Bezpieczeństwo wewnętrzne ostrzega, że słabe hasła mogą prowadzić do ataków ransomware

Minęło trochę czasu, odkąd operatorzy oprogramowania ransomware zaczęli koncentrować się bardziej na firmach i organizacjach niż na indywidualnych użytkownikach. To była dość duża zmiana i całkiem sporo osób było nią nieco oszołomionych, ale kiedy się nad tym zastanowić, zobaczysz, że było kilka dobrych powodów.

Po pierwsze, im więcej osób dowiedziało się o znaczeniu kopii zapasowych, tym mniej skuteczne okazały się próby wymuszenia. Co więcej, ataki kryptowalut okazały się nie tylko łatwiejsze do przeprowadzenia, ale także bardziej opłacalne dzięki rosnącym cenom kryptowaluty.

Oprócz tego wszyscy oszuści zdali sobie sprawę, że w świecie korporacyjnym atak ransomware może okazać się znacznie bardziej destrukcyjny. Przywracanie z kopii zapasowej jest bardziej skomplikowane dla firmy niż dla pojedynczego użytkownika, a udany atak może w rzeczywistości zmusić firmę do tymczasowego zamknięcia drzwi, co może być katastrofalne. Zarówno atakujący, jak i firmy powinni już być tego świadomi, ale wygląda na to, że wiele organizacji wciąż przekonuje się, że im się to nie przydarzy.

Oprogramowanie ransomware Nefilim uderza w organizacje w Nowej Zelandii

W ubiegłym tygodniu nowozelandzki zespół reagowania na awarie komputerów (NZ-CERT) wydał poradę, aby ostrzec organizację przed kampanią ransomware, która robiła rundy. Eksperci NZ-CERT zauważyli zwiększoną aktywność rodziny ransomware zwanej Nefilim i próbowali ostrzec firmy przed niebezpieczeństwami, przed którymi stoją.

Nefilim jest oparty na oprogramowaniu ransomware Nemty, ale oszuści wprowadzili kilka istotnych modyfikacji, dzięki którym jest bardziej odpowiedni dla atakujących organizacji. Według Trend Micro, w przeciwieństwie do Nemty, Nefilim nie jest oferowany jako usługa i jest obsługiwany przez jedną grupę, która organizuje ukierunkowane ataki. Według porady NZ-CERT, gdy hakerzy zdobędą przyczółek w sieci korporacyjnej, używają różnych narzędzi do przenoszenia na bok i kradzieży danych, które później grożą sprzedażą, jeśli ofiara nie zapłaci. Następnie pliki ofiary są szyfrowane za pomocą kombinacji AES i RSA.

Nie dlatego NZ-CERT wydał swoją opinię. Udało się to, ponieważ zapobieganie atakowi wcale nie jest trudne.

DHS i NZ-CERT: Popraw swoje systemy i wzmocnij swoje hasła naraz

Gdy ataki są wymierzone w organizacje, a nie w pojedynczych użytkowników, oszuści zwykle unikają tradycyjnego spamu. W środowisku korporacyjnym filtry antyspamowe są nieco bardziej wyrafinowane, a niektóre organizacje przeprowadzają szkolenia z zakresu phishingu, które pomagają pracownikom lepiej zrozumieć zagrożenie.

Kampania Nefilim, podobnie jak wiele innych ataków ransomware, opiera się na wrażliwych sieciach, słabych hasłach i braku uwierzytelniania dwuskładnikowego. Według poradnika oszuści atakują organizacje korzystające z protokołu pulpitu zdalnego i wirtualnych sieci prywatnych bez zabezpieczenia ich odpowiednim uwierzytelnieniem. Sieci, które nie otrzymały istotnych poprawek bezpieczeństwa, również znajdują się w menu hakerów i chociaż mówimy o stosunkowo prostych błędach, liczba potencjalnych celów jest tak duża, że amerykańska Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), który jest częścią Departamentu Bezpieczeństwa Wewnętrznego, powtórzył ostrzeżenia NZ-CERT.

Jeśli jednak masz do czynienia z doświadczeniem, te ostrzeżenia nadal nie będą wystarczające, aby sysadmini na całym świecie prawidłowo skonfigurowali swoje systemy. Jest to dalekie od pierwszego ataku, który wykorzystuje słabą konfigurację sieci i prawdopodobnie nie będzie ostatnim. Eksperci ds. Bezpieczeństwa od pewnego czasu ostrzegają użytkowników i firmy o zagrożeniach, ale najwyraźniej nie miało to większego wpływu. Naprawdę niefortunne jest to, że w tym momencie nic nie sugeruje, że sytuacja poprawi się w najbliższej przyszłości.