишинг имейли, съдържащ злонамерени Word или Excel документи. Веднъж инсталиран, Emotet ще открадне имейла на жертвата и ще използва заразения компютър, за да изпрати спам към други получателите от цял свят.
Потребителите, заразени с Emotet, в крайна сметка ще бъдат след това отново заразени с троянски коне като TrickBot и QakBot. И двата вида троянски коне се използват за кражба на пароли, бисквитки, файлове и водят до компрометиране на цялата мрежа на организацията.
След инфектиране на мрежата с TrickBot, най-вероятно ще се използват криптовирусите Ryuk или Conti за криптиране на информацията. Засегнатите машини с инсталиран QakBot могат да бъдат инфектирани от криптовируса ProLock.
За разлика от Dridex, Emotet не използват изображения на действителни документи в техните темплейти. Вместо това те включват широка гама от шаблони, които показват предупредително поле, че документът не може да се визуализира правилно, и че потребителите трябва да кликнат върху „Активиране на съдържанието“, за да го прочетат.
Например шаблонът „Red Dawn“, показан по-долу, гласи, че „Този документ е защитен“ и след това ви подканва да разрешите съдържанието (Enable content), за да го прочетете.
Emotet: шаблон „Този документ е защитен.
Следващият шаблон гласи, че не може да бъде отворен правилно, тъй като е създаден на „iOS устройство“.
Emotet: шаблон „Създаден на iOS устройство.
Според този шаблон, документът е създаден на „Windows 10 Mobile“, което е странно съобщение, при положение че Windows 10 Mobile е спрян от известно време.
Emotet: Шаблон „Създаден на Windows 10 mobile
Това може би е един от най-легитимно изглеждащите шаблони, твъдейки че документът е в „Защитен изглед“ и потребителят трябва да кликне върху „Активиране на редактирането“, за да го визуализира правилно.
Emotet: шаблон „Защитен изглед“.
Следващият шаблон е малко по-интересен, тъй като казва на потребителите да приемат лицензионното споразумение на Microsoft, преди да могат да видят документа.
Emotet: Шаблон „Приемане на лицензионното споразумение“
Друг интересен шаблон се представя като съветник за активиране на Microsoft Office, който подканва потребителите да активират редактирането, за да завършат активирането на Office.
Emotet: шаблон „активиране на MS Office.”
Emotet също така е известен с това, че използва темплейт, който се представя за съветник за преобразуване на Microsoft Office.
Емотет: шаблон „Съветник за трансформиране на Microsoft Office.”
Както можете да се убедите от екранните снимки по-горе, вместо стилизирани шаблони на документи, Emotet използва общи предупреждения, за да се опита да убеди потребителите да активират макросите в прикачения файл.
QakBot
QakBot или QBot е също троянски кон, насочен основно към банковия сектор. Той се разпространява чрез фишинг кампaнии, съдържащи зловредни Microsoft Word документи като прикачени файлове.
QakBot също съдържа различни модули и има способността да краде банкова информация, да инсталира друг зловреден софтуер или да осигури отдалечен достъп до заразената машина.
Както други троянски коне, описани в тази статия, QakBot също си партнира с криптовируса ProLock, който е финалната фаза на атаката (криптиране на информацията).
В сравнение с Emotet, SPAM кампаниите на QakBot използват по-стилизирани темплейти. Най-често използваният шаблон се представя, че е от DocuSign, както е показано по-долу.
QakBot: шаблон “DocuSign.”
Другите шаблони имитират Microsoft Defender или екран за актуализация и активиране на Word, като този по-долу.
QakBot: шаблон „Грешка при актуализация и активиране на Word. “
Блокиране на изпълними прикачени файлове
За да избегнете появата на гореописаните екранни снимки на вашият десктоп, никога не отваряйте прикачени файлове с разширение .vbs, .js, .exe, .ps1, .jar, .bat, .com или .scr. , тъй като тези разширения могат да изпълняват програми/команди на вашият компютър.
Повечето имейл услуги като Office и Gmail блокират изпълнимите прикачени файлове, но злонамерените лица са намерили изход и от тази ситуация. Все по-често се наблюдава към SPAM имейлите да се добавя прикачен файл с парола, като самата парола е упомената в съобщението. По този начин съдържанието не се сканира/блокира и достига своята крайна цел.
Примерен прикачен файл с .jar разширение.
За съжаление, Microsoft реши да скрие разширенията на файловете по подразбиране, което позволява на злонамерените лица да подлъжат потребителите да отворят опасни (изпълними) файлове.
Фишинг имейлите са едни от най-често използваните вектори за атака, целящи компрометирането на вътрешната инфраструктура. Причините за това са доста и въобще не са необясними: човешкият фактор е най-подценяваният, а също и най-лесно експлоатираният вектор в една инфраструктура. Докато на ниво сървъри и системи могат да се приложат различни и разнообразни мерки за сигурност, от гледна точка на човешкият ресурс доказано най-добрият подход са регулярните обучения на персонала.
В повечето случаи обаче те липсват или ако ги има се силно подценени и са по-скоро фиктивни. Именно поради тази причина злонамерените лица използват SPAM съобщения и все повече се стремят да заблудят крайният потребител, като например добавянето на reCaptcha на техния фишинг сайт. След като компрометират машината и си осигурят достъп до вътрешната система, атакуването на важните и критични системи става много по-лесна и постижима задача. Примерите са не един или два.
Някои общо валидни препоръки, с които може да намалите шанса да бъдете фишнати са:
Имплементиране на решение, което да сканира входящата поща за зловредни прикачени файлове и за нежелана поща (SPAM).
Добавяне на двуфакторна автентикация – По този начин дори някой от потребителите да си въведе потребителското име и паролата във фишинг страницата, те няма да свършат кой знае каква работа на злонамерените лица ако не е наличен вторият фактор за завършване на удостоверяването.
НЕ отварайте и НЕ кликайте върху писма и линкове от непознати податели !
Microsoft публикува информация относно критична уязвимост в IPv6 стака на всички модерни Windows операционни системи, оценена с впечатляващите 9.8 CVSSv3 базови точки. Тази уязвимост позволява отдалечено изпълнение на код (RCE) чрез специално изработени IPv6 пакети, без нападателят да има нужда да се автентикира.
Уязвимостта е критична и несъмнено трябва да бъде пачната при първа възможност, но към момента на публикуване на тази статия, следва да се обърне внимание на няколко важни детайла:
Текущият proof-of-concept (PoC) експлойт, споделен с членовете на MAPP (Microsoft Active Protection Program), е изключително прост и 100% ефективен, но той не води до RCE, а само до незабавен BSOD (Blue Screen of Death). Т.е. тази уязвимост към момента може да бъде експлоатирана за осъществяване на DoS атаки.
Уязвимостта се корени в проблеми с обработката на ICMPv6 Router Advertisement, които са част от ICMPv6 Neighbor Discovery “протокола”. За щастие такива пакети не се изпращат свободно в интернет и най-често биват филтрирани на ниво firewall/border router. При това положение, атакуващият най-вероятно ще се намира в локалния мрежов сегмент на жертвата.
“Лошият съсед” (Bad Neighbor) е прякорът на CVE-2020-16898, която има потенциал да се имплементира в саморазпространяващ се зловреден код (червей). Засега постигането на BSOD е само върхът на айсберга: това е първата стъпка към осъществяването на успешен RCE, чрез навързване (chaining) на няколко уязвимости, което рано или късно ще се случи със сигурност.
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
Как да се защитим
Накратко: Calm down and patch!
Приложете съответните пачове и си отворете по една студена бира за добре свършената работа. За тези от вас, които, по една или друга причина, не могат да приложат обновленията, съществува workaround: Изключете ICMPv6 RDNSS чрез powershell команда и рестартирайте операционната система.
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
За пълна видимост и регистриране на опити за експлоатация, вече има публикувани Suricata IDS/IPS правила.
За най-актуална информация, препоръчваме да следите официалната статия със съвети от Microsoft.
За да научите повече за тази уязвимост, препоръчваме да прочетете чудесните статии на McAffee и Rapid7:
Да, на теория да смените лицето си е възможно – след намеса на пластичен хирург, например. Но на практика, времето и парите, които ще ви отнеме тази смяна, са неоправдани Особено, ако се налагат, за да елиминирате последиците от немарливост от страна на администратора, на който сте ги поверили (търговец, доставчик на услуга и т.н.)
Представете си следното: обаждате се на онлайн магазин, за да откажете поръчка, която не сте направили. По време на кореспонденцията, операторът ви изпраща снимка на лицето ви с въпрос: „Това вашето лице ли е?“. Трудно ще е да се оспори, че не вие сте направили измама при покупката. И съответно – трудно ще откажете поръчката на ваше име.
Предвид казаното дотук, кражбата на самоличност и по-конкретно, кражбата на биометрични данни, придобиват съвсем ново измерение. А доставчиците в биометричното пространство знаят, че защитават наистина чувствителна информация, така че би трябвало да са изключително усърдни, за да не позволят това да се случи, нали?
Министерството на вътрешната сигурност на САЩ наскоро стана жертва на подобен пробив, след който изтекоха снимки от паспорти на американски граждани. А за тях се предполага, че са добри в защитата на данните. Може би дори по-добри от повечето организации, които трябва да защитават биометрични данни. Какво остава за другите организации, с по-ниски компетенции?
Зад всичко се крие псевдо маркетинговата фраза: Моля, покажете ни лицето си, за да можем да гарантираме защитата ви. Но след години работа в сферата на сигурността, научихме, че няма такова нещо като перфектна сигурност, а само по-високо или по-ниско ниво на защита.
А записът за идентичност, който включва вашето лице, вероятно включва и много друга чувствителна информация. Едва ли има нужда да добавяте още данни, освен лицето си, за да изглеждате по-убедителни и достоверни. Това е една от причините медицинските досиета да са така примамлива цел за кражба на данни: все по-сигурно е, че във вашето здравно досие има информация само за вас, и то проверена и трудна за фалшифициране.
Технологиите за разпознаване на лицева идентичност определено са във възход. Китай експериментира с такива, използвайки машинно самообучение, за да може да улови лице дори след пластична операция или покрито с предпазна маска. Много други страни също се присъединиха към битката.
Сингапур въвежда документ за самоличност, базиран на лицето на гражданина.
Сигурно бихте казали, че лицето ви може да бъде уловено и от нарастващия брой камери на публични места, така че каква може да се направи?
Но ако биометричният ви профил, включващ лицето ви, може да се използва за цифрово взаимодействие с все по-голям брой бизнеси и организации, с които комуникирате, това може значително да разруши реалния ви живот.
Един реален пример: служителка, която случайно е била обявена за мъртва поради компютърна грешка. Трябвали са й повече от 20 години, за да я поправи. Трябвало е да убеди своите доставчици на услуги, че не е мъртва. Не е било достатъчно, че тя разговаря по телефона с тях. Странна ситуация, нали? Сега тя е вече е „призната“ за жива, но все още продължава възстановяването на пенсията й, поради което тя все още трябва да работи. Също така, някой е откраднал номера на социалната ѝ осигуровка (американският еквивалент на ЕГН), докато тя е била „мъртва“, след което е изтеглил кредит от нейно име.
Трудно е да се докаже, че не си мъртъв. Също така е трудно да се докаже, че вашият профил, включващ лицето ви, не сте вие.
Цените на потребителски акаунти (комбинация от потребителско име и парола) намаляват през 2020 г. Тенденцията е притеснителна, защото това може да означава няколко неща – и нито едно от тях хубаво.
Първо статистиката: цената на откраднати данни за достъп до RDP (протоколът за отдалечен достъп до работни станции и сървъри) е спаднала до 16-25 USD при средно над 20 USD за цялата 2019 г.
Според всички пазарни правила, това сигнализира за все по-голямо предлагане на данни за отдалечен достъп. Което пък предполага нарастване на броя на злонамерените атаки към корпоративни мрежи – вече забелязана тенденция, която сме коментирали нееднократно.
Пандемията през 2020 г. накара все повече служители да работят от вкъщи и да се свързват към сървърите на организацията си или към работните си станции от разстояние чрез RDP. Всеки пропуск в защитата на RDP акаунт или сървър може да предостави на хакерите достъп до корпоративна мрежа, чрез откраднати или лесно пробити пароли.
Основната причина за лесен достъп до идентификационни данни за вход в RDP е, че те са лошо защитени с често използвани и слаби пароли, както и с прости за отгатване потребителски имена като „администратор“. Единственото средство за противодействие от страна на корпорациите е засилването на киберзащитата им.
