Kibernetički napadi u Hrvatskoj: Izazovi, istrage i prevencija

Suočavamo se s povećanjem broja kibernetičkih napada na ključne institucije i poduzeća. Napadi na KBC Rebro, Badel 1862 i Labud ukazali su na ozbiljnost kibernetičkih prijetnji i njihov potencijalni štetni utjecaj na poslovanje i javne usluge

16.2.2023.

Tvrtke moraju naučiti lekcije iz napada ransomwareom na Royal Mail

Nakon curenja detalja o pregovorima o otkupnini između Royal Mail-a i ransomware grupe LockBit, David Bicknell, glavni analitičar u timu Thematic Intelligence u GlobalData, nudi svoje gledište

17.8.2022.

Ransomware hakeri izvukli više od 30 terabajta osjetljivih podataka u 2022.

Napadi ransomwarea postali su jedna od najopasnijih prijetnji organizacijama i državnim tijelima diljem svijeta. U ovom članku Atlas VPN predstavlja najznačajniju statistiku ransomwarea iz prošle godine.

4.8.2022.

Ransomware hakeri ukrali više od 30 terabajta osjetljivih podataka u ovoj godini

Napadi ransomwarea teroriziraju tvrtke svih veličina i industrija diljem svijeta. Prema podacima koje je predstavio Atlas VPN tim, ransomware hakeri ukrali su više od 30 terabajta (TB) osobnih i drugih osjetljivih podataka u više od 300 napada 2022. godine.

10.11.2021.

Promjena pristupa u sprječavanju napada ransomwarea

Ivica Zvonko Miljak

Provođenje skaliranog i isplativog nadzora površine napada i digitalnih prijetnji daje organizacijama svih veličina najbolju šansu da identificiraju i poraze svoje protivnike

Ucjenjivački napadi (ransomware) postaju sastavni dio današnjeg života, opasni su za poduzeća i institucije, a mogu uzrokovati poremečaje i štetu u svakodnevnom životu stanovništva.

Pokušaj otkrivanja ransomwarea napadača općenito je gubitnički. Sigurnosni timovi obično izvještavaju o trenutku kada se eksploatacija ili ranjivost objavi u javnosti. Napadači obično počnu iskorištavati ranjivosti unutar 12 sati. Pristup internim mrežama odvija se brzo. Što je još problematičnije, vrijeme od početnog pristupa do eskalacije i implementacije ransomwarea može biti kraće od šest sati. Drugim riječima, bez obzira radi li se o skupu vjerodajnica pronađenih na mračnom webu i nedostatku provjere autentičnosti s dva faktora, ili iskorištavanju internetske aplikacije, zlonamjernom akteru treba vrlo malo vremena prije nego što pošalju e-poruke rukovoditeljima sa zahtjevima za otkupninom.

Obrana od ove vrste prijetnje je izazovna. Poduzećima je bolje usredotočiti se na sustavno identificiranje početnih vektora pristupa i rizika u lancu opskrbe koji služe kao prethodnici krađi podataka i napadima ransomware-a. Nadgledanje otvorenog koda, mračnog weba i vanjskog napada na površini i s odgovarajućim parametrima prikupljanja važan je alat za prepoznavanje i sprječavanje napada.

Izazovi za mala i srednja poduzeća

Odgovor u roku od šest sati je težak, ako ne i nemoguć za mala i srednja poduzeća. Općenito, nemaju resurse za implementaciju ciklusa upravljanja hitnim zakrpama brze reakcije i imaju ograničen broj sigurnosnih resursa. Ti ograničeni resursi vjerojatno su usmjereni "na mrežu", provodeći osnovno blokiranje i rješavanje problema kao što su upravljanje konfiguracijom i zakrpama, konfiguracije mrežnog i aplikacijskog vatrozida, antivirus, identificiranje kontrola upravljanja pristupom i bilježenje krajnjih točaka i Windows događaja. U najboljem slučaju, implementirali su otkrivanje krajnje točke i odgovor te SIEM, moguće putem MSSP-a.

Izazovi za velika poduzeća

Velika poduzeća s obilnijim resursima imaju šansu za borbu, ali ih ponekad može ometati birokracija. Zahtijeva usredotočenost i izvršenje kako bi se brzo sanirao početni pristup i iskorištavanja u lancu opskrbe. Sigurnosne i revizijske funkcije rutinski identificiraju ranjivosti, ali ovise o funkcijama informacijske tehnologije (i odgovarajućim procesima) za zakrpu ili uvođenje/izbacivanje - izmjenu vjerodajnica. Ovo postaje kompliciranije ako su uključene akvizicije i/ili podružnice. U tim scenarijima, upravljanje zakrpama i konfiguracijom jedinstvenih poslovnih subjekata možda se neće centralizirati. U međuvremenu, tim za lov na prijetnje u sigurnosnim operacijama promatra napadače kako napreduju i pokušava ih zadržati izvan okoline kako bi ih spriječio da se kreću bočno i eskaliraju privilegije. To nije neuobičajeno. I to je uvijek problem.

Zaustavite napadače na njihovom tragu pomoću obavještajnih podataka o prijetnjama "izvan vatrozida"

Kao što je prethodno navedeno, praćenje dolaznog i odlaznog zlonamjernog prometa do naredbenih i kontrolnih čvorova aktera ransomwarea obično je gubitnički posao s obzirom na brzinu kojom napadači mogu preuzeti kontrolu nad mrežom. To se posebno odnosi na mala i srednja poduzeća. Međutim, s pravilno definiranim i kontinuiranim nadzorom "izvan vatrozida", neispravne pogrešne konfiguracije i pogreške koje akteri ransomwarea iskorištavaju mogu se otkriti i ispraviti prije nego dođe do napada.

Nadgledanje digitalnih prijetnji na Open Source i Dark Webu

Identificiranje odgovarajućih foruma i internetskih prodajnih mjesta za praćenje digitalnih prijetnji je ključno, osobito kada se traže vjerodajnice za uređaje zaposlenika. Kada se pokušavaju otkriti interne ulazne točke i eksploatacije, ključno je da organizacije učine sljedeće:
● Pratiti osobnosti, robne marke i grupe interesa na društvenim mrežama i zatvorenim forumima
● Izvršiti nadzor površinskog, dubokog i tamnog weba upotpunjen ljudskom inteligencijom i analizom koja agregira skupove podataka o kršenju na temelju zahtjeva specifičnih za klijenta.
● Uspostaviti i održavati osobe i infrastrukturu koja se može pogrešno pripisati
● Nadgledati i otkriti curenje podataka, uključujući curenje GitHub-a
● Podržavati sve relevantne jezike

Pratite svoju vanjsku površinu napada

Vanjski nadzor površine napada kombinira najkritičnije elemente otkrivanja imovine, sjene IT-a, otkrivanja zlonamjernog/nenormalnog prometa (globalni netflow) i mapiranja infrastrukture aktera prijetnji u jednu gotovu kontekstualnu analizu. Rezultat je pogled izvana na poslovni rizik koji dionici lako mogu iskoristiti. Ovo nije samo upravljanje ranjivostima koje kontinuirano skenira perimetar.

Upravljanje vanjskim napadima nadilazi otkrivanje popisa IP-ova ili web-mjesta. To je kontekstualno razumijevanje kako se imovina izložena internetu povezuje s vašim poslovanjem i rizicima koje oni predstavljaju.
Landon Winkelvoss (suosnivač i potpredsjednik sigurnosne strategije u Nisosu) u upravo objavljenom članku ističe da provođenjem sljedećeg možete spriječiti napadače da iskoriste slabost za pristup vašoj mreži:
● Neprekidno skenirajte kako biste otkrili nepoznatu imovinu
● Koristite otiske prsta, usluge, aplikacije, softver itd. kako bi se osiguralo da je zakrpa ažurna
● Mapirajte imovinu po poslovnim lokacijama, podružnicama i trećim stranama osiguravajući dosljednost i centralizirano upravljanje
● Identificirajte položaj otkrivene imovine (ranjivosti, sjeni IT, itd.)
● Odredite geografska odstupanja ili odstupanja na temelju poslovnih jedinica
● Identificirajte infrastrukturu zlonamjernih aktera i promet unutarnjih prijetnji
● Traženje vanjskih prijetnji: Ovo je aktivna analiza tehničkih podataka kako bi se identificirale stvarne prijetnje s kojima se suočavate. S ovim informacijama možete povećati sigurnosne kontrole kako biste održali povjerljivost, integritet i dostupnost podataka, sustava i mreža
● Detekcija curenja podataka: utvrđivanje cure li preko ključnog dobavljača podatci o vašoj organizaciji
● Odredite poslovni kontekst otkriveneih sredstava

Iako ne postoji srebrni metak (silver bullet) za zaštitu od aktera ransomwarea, ključno je spriječiti ih da pristupe vašem okruženju ili iskoriste slabost u lancu opskrbe tehnologije. Provođenje opsežnog i isplativog nadzora površine napada i digitalnih prijetnji daje organizacijama svih veličina najbolju šansu da identificiraju i poraze svoje protivnike – ransomware napadače.