Статті

Человеческий фактор - ахиллесова пята систем безопасности

Европейский институт биомолекулярных исследований, занимающийся изучением COVID-19, а также деятельностью, связанной с науками о жизни, был недавно подвержен кибератаке с использованием программы вымогателя Ryuk. Институт имеет тесные партнерские отношения с местными университетами и работает со студентами по различным программам. Для сдерживания и нейтрализации атаки были привлечены специалисты компании Sophos.

Атака Ryuk привела к потере недельного сбора важных исследовательских данных, потому что, хотя у них были резервные копии, они были не совсем актуальными. В результате пришлось восстанавливать файловые системы серверов и рабочих станций прежде чем можно было воспользоваться резервными копиями. Однако, возможно, самым тяжелым уроком было понимание того, что атаки и ее последствий можно было избежать, используя более надежный подход к организации доступу в рабочую сеть.

После локализации кибератаки, специалисты Sophos используя доступные журналы событий проследили шаги, предпринятые злоумышленниками, а также инструменты и методы, используемые на каждом этапе. Специалисты обнаружили, что злоумышленники получили доступ к домену, и использовали его для развертывания программы-вымогателя Ryuk с помощью ряда запланированных задач. Когда они полностью восстановили ход событий, то поняли, что к взлому системы привела человеческая ошибка и неверная оценка безопасности.

Человеческая ошибка может произойти в любой организации

Причина, по которой была осуществлена полноценная атака, заключалась в том, что в институте не было защиты, позволяющей исправить эту уязвимость. В основе совершенной атаки лежал подход к разрешению доступа к сети людям, не входящим в организацию. Студенты, работающие с институтом, используют свои персональные компьютеры для доступа к сети института. Они могут подключаться к сети через удаленные сеансы Citrix без необходимости двухфакторной аутентификации.

Институт стал известен в тот момент, когда один из этих студентов-заочников решил, что им нужна личная копия программного инструмента для визуализации данных, который они уже использовали в работе. Лицензия на одного пользователя могла стоить им сотни долларов в год, поэтому они разместили вопрос на исследовательском онлайн-форуме, спрашивая, знает ли кто-нибудь о бесплатной альтернативе (специалисты Sophos знают это, потому что студент передал свой ноутбук для анализа и стали ясны все масштабы происшествия).

3_05

Когда студенты не смогли найти подходящую бесплатную версию, они начали искать взломанную версию программного обеспечения. Они нашли то, что выглядело так, и попытались установить. Однако на самом деле файл был полноценной вредоносной программой, и попытка установки сразу же вызвала предупреждение системы безопасности от Защитника Windows. Пользователь отключил Защитник Windows - и в то же время, похоже, также отключил свой брандмауэр - и попытался снова. На этот раз это сработало.

Итак, вместо взломанной копии инструмента визуализации, который они искали, ученик получил вредоносную программу для кражи информации, которая после установки начала регистрировать нажатия клавиш, красть данные браузера, файлы cookie, буфер обмена и многое другое. Где-то по пути он, по-видимому, также нашел учетные данные студента для доступа к сети института.

Тринадцать дней спустя подключение по протоколу удаленного рабочего стола (RDP) было зарегистрировано в сети института с использованием учетных данных студента. Оно пришло с компьютера, названного «Тоторо», возможно, в честь персонажа аниме.

Особенностью RDP является то, что соединение также запускает автоматическую установку драйвера принтера, позволяя пользователям печатать документы удаленно. Это позволило группе по расследованию Rapid Response установить, что зарегистрированное RDP-соединение использует драйвер принтера на русском языке и, скорее всего, является мошенническим. Через десять дней после установления связи была запущена программа-вымогатель Ryuk.

Пираты прокладывают путь вымогателям

«Маловероятно, что операторы, стоящие за «пиратским программным обеспечением», те же, что и те, кто запустил атаку Ryuk», - сказал Питер Маккензи, менеджер Rapid Response в Sophos. «Подпольный рынок ранее скомпрометированных сетей, предлагающий злоумышленникам простой начальный доступ, процветает, поэтому мы полагаем, что операторы вредоносных программ продали свой доступ другому злоумышленнику. Соединение RDP могло использоваться брокерами доступа, проверяющими их доступ.

«Расследование инцидентов имеет решающее значение, потому что они позволяют нам увидеть, как развивалась атака, и помогают понять и устранить пробелы в безопасности в будущем. В этом случае реализация надежной сетевой аутентификации и контроля доступа в сочетании с обучением конечных пользователей могла бы предотвратить эту атаку. Он служит убедительным напоминанием о том, насколько важно правильно понимать основы безопасности».

4_02

Рекомендации

Sophos рекомендует предпринять следующие действия для защиты от злоупотреблений доступом к сети:

  1. По возможности включите многофакторную аутентификацию (MFA) для всех, кому требуется доступ к внутренним сетям, включая внешних сотрудников и партнеров.
  2. Разработайте надежную политику паролей для всех, кто имеет доступ к внутренним сетям.
  3. Вывод из эксплуатации и/или обновление любых неподдерживаемых операционных систем и приложений
  4. Проверьте и установите программное обеспечение по защите рабочих станций на все компьютеры.
  5. Регулярно просматривайте и устанавливайте последние исправления программного обеспечения на всех компьютерах и проверяйте, правильно ли они установлены.
  6. Проверяйте использование прокси-серверов и регулярно проверяйте политики безопасности, чтобы предотвратить доступ к вредоносным веб-сайтам и/или загрузку вредоносных файлов кем-либо в сети.
  7. Блокируйте доступ RDP к удаленному рабочему столу с помощью правил, с помощью групповой политики или с помощью списков контроля доступа.
  8. Реализуйте разделение для любого доступа к сети, в том числе для локальных сетей (или рассмотрите возможность использования виртуальных локальных сетей) и, где необходимо, используйте оборудование / программное обеспечение / списки управления доступом.
  9. Постоянно просматривайте учетные записи домена и компьютеры, удаляя все неиспользуемые или ненужные.
  10. Просматривайте конфигурации брандмауэра и вносите в белый список только трафик, предназначенный для известных пунктов назначения.
  11. Ограничьте использование учетных записей администратора разными пользователями, поскольку это способствует совместному использованию учетных данных, что может привести к множеству других уязвимостей безопасности.

Никогда не стоит забывать главное правило - ваша безопасность в первую очередь зависит от вас. А если вам или вашей компании нужна помощь в вопросах кибербезопасности, то компания InfoTel может помочь вам разобраться в этой задачей и оставить заботы о защите ваших данных нашей команде профессионалов.

InfoTel – партнер Sophos в Украине, широкопрофильный системный интегратор комплексных телекоммуникационных и информационных решений, опыт внедрения с 2004 г. 

По материалам компании Sophos

 

Материалы по теме:
Комментарии: