Pandemia spowodowała,że hakerzy zmienili strategię działania

W najnowszym raporcie Cisco zatytułowanym „Defeding against critical thretas” czytamym.in. o wpływie pandemii na postępowanie cyberprzestępców: hakerzy zaczęli gremialnie atakować zdalne pulpity i wspierające je rozwiązania, takie jak protokół RDP (Remote Desktop Protocol).

Cisco

Taki tryb pracy jest dla firm – jak i pracowników – bardzo wygodny, stanowi jednak łakomy kąsek dla hakerów, którzy starają się wykraść dane uwierzytelniające użytkowników podczas sesji. Inicjują oni wtedy ataki typu man-in-the-middle, podczas których haker działa na linii łączącej ze sobą obie strony, po to aby uruchomić na serwerze obsługującym taka sesje szkodliwe oprogramowanie.

Każde rozwiązanie RDP, jeśli zostanie przejęte, umożliwia atakującemu dostęp do cyfrowych zasobów organizacji. Dlatego według ekspertów Cisco, firmy korzystające z wirtualnych pulpitów, powinny wdrożyć specjalne środki bezpieczeństwa i zapamiętać te porady:

Zobacz również:

1. Unikać podłączania zdalnych pulpitów bezpośrednio do sieci. Zamiast tego można zapewnić pracownikom dostęp do wszystkich niezbędnych zasobów za pomocą usługi VPN.

2. Wdrożyć system uwierzytelniania wielopoziomowego – dodatkową warstwę bezpieczeństwa, umożliwiającą potwierdzenie tożsamości użytkowników.

3. Blokować użytkowników, którzy podjęli wiele nieudanych prób logowania.

W minionym roku również ataki typu ransomware przybrały nowe formy. Przykładowo, pojawiły się liczniki odliczające czas, który ma użytkownik na wpłacenie okupu. Eksperci Cisco zajmujący się cyberbezpieczeństwem zaobserwowali, że coraz częściej zaatakowani użytkownicy otrzymują groźby nie tyle zaszyfrowania, co trwałego usunięcia danych.

Zmieniła się również skala ransomware, a ataki na poszczególne urządzenia często są jedynie narzędziem, która pozwala uzyskać dostęp do sieci organizacji. Gdy to już nastąpi, atak ransomware jest uruchamiany dopiero po tym, gdy atakujący wejdą w posiadanie danych firmy, w tym własności intelektualnej czy poufnych informacji handlowych.

Często mamy wówczas, wg ekspertów Cisco, do czynienia ze zjawiskiem „podwójnego wymuszenia” – z jednej strony atakujący przejmują dane, które mogą wykorzystać i dalej monetyzować, z drugiej wymuszają okup za ich odszyfrowanie czy niewykasowanie, co ma na celu maksymalizację szkód ofiar i zysków atakujących.

Kwitnie również czarny rynek, na którym sprzedawane są np. dostępy do sieci firmowych.

Podobnie jak w przypadku ransomware, również kradzież danych do logowania służy za punkt wyjścia do dalszych ataków i wykradania kolejnych danych do logowania. Zjawisko to nazywa się „credential dumping”. Cyberprzestępcy nie poprzestają na uzyskaniu dostępu do jednego urządzenia. Często z jego poziomu chcą wejść w posiadanie haseł do innych elementów firmowej infrastruktury IT, przeszukując różne obszary systemów, gdzie tego typu informacje są przechowywane.

Jak zatem zabezpieczyć przed tym procederem? Eksperci Cisco radzą, aby: monitorować dostęp do baz danych LSASS, monitorować logi w celu wyszukiwania nieplanowych, podejrzanych aktywności w kontrolerach domen oraz wyszukiwać nieoczekiwane i nieprzydzielone połączenia z adresów IP do kontrolerów domen.


TOP 200