Tin tức

Những bí ẩn đằng sau 1.700 cuộc tấn công tống tiền gây mất 91 triệu đô la từ năm 2020 đến nay – TechToday

Posted on by admin
Dấu hiệu ransomware trên toàn cầu.
16
Jun

Hôm nay, chúng ta nhìn vào sự kiện đáng chú ý: 91 triệu đô la bị tống tiền từ 1.700 cuộc tấn công kể từ năm 2020. Một cảnh báo mới từ các tổ chức quốc tế, bao gồm Cơ quan an ninh mạng và cơ sở hạ tầng, FBI và Trung tâm phân tích và chia sẻ thông tin đa quốc gia, đã phân tích chi tiết các vụ tấn công liên quan đến phần mềm tống tiền LockBit và đề xuất các biện pháp giảm thiểu. Số lượng công nhân lai ngày càng tăng, tạo ra nhiều lỗ hổng hơn cho các công ty, đặc biệt là các công ty nhỏ. LockBit là một hoạt động ransomware dưới dạng dịch vụ đã tống tiền 91 triệu đô la từ khoảng 1.700 cuộc tấn công vào các tổ chức Hoa Kỳ từ năm 2020, với ít nhất 576 cuộc tấn công vào năm 2022. LockBit cung cấp cho khách hàng giao diện mã thấp để khởi chạy các cuộc tấn công. Các cuộc tấn công LockBit đã ảnh hưởng đến các dịch vụ tài chính, thực phẩm, giáo dục, năng lượng, chính phủ, y tế, sản xuất và vận tải. LockBit khác biệt với các nhóm RaaS khác bằng cách cho phép các chi nhánh nhận thanh toán tiền chuộc trước khi chia sẻ phần cắt giảm cho nhóm cốt lõi, chê bai các nhóm RaaS khác trên diễn đàn trực tuyến và tham gia vào các hoạt động nguy hiểm tạo thành sự công khai. LockBit cũng có giao diện trỏ và nhấp, kỹ năng thấp cho phần mềm tống tiền của nó. Một nghiên cứu về chuyên nghiệp hóa phần mềm tống tiền đã lưu ý rằng mô hình RaaS mà LockBit sử dụng là một hệ thống hướng dịch vụ giống như phần mềm hợp pháp. LockBit cũng liên tục cập nhật phần mềm và đã phát hành một chương trình tiền thưởng lỗi cho phần mềm của mình. LockBit đã làm việc để tăng phạm vi và phạm vi tấn công thông qua việc chuyên nghiệp hóa mạng lưới liên kết của mình, bao gồm việc quảng cáo trên các diễn đàn trực tuyến. LockBit và các nhóm khai thác khác đang nhanh chóng thích nghi và tìm kiếm các cơ hội kinh doanh mới để tận dụng gián đoạn trong không gian ransomware. LockBit đã chiếm 16% các sự cố ransomware của chính quyền địa phương và tiểu bang của Hoa Kỳ được báo cáo cho MS-ISAC vào năm ngoái, và nó cũng đã chiếm một số lượng lớn các sự cố ransomware ở Úc và Canada. LockBit đã tấn công các nhà sản xuất phụ tùng ô tô, công ty phần mềm bảo mật và công ty công nghệ. LockBit tham gia vào các cuộc tấn công ransomware kép, trong đó thông tin cá nhân và cơ sở dữ liệu đang bị khóa. LockBit đã rò rỉ thông tin của 1.653 nạn nhân trên các trang web rò rỉ. Các tác giả của bản tư vấn đã đề xuất các biện pháp bảo vệ và thực hành tối thiểu để chống lại LockBit.

Nguồn: https://techtoday.co/91-million-extorted-from-1700-attacks-since-2020/

Dấu hiệu ransomware trên toàn cầu.
Hình ảnh: darkfoxelixir/Adobe Stock

Một lời khuyên mới từ một tập đoàn gồm các tổ chức quốc tế, bao gồm Cơ quan an ninh mạng và cơ sở hạ tầng, FBI và Trung tâm phân tích và chia sẻ thông tin đa quốc gia, nêu chi tiết các sự cố liên quan đến LockBit, phần mềm tống tiền phổ biến nhất kể từ năm 2022 và đề xuất các biện pháp giảm thiểu. Số lượng công nhân lai ngày càng tăng đang tạo ra nhiều lỗ hổng hơn, với các công ty nhỏ hơn đặc biệt dễ bị tổn thương.

Chuyển đến:

LockBit là gì?

LockBit — một hoạt động ransomware dưới dạng dịch vụ đã tống tiền 91 triệu đô la từ khoảng 1.700 cuộc tấn công nhằm vào các tổ chức Hoa Kỳ kể từ năm 2020, tấn công ít nhất 576 tổ chức vào năm 2022 — cung cấp cho khách hàng giao diện mã thấp để khởi chạy các cuộc tấn công.

Cố vấn an ninh mạng lưu ý rằng các cuộc tấn công LockBit đã ảnh hưởng đến các dịch vụ tài chính, thực phẩm, giáo dục, năng lượng, chính phủ và các dịch vụ khẩn cấp, y tế, sản xuất và vận tải.

Chuỗi tiêu diệt của LockBit khác với những người chơi RaaS khác như thế nào?

Lời khuyên sử dụng khuôn khổ MITRE ATT&CK Matrix for Enterprise làm cơ sở để hiểu chuỗi tiêu diệt của LockBit, báo cáo hoạt động này khác với các trình phát RaaS khác vì nó:

  • Cho phép các chi nhánh nhận khoản thanh toán tiền chuộc trước khi gửi phần cắt giảm cho nhóm cốt lõi, trong khi các nhóm RaaS khác tự thanh toán trước.
  • Chê bai các nhóm RaaS khác trên các diễn đàn trực tuyến.
  • Tham gia vào các pha nguy hiểm tạo ra công khai.
  • Có giao diện trỏ và nhấp, kỹ năng thấp cho phần mềm tống tiền của nó.

Saul Goodman của dark web: Hành động của LockBit là hợp pháp

Trong một nghiên cứu vào tháng 5 năm 2023 về việc chuyên nghiệp hóa phần mềm tống tiền, công ty an ninh mạng WithSecure đã lưu ý rằng mô hình RaaS mà LockBit sử dụng là một hệ thống hướng dịch vụ; giống như phần mềm hợp pháp: nó tạo ra các công cụ, cơ sở hạ tầng và quy trình vận hành — “sách giải trí” — và bán quyền truy cập vào các công cụ và dịch vụ này cho các nhóm hoặc cá nhân khác.

XEM: Các công cụ đang được cải thiện, nhưng cũng vậy Tấn công mạngtheo một nghiên cứu của Cisco (TechRepublic)

Sean McNee, phó chủ tịch nghiên cứu và dữ liệu của công ty internet intel DomainTools, cho biết nhóm LockBit liên tục cập nhật phần mềm, như một hoạt động hợp pháp, thậm chí còn phát hành một chương trình tiền thưởng lỗi cho phần mềm.

Ông nói: “Khi mô hình ransomware-as-a-service tiếp tục phát triển, chúng tôi thấy các nhóm cạnh tranh để giành được các chi nhánh hàng đầu cho các dịch vụ của họ,” đồng thời cho biết thêm rằng LockBit đã làm việc để tăng phạm vi và phạm vi tấn công thông qua việc chuyên nghiệp hóa xung quanh mạng lưới liên kết của họ. bao gồm tích cực quảng cáo trên các diễn đàn trực tuyến.

Các nhà khai thác như LockBit đang nhanh chóng thích nghi và xoay quanh các cơ hội kinh doanh mới để tận dụng sự gián đoạn trong không gian ransomware làm lợi thế cho họ. Đây là một xu hướng mà chúng tôi lo ngại sẽ tiếp tục vào năm 2023.”

Mô hình trả tiền để chơi hạ thấp rào cản gia nhập

“Hệ thống RaaS hạ thấp rào cản gia nhập, cho phép những người mới tham gia vào lĩnh vực này được hưởng lợi từ chuyên môn của các tác nhân đã thành danh đồng thời cho phép các tác nhân đã thành danh cắt giảm lợi nhuận của tất cả khách hàng đang sử dụng dịch vụ của họ,” cho biết các tác giả của bài báo WithSecure, bao gồm cả nhà phân tích tình báo mối đe dọa của công ty Stephen Robinson.

“Như trường hợp của các nhà cung cấp dịch vụ hợp pháp, lợi nhuận có thể cao hơn nhiều — thời gian của các cá nhân chỉ có thể được bán một lần, trong khi chuyên môn được đóng gói dưới dạng dịch vụ, nó có thể được bán nhiều lần mà không làm tăng chi phí,” các tác giả bài báo WithSecure viết .

Mặc dù báo cáo của WithSecure lưu ý, cũng như lời khuyên, rằng các chi nhánh của LockBit trả phí để truy cập vào nhóm nguồn và nhóm nguồn lấy phần trăm của bất kỳ khoản tiền chuộc nào được trả, các cuộc tấn công, phương thức hoạt động và mục tiêu của các nhà khai thác rất khác nhau.

Phạm vi tiếp cận toàn cầu của LockBit

Tại Hoa Kỳ năm ngoái, LockBit chiếm 16% các sự cố ransomware của chính quyền địa phương và tiểu bang được báo cáo cho MS-ISAC, bao gồm các cuộc tấn công ransomware vào chính quyền địa phương, giáo dục đại học công lập và trường học K-12 và các dịch vụ khẩn cấp.

NHÌN THẤY: Tấn công ransomware tăng vọt (TechRepublic)

Tư vấn an ninh mạng lưu ý rằng, bắt đầu từ tháng 4 năm ngoái đến quý đầu tiên của năm nay, LockBit chiếm 18% tổng số sự cố ransomware được báo cáo ở Úc và đó là 22% các sự cố ransomware được quy cho Canada vào năm ngoái.

Nghiên cứu về ransomware tháng 5 năm 2023 của WithSecure lưu ý rằng các nạn nhân chính của LockBit ở châu Âu bao gồm nhà sản xuất phụ tùng ô tô Continental của Đức, công ty phần mềm bảo mật Hoa Kỳ Entrust và công ty công nghệ Pháp Thales.

Thông tin đổ trên các trang web rò rỉ dữ liệu không phải là bức tranh toàn cảnh

Vì LockBit tham gia vào các cuộc tấn công kiểu tống tiền kép, trong đó những kẻ tấn công sử dụng ransomware vừa khóa cơ sở dữ liệu vừa lọc thông tin nhận dạng cá nhân với các mối đe dọa sẽ xuất bản trừ khi được trả tiền, các trang web rò rỉ dữ liệu là một yếu tố nổi bật trong hoạt động khai thác RaaS của nhóm đe dọa. Tư vấn đã báo cáo 1.653 nạn nhân bị cáo buộc trên các trang web rò rỉ LockBit cho đến quý đầu tiên của năm 2023.

Ngoài ra, lời khuyên lưu ý rằng, vì các trang web rò rỉ chỉ hiển thị một phần nạn nhân của LockBit bị tống tiền từ chối trả khoản tiền chuộc chính để giải mã dữ liệu của họ, nên các trang web chỉ tiết lộ một phần trong tổng số nạn nhân của LockBit.

“Vì những lý do này, các trang web rò rỉ không phải là chỉ báo đáng tin cậy về thời điểm xảy ra các cuộc tấn công ransomware LockBit,” các tác giả của lời khuyên, đồng thời lưu ý rằng việc đổ dữ liệu vào các trang web rò rỉ có thể xảy ra vài tháng sau khi các cuộc tấn công ransomware tạo ra thông tin.

WithSecure lưu ý rằng LockBit, vào tháng 6 năm 2020, đã bắt đầu “Hợp tác giữa Ransom Cartel” với các nhóm đồng nghiệp Maze và Egregor, bao gồm việc chia sẻ các trang web rò rỉ.

Cách bảo vệ chống lại LockBit

Các tác giả của bản tư vấn đã đề xuất các tổ chức thực hiện các hành động phù hợp với một loạt các mục tiêu do CISA và Viện Tiêu chuẩn và Công nghệ Quốc gia xây dựng, tạo thành các biện pháp bảo vệ và thực hành tối thiểu. Trong phần tư vấn, các đề xuất được liệt kê theo chiến thuật chuỗi tiêu diệt do MITRE ATT&CK mô tả, với điểm sớm nhất trong chuỗi tiêu diệt xuất hiện đầu tiên.

Lời khuyên đã chỉ ra ba sự kiện chuỗi tiêu diệt chính:

  • truy cập ban đầunơi tác nhân mạng đang tìm đường vào mạng.
  • Tổng hợp và chuẩn bịkhi diễn viên đang cố giành quyền truy cập vào tất cả các thiết bị.
  • Tác động đến mục tiêunơi diễn viên có thể đánh cắp và mã hóa dữ liệu rồi đòi tiền chuộc.

Để giải quyết vấn đề giảm thiểu truy cập ban đầu, tư vấn đề xuất các tổ chức sử dụng trình duyệt hộp cát để bảo vệ hệ thống khỏi phần mềm độc hại có nguồn gốc từ trình duyệt web, lưu ý rằng trình duyệt hộp cát cách ly máy chủ khỏi mã độc.

Các tác giả cũng khuyến nghị yêu cầu tất cả các tài khoản có thông tin đăng nhập bằng mật khẩu tuân thủ các tiêu chuẩn của NIST để phát triển và quản lý chính sách mật khẩu. Trong số các biện pháp giảm thiểu truy cập ban đầu khác được các tác giả đề xuất:

  • Áp dụng các bộ lọc tại các cổng email để lọc các email độc hại và chặn các IP đáng ngờ.
  • Cài đặt tường lửa ứng dụng web.
  • Phân đoạn mạng để ngăn chặn sự lây lan của ransomware.

Biện pháp giảm nhẹ cho các sự kiện khác trong chuỗi tiêu diệt LockBit

Chấp hành

  • Xây dựng và cập nhật thường xuyên các sơ đồ mạng toàn diện.
  • Kiểm soát và hạn chế các kết nối mạng.
  • Bật ghi nhật ký PowerShell nâng cao.
  • Đảm bảo các phiên bản PowerShell được định cấu hình thành phiên bản mới nhất và đã bật ghi nhật ký mô-đun, khối tập lệnh và phiên âm.
  • Bật Nhật ký sự kiện Windows PowerShell và Nhật ký hoạt động PowerShell với thời gian lưu giữ ít nhất 180 ngày.
  • Định cấu hình Sổ đăng ký Windows để yêu cầu phê duyệt Kiểm soát tài khoản người dùng đối với bất kỳ hoạt động PsExec nào yêu cầu đặc quyền của quản trị viên.

leo thang đặc quyền

  • Vô hiệu hóa các hoạt động và quyền dòng lệnh và tập lệnh.
  • Kích hoạt Credential Guard để bảo vệ thông tin đăng nhập hệ thống Windows của bạn.
  • Triển khai Giải pháp mật khẩu quản trị viên cục bộ nếu có thể nếu HĐH của bạn cũ hơn Windows Server 2019 và Windows 10.

né tránh phòng thủ

  • Áp dụng các chính sách bảo mật cục bộ để kiểm soát việc thực thi ứng dụng với danh sách cho phép nghiêm ngặt.
  • Thiết lập danh sách cho phép ứng dụng gồm các ứng dụng phần mềm và tệp nhị phân đã được phê duyệt.

truy cập thông tin xác thực

  • Hạn chế sử dụng NTLM với các chính sách bảo mật và tường lửa.

Khám phá

  • Vô hiệu hóa các cổng không được sử dụng cho mục đích kinh doanh.

chuyển động bên

  • Xác định các đường dẫn điều khiển Active Directory và loại bỏ những đường dẫn quan trọng nhất trong số chúng.
  • Xác định, phát hiện và điều tra hoạt động bất thường và khả năng lây lan của phần mềm tống tiền được chỉ định bằng công cụ giám sát mạng.

Chỉ huy và kiểm soát

  • Triển khai mô hình phân tầng bằng cách tạo các vùng tin cậy dành riêng cho các tài sản nhạy cảm nhất của tổ chức.
  • Các tổ chức nên xem xét chuyển sang kiến ​​trúc không tin cậy. Truy cập VPN không nên được coi là một vùng mạng đáng tin cậy.

lọc

  • Chặn các kết nối đến các hệ thống độc hại đã biết bằng cách sử dụng proxy Bảo mật tầng vận chuyển.
  • Sử dụng bộ lọc web hoặc Nhà môi giới bảo mật truy cập đám mây để hạn chế hoặc giám sát quyền truy cập vào các dịch vụ chia sẻ tệp công khai.

Sự va chạm

  • Triển khai kế hoạch khôi phục để duy trì và giữ lại nhiều bản sao của dữ liệu nhạy cảm hoặc độc quyền và máy chủ ở một vị trí an toàn, được phân đoạn và riêng biệt về mặt vật lý.
  • Duy trì sao lưu dữ liệu ngoại tuyến và thường xuyên duy trì sao lưu và khôi phục hàng ngày hoặc hàng tuần ở mức tối thiểu.
  • Đảm bảo tất cả dữ liệu sao lưu được mã hóa, không thay đổi và bao phủ toàn bộ cơ sở hạ tầng dữ liệu của tổ chức.


[ad_2]

admin

Leave a Reply

Your email address will not be published. Required fields are marked *