Mitä ovat tietovarastot ja miksi yritykseni pitäisi olla huolissaan?

Tämän vuoden kesäkuussa paljastettiin massakiristyskampanja datapilviasiantuntijan Snowflaken asiakkaita vastaan. Mukaan raportit, uhreja uhkasi tietojen paljastaminen, jos he eivät maksaneet jopa 5 miljoonan dollarin lunnaita. Uhkatoimijat onnistuivat vaarantamaan yli 500 miljoonaa Ticketmaster-tietuetta ja 30 miljoonaa Santanderin asiakkaille kuuluvaa. Monien yritysten uhreja on vielä jäljellä yli 160-vuotiaista, joiden uskotaan jääneen kiinni datan varastamiskampanjasta.

Uhkatietojen myyjä Pakollinen, joka tutkii, väittää, että huonot näyttelijät aiheuttivat tämän sekasorron aseistariisuttavan yksinkertaisella taktiikalla. He käyttivät infostealer-haittaohjelmien saamia asiakkaiden Snowflake-kirjautumistunnuksia ja käyttivät sitten monitekijätodennuksen (MFA) puutetta kävelläkseen avoimesta ovesta. Se on riittävä syy varmistaa, että kyberpuolustuksesi kestää tietovarastuksen.

Mitä ovat tietovarastot?

Infovarastot ovat yhä yleisempi haittaohjelmien luokka, joka on nimensä mukaisesti suunniteltu salaamaan arkaluontoisia tietoja uhrin tietokoneelta tai mobiililaitteelta. Näitä tietoja joko käyttävät suoraan samat uhkatoimijat tai, todennäköisemmin, ne myydään tietoverkkorikollisuudessa käytettäväksi identiteettipetoksissa ja kyberhyökkäyksissä, kuten Snowflaken asiakkaita vastaan ​​suunnatussa kampanjassa.

Haittaohjelma saattaa etsiä tietoja, kuten:

• Päätepistekoneeseen/-laitteeseen tallennetut tiedostot
• Tietovirrat pikaviestisovelluksista, kuten Telegram
• Salauslompakoihin sisältyvät varat, kuten NFT:t ja kolikot
• Sähköpostiin tai FTP-asiakkaisiin, pelialustoihin tai VPN-profiileihin tallennetut tunnistetiedot
• Selaimeen tallennetut tiedot, jotka voivat sisältää salasanoja ja kirjautumistietoja useilta sivustoilta, tallennetut luottokortit, todennus-/istuntoevästeet, automaattisesti täytetyt kirjautumiset ja paljon muuta

Istuntoevästeiden tallentaminen voisi antaa uhkatoimijoille mahdollisuuden ohittaa MFA, mikä tekee niistä voimakkaan uhan. Mukaan Trend Micro, laitteen selaimeen tallennetut tiedot "on ylivoimaisesti ensisijainen kohde tietovarastajille". Kun työnsä on tehty, infovarastaja kerää kaikki varastetut tiedot ja sijoittaa ne lokiksi kutsuttuun arkistoon. jolla voisi myydä yli 100 dollaria sen sisältämien tietojen laadusta ja määrästä riippuen.

Tietovarkaita on kiertänyt tietoverkkorikollisuudessa maanalaisessa noin vuodesta 2011 lähtien. Viimeisten 15 vuoden aikana haittaohjelmien kehittäjät ovat jatkaneet tarjontansa hiomista ja mukauttamista eri alustoihin - Android-laitteista Windows-tietokoneisiin ja Facebook-yritystileihin. Ne voidaan toimittaa useilla tavoilla, mukaan lukien tietojenkalastelu tai huijaus (SMS-phishing), lataukset tartunnan saaneilta verkkosivustoilta, murretut pelit, piilotettu laillisen näköisiin sovelluksiin, kuten väärennetty kokousohjelmisto, Google Ads ja jopa YouTube videokuvaukset.

Ne muodostavat kasvavan riskin organisaatioille pandemian jälkeisissä hybridityöympäristöissä, joissa työntekijät voivat vierailla riskialttiilla sivustoilla henkilökohtaisilla laitteillaan, jotka sitten tarttuvat tietovarastoihin. BYOD-käytäntöjen vuoksi tällaisilla laitteilla voi myös olla pääsy yrityksen resursseihin ja tietoihin, mikä saattaa aiheuttaa varkausriskin. Yli puolet (51 %) IT-johtajat sanovat he ovat nähneet todisteita vaarantuneiden henkilökohtaisten laitteiden pääsystä arkaluonteisiin yritystietoihin.

Vangitsemisen välttäminen

Nykyään aloittelevilla kyberrikollisilla ja huijareilla on runsaasti valinnanvaraa tietoverkkorikollisuuden maanalaisilla markkinoilla. Niihin kuuluu suosittuja tietovarastoja, kuten RedLine, Raccoon, Vidar ja Taurus. Malware-as-a-service (MaaS) -malli on auttanut demokratisoimaan tällaisten työkalujen pääsyn paljon laajemmalle rikolliselle käyttäjäkunnalle. Ja innovaatiotyöt jatkuvat. Jotkut markkinapaikat tarjoavat lokien jäsennyspalveluita, jotka auttavat uhkatekijöitä poimimaan dataa raakalokeista käyttöä tai jälleenmyyntiä varten.

Infostealer-kehittäjät myös ponnistelevat paljon varmistaakseen, että heidän haittaohjelmansa pysyvät piilossa suojaustyökaluilta. Jotkut, kuten Rhadamanthys-variantti, toimivat järjestelmän muistissa välttääkseen havaitsemisen. Toiset, kuten Raccoon, sisältävät muutoksia UserAgenteihin ja mutexeihin pyrkiessään ohittamaan indikaattoriin perustuvan tunnistuksen. raportoida. Uusi versio suositusta Lumma-versiosta ilmestyi viime vuonna kehittyneillä hiekkalaatikon vastaisilla ominaisuuksilla. Näiden työkalujen takana olevat miehet ja naiset pyrkivät myös pitämään piilossa – mainostavat tuotteitaan Telegramissa, Mastadonissa ja muilla sivustoilla pikemminkin kuin keskitetyillä rikollisilla markkinapaikoilla, jotka ovat alttiita lainvalvontavalvonnalle ja häiriöille.

Kuinka lieventää infostealereiden aiheuttamaa uhkaa

Epäilemättä ne aiheuttavat vakavan uhan yritysten kyberturvallisuudelle. Lumihiutale-tilin rikkomuksia lukuun ottamatta työntekijän kannettavaan tietokoneeseen vahingossa ladattu tietovarasto oli vastuussa suuren tietomurron takia jatkuvan integroinnin ja toimitusalustalla CircleCI viime vuonna. Yksi myyjä vaatimukset että 10 miljoonaa laitetta kohtasi tietoa varastavan haittaohjelman vuonna 2023, mikä on seitsenkertainen kasvu vuodesta 2020.

Trend Micro UK & Irelandin teknisen johtajan Bharat Mistryn mukaan hyvä uutinen on, että testatut parhaat käytännöt voivat pitää tietovarastajien poissa yritysjärjestelmistä.

"Organisaatiot voivat lieventää tietovarastajien aiheuttamaa uhkaa toteuttamalla ennaltaehkäiseviä toimenpiteitä, kuten työntekijöiden koulutusta, vahvaa todennusta ja päätepisteiden suojausta", hän kertoo ISMS.online-sivustolle. ”Säännölliset ohjelmistopäivitykset ja verkon suojaus ovat myös tärkeitä. Havaitsemisstrategioihin kuuluu edistynyt uhkien havaitseminen, säännölliset tietoturvatarkastukset ja jatkuva seuranta."

Tietoturvajohtajat voivat kuitenkin myös pienentää tietovarastajien aiheuttamaa riskiä noudattamalla parhaita käytäntöjä.

"ISO 27001:n kaltaisten standardien noudattaminen tehostaa merkittävästi kyberturvallisuusponnisteluja tarjoamalla jäsenneltyä lähestymistapaa riskienhallintaan ja toteuttamalla kattavat turvatarkastukset, jotka ovat olennaisia ​​vankan suojan kannalta", Mistry väittää.

”Säännölliset auditoinnit varmistavat jatkuvan valppauden nousevia uhkia vastaan. Työntekijöiden koulutus ja tietoisuus ovat elintärkeitä, mikä muuttaa henkilöstösi ensimmäiseksi puolustuslinjaksi. Lisäksi standardin tiukat tapaustenhallintavaatimukset takaavat, että kaikkiin rikkomuksiin puututaan nopeasti ja tehokkaasti.

Kun tietovarastot verrataan mahdollisesti hengenvaarallisiin lunnasohjelmahyökkäuksiin, ne eivät ehkä kuulosta merkittävältä kyberturvallisuusriskiltä. Kuten Snowflaken tapaus kuitenkin korostaa, niillä on yhä tärkeämpi rooli kyberrikollisuuden ekosysteemissä. Valtuustietovarkauksien ja MFA-ohituksen mahdollistajana ne voivat olla tuhoisan tietomurron ja kiristyshyökkäyksen ensimmäinen vaihe. On aika tyhjentää kyberturvallisuuden parhaat käytännöt.