Archiwum wg Tagów | "sophos"

sophos

Tags: , ,

6 lekcji, które można wyciągnąć z ataków ransomware na firmę Kaseya

Dodany 25 lipca 2021 przez admin

Ostatnie głośne ataki ransomware na firmy Kaseya i Colonial Pipeline były dotkliwe: cyberprzestępcy zatrzymali działanie rurociągu dostarczającego 45% ilości paliwa na Wschodnim Wybrzeżu USA i sparaliżowali działanie nawet ponad 350 przedsiębiorstw. Czego można się na tych przykładach nauczyć? Eksperci Sophos wskazują 6 najważniejszych lekcji, o których należy pamiętać.

 

  1. Płacenie okupu rzadko się opłaca

Wiele firm płaci przestępcom, gdyż nie mają kopii zapasowych i chcą jak najszybciej wznowić działanie systemów; często obawiają się także upublicznienia skradzionych informacji. Jednak, według badania Sophos, nie gwarantuje to przywrócenia dostępu do zasobów. Przedsiębiorstwa, które decydują się na zapłatę okupu, odzyskują średnio tylko 65% danych, zaś jedynie w przypadku 8% odblokowywane są wszystkie. Poza tym, nawet jeśli uda się odszyfrować informacje, trzeba jeszcze przywrócić pracę systemów, naprawić szkody i zakłócenia spowodowane atakiem oraz wzmocnić zabezpieczenia, a to wymaga kolejnych nakładów.

  1. Szkolenie pracowników to konieczność

Wejście do sieci Colonial Pipeline umożliwiło skradzione przez przestępców hasło do usługi VPN. Prawdopodobnie wykorzystali dane logowania ujawnione we wcześniejszym wycieku. W celu uniknięcia takich sytuacji konieczne jest przede wszystkim wdrożenie uwierzytelniania wieloskładnikowego, jednak równie istotne jest, aby pracownicy wiedzieli, jak chronić swoje dane dostępowe. Cyberprzestępcy wykorzystują niewiedzę atakowanych i brak ich umiejętności, stosują coraz bardziej dopracowane manipulacyjne metody socjotechniczne, takie jak phishing. Pracownicy powinni wiedzieć jak rozpoznać zagrożenia, jakiego zachowania unikać i jak reagować na podejrzane incydenty.

  1. Najważniejsze jest szybkie wykrycie ataku

Według śledczych, przestępcy mieli dostęp do sieci Colonial Pipeline przez co najmniej osiem dni, zanim uruchomili ransomware. Brak możliwości wglądu w to, co robili w tym czasie, był jednym z powodów wyłączenia rurociągu. Przeprowadzone przez Sophos analizy[1] pokazały, że przestępcy „spędzają” w sieci ofiary średnio 11 dni, a w niektórych przypadkach nawet pół roku, zanim zostaną wykryci. W tym czasie mogą uzyskać dostęp do danych i systemów, wykradać informacje, a nawet sabotować działanie firmy. Dlatego równie ważne jak programy ochronne są narzędzia pozwalające szybko wykryć podejrzane incydenty i aktywnie „polować” na ukryte zagrożenia.

  1. Warto regularnie sprawdzać zabezpieczenia

Sprawdzanie poziomu ochrony przed cyberzagrożeniami pozwala znaleźć luki w zabezpieczeniach, zanim wykorzystają je przestępcy. Warto zlecać to zadanie nie tylko pracownikom działu IT, ale także zewnętrznym ekspertom. Często bowiem można spotkać się z nieświadomym przyzwoleniem na niedociągnięcia – z niewiedzy lub w działaniu z przeświadczeniem, że „zawsze tak było”. Ważne są ćwiczenia polegające na symulacjach ataków, próbach odzyskiwania danych i analizie sposobu reagowania na incydenty. Odpowiednie przygotowanie to często jedyny sposób na zminimalizowanie szkód i przestojów.

 

  1. Cyberbezpieczeństwo priorytetem, bez względu na wielkość firmy

Firmy często uważają, że ataki dotykają tylko duże podmioty, gdyż te mniejsze nie są interesującym celem dla cyberprzestępców. Jednak każde przedsiębiorstwo, bez względu na wielkość czy branżę, może doświadczyć ataku. Poszukiwanie potencjalnej ofiary jest obecnie w dużym stopniu zautomatyzowane, więc kryterium „zainteresowania” pozostaje praktycznie bez znaczenia. Strategię cyberbezpieczeństwa powinna więc opracować każda firma: stworzyć plan reagowania na incydenty, przywracania systemów do działania i odzyskiwania danych, a także wdrożyć właściwe narzędzia ochrony oraz przygotować kroki, które należy podjąć, gdy coś pójdzie nie tak.

  1. W walce z cyberprzestępczością ważna jest współpraca

Colonial Pipeline zobowiązało się do udostępnienia pełnego raportu na temat ataku, aby inne przedsiębiorstwa mogły wyciągnąć wnioski z popełnionych błędów. Na całym świecie w ramach takich inicjatyw jak Centrum Wymiany Informacji i Analiz (ISAC) czy lokalnych grup DEF CON zrzeszone są firmy, które dzielą się informacjami o zagrożeniach i zapewniają narzędzia oraz wytyczne ograniczające ryzyko. Oprócz uczestniczenia w nich, firmy powinny też prosić o pomoc, gdy już zetkną się z zagrożeniem. Mogą wspomagać się zewnętrznymi usługami, w ramach których eksperci monitorują sieć i pomagają reagować na zagrożenia.

[1] Sophos Active Adversary Playbook 2021

Źródło: Sophos

Komentarzy (0)

sophos

Tags: , ,

Zdjęcia z pracy zdalnej mogą zdradzić hasło do banku

Dodany 11 kwietnia 2021 przez admin

Zdjęcia pracujących w trybie zdalnym, publikowane m.in. w mediach społecznościowych, ujawniają cyberprzestępcom więcej niż się wydaje. Fotografie rodziny, fragmenty dokumentów, przesyłka od kuriera czy szalik ulubionej drużyny piłkarskiej w kadrze mogą ułatwić cyberatak i prowadzić do „wyczyszczenia” konta bankowego, kradzieży poufnych danych, a nawet sparaliżowania działalności firmy. W jaki sposób cyberprzestępcy mogą skorzystać z informacji na zdjęciach z domowego biura?

 

Haker jak służby wywiadowcze

Cyberprzestępcy coraz częściej personalizują ataki – zamiast wysyłać złośliwe wiadomości losowo do milionów użytkowników, dopasowują je do konkretnej ofiary, aby wzmocnić wiarygodność (tzw. spear-phishing). Działają jak wywiad: zbierają wszelkie ślady obecności użytkownika w sieci, na forach internetowych czy w mediach społecznościowych, a także hasła pochodzące z wycieków danych dużych firm, np. ubezpieczeniowych czy sklepów internetowych. Tymczasem w dobie pandemii i pracy zdalnej zdobycie prywatnych i firmowych danych pracowników jest jeszcze łatwiejsze.

W tle zdjęć domowego biura czy wideokonferencji często pojawiają się członkowie rodziny, zwierzęta, przedmioty wskazujące na zainteresowania. Niektóre dekoracje podpowiadają datę urodzenia czy imię pupila, a etykiety na „zagubionej” w kadrze paczce mogą zdradzić adres i personalia domowników. Każda z tych informacji jest cenna dla przestępców: Polacy często tworzą hasła nawiązujące do ulubionej drużyny, artystów muzycznych, imion i dat urodzenia dzieci czy zwierząt domowych[1]. Nie zmieniają ich też wystarczająco często w serwisach bankowych (powinno się robić to minimum raz w roku).[2] Zwiększa to szanse przestępców na odgadnięcie hasła na podstawie zebranych w sieci informacji.

 

Zdjęcie pupila „furtką” do firmowej sieci

Udostępnianie zdjęć związanych z pracą czy nauką zdalną to też zagrożenie dla firmowych danych i systemów. Pracownicy nie zawsze zwracają uwagę, co – poza pupilem śpiącym na biurku, lunchem w domowym biurze czy uczącym się dzieckiem – widać w kadrze. W ten sposób ujawniają wrażliwe informacje: widok służbowych skrzynek, e-maile, nazwiska, prywatne strony internetowe, poufną wewnętrzną korespondencję, oprogramowanie zainstalowane na komputerach i ich numery identyfikacyjne, faktury czy umowy z podwykonawcami.

– Każdy z takich cyfrowych śladów może zostać wykorzystany do ataku na firmę. Ułatwiają one przestępcom podszycie się pod kuriera współpracującego z pracodawcą albo pracownik jest nakłaniany w „imieniu” działu IT do udostępnienia wrażliwych plików lub danych czy pobrania złośliwego oprogramowania, np. w postaci fałszywej aktualizacji oprogramowania. Stąd już tylko krok do zainfekowania całej firmowej sieci, kradzieży wrażliwych biznesowych danych czy paraliżu przedsiębiorstwa. Stosowane przy zdjęciach popularne hashtagi #WorkFromHome, #Pracazdalna, #HomeOffice, #Zoom czy #MSTeams dodatkowo ułatwiają przestępcom wyszukiwanie podobnych informacji w sieci – ostrzega Łukasz Formas, kierownik zespołu inżynierów w firmie Sophos.

 

Jak dbać o bezpieczeństwo danych?

Gdy zdjęcie zostanie udostępnione w sieci, użytkownik traci wpływ na to kto i jak wykorzysta zawarte na nim informacje. Dlatego zawsze należy zwracać uwagę na to co widać (także w przybliżeniu) w tle publikowanych fotografii z pracy, zdalnej nauki czy wideokonferencji. Jeśli nie ma możliwości odpowiedniego zaaranżowania przestrzeni za sobą podczas wideorozmów, lepiej użyć wirtualnego tła lub efektu rozmycia. Warto też edukować przyjaciół, członków rodziny i współpracowników o potencjalnych zagrożeniach związanych z udostępnianiem w sieci zdjęć z domowego biura.

[1] Badanie National Cybersecurity Centre: https://www.ncsc.gov.uk/blog-post/passwords-passwords-everywhere

[2] Raport „Cyberbezpieczny portfel 2020”, https://zbp.pl/getmedia/156b5c44-bfcc-46cb-a5d1-bd0d141e9ed0/ZBP_CyberbezpiecznyPortfel2020

Źródło: Sophos

Komentarzy (0)

Zdjęcia z naszego Flickr'a

Zobacz więcej zdjęć

POWIĄZANE STRONY

ELASTYCZNY WEB HOSTING