Yrityskäyttäjiin kohdistettu kalastelukampanja asentaa käyttäjän laitteeseen haittaohjelman, joka mahdollistaa komentojen suorittamisen ja jatkohyökkäyksen yrityksen verkkoon. Käyttäjä saa kalastelusähköpostin, joka on otsikoitu asiakaspalautteeksi, palkkaraportiksi tai listaksi päättyneistä työsuhteista. Sähköposti ei sisällä liitettä vaan linkin Google Docs palveluun.
Linkki johtaa sivulle, jossa kerrotaan, että jos dokumentin katselu ei onnistu automaattisesti niin klikkaa tästä. Linkin klikkaaminen käynnistää tiedoston lataamisen käyttäjän koneelle ja koska Windows oletusarvoisesti piilottaa tiedostojen nimien päätteet, ei käyttäjä huomaa lataavansa suoritettavaa tiedostoa. Kun tiedosto käynnistetään, se ottaa yhteyttä komentopalvelimeen ja tarkastaa onko siellä tehtäviä tälle haltuun otetulle laitteelle. Saatuaan haittaohjelman ladattua se lisätään suoraan osaksi Windowsin käyttöjärjestelmärutiinia tiedostoon svchost.exe. Lisäksi ohjelma lisää käyttäjän sisäänkirjautumiseen ajastetun tehtävän, joka tarkistaa onko haittaohjelma jo ladattu ja onko siitä päivitettyä versiota saatavilla. Käyttäjän kone jää siis avoimeksi hyväksikäyttäjälle, kunnes haittaohjelma ja sen tekemät muutokset on poistettu. Jos virustorjuntaohjelma ei alun perin estä käyttäjää suorittamasta .doc.exe tai .pdf.exe päätteisiä tiedostoja on tilanne hankala, haittaohjelman latausosuus tekee muutokset svchost.exeen vaikeasti havaittavalla tavalla ja kyseinen prosessi on joka tapauksessa jatkuvasti suorituksessa yhtenä tai useampana instanssina, joten sekään ei herätä huomiota. Muistakaa kouluttaa käyttäjiänne sähköpostikalastelun vaaroista ja huolehtia siitä, että yrityksenne tietoturva on riittävällä tasolla! Lähteet: Päätelaitteiden suojauksen ja mobiilikäyttöjärjestelmien yleistyminen vaikeuttavat oikeudettoman koodin suorittamista yrityskäyttäjien laitteissa. Käyttöoikeustietojen kaappauskampanjat tarjoavat vaihtoehtoisen mahdollisuuden hyödyntää etätyöskentelyratkaisuja kuten VPN:t tai Desktop Gateways, pääsyyn kohdeverkkoon legitiimin väylän kautta.
Käyttöoikeustietojen kaappauskampanja alkaa tyypillisesti vakuuttavalla sähköpostilla tai tekstiviestillä, joka sisältää linkin verkkosivulle, joka rohkaisee käyttäjää antamaan käyttäjänimen, salasanan ja muuta hyödyllistä tietoa, esimerkiksi kaksivaiheiden todennuksen tunnuksen arvon. Kun rakennetaan käyttöoikeustietojen kalastelukampanjaa, menestys riippuu kyvystä läpäistä sekä tekniset kontrollit että käyttäjän kyvyt havaita väärennös. Tämä vaatii yleensä: • Voimassa olevan SSL-varmenteen • Luokitellun verkkotunnuksen • Luotettavan URL-osoitteen • Uskottavaa sisältöä • Asianmukaisesti päätetyn käyttäjäpolun • Paikan käyttöoikeustietojen sieppaamiseen ja käsittelemiseen Pelkästään uuden verkkotunnuksen rekisteröiminen ja siihen linkin lähettäminen sähköpostilla johtaa todennäköisesti epäonnistuneeseen tietojenkalastelukampanjaan. Vaikka sähköposti saavuttaisi kohdekäyttäjän, hyvin konfiguroitu yritysvälityspalvelin todennäköisesti estää liikenteen vasta rekisteröityneeseen verkkotunnukseen, koska siltä puuttuu luokittelu. Pilvipohjaiset sovelluspaketit, kuten Office365, tarjoavat mahdollisuuden julkaista sisältöä luotetulla verkkotunnuksella. Tässä NCC Group:in blogissa käydään läpi, kuinka luotettavaa Microsoftin pilvi-infrastruktuuria voidaan käyttää käyttöoikeustietojen kaappauskampanjan järjestämiseen: https://research.nccgroup.com/2020/05/14/using-sharepoint-as-a-phishing-platform/. Uusi kiristyshaittaohjelma iskee yrityksiin – salaa kaikki tiedostot ja varastaa yrityssalaisuudet5/8/2020
Kuvan lähde: https://blog.talosintelligence.com/2019/04/sodinokibi-ransomware-exploits-weblogic.html Ilta-Sanomat kirjoittaa 7.5.2020: ”Erityisen vaarallinen kiristyshaittaohjelma piinaa suomalaisyritystä –Se aiheuttaa valtavaa tuhoa”
Tämän kiristyshaittaohjelman tarttumisen käynnistävä osuus on erilainen jokaiselle vastaanottajalle (kuten kaikissa varteenotettavissa haittaohjelmissa) ja tämän takia se läpäisee useimmat perinteiset virustorjuntaohjelmat. Päästyään koneeseen se salaa kaikki käyttäjän tiedostot vahvalla salauksella, poistaa Windowsin palautuspisteet ja yrittää poistaa myös mahdolliset varmuuskopiot. Prosessin valmistuttua se kertoo tästä käyttäjälle ja antaa ohjeet purkamiseen tarvittavan salausavaimen ostamiseen tor-verkosta Bitcoineilla. Salauksen purkaminen ilman avainta ei ole realistisesti mahdollista. Haittaohjelma osaa myös tehdä kopion kaikista tiedostoista ja ladata ne haluttuun paikkaan. Tällä tavoin rikolliset voivat myös uhata julkaista saamiaan yrityksen salaisia tietoja tai myydä niitä kilpailijayrityksille, jos lunnaita ei makseta. Kuinka suojautua kiristyshaittaohjelmilta?
Kouluta käyttäjiä:
COVID-19 -pandemian aikana olemme nähneet joukon kyberuhkaajien suunnittelemia aktiviteetteja manipuloidakseen ihmisiä luovuttamaan henkilökohtaisia tietojaan ja pääsyä laitteisiinsa. Tässä uusimmassa uhkaraportissaan NCC Group kartoittaa nämä aktiviteetit uusien uhkien tunnistamiseksi ja antaa samalla neuvoja siitä, kuinka voit toimia verkoissa tällä ajanjaksolla turvallisesti. Mikä parasta, raportti ei maksa mitään eikä sido sinua mihinkään!
NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. Kiitos kun pidätte meistä kaikista huolta!
Sairaaloilla ympäri maailmaa on tarpeeksi huolta taistelussa SARS-CoV-2 virusta ja sen aiheuttamaa epidemiaa vastaan, jotta henkilökunnan tarvitsisi murehtia vielä kyberrikollisten mahdollisuuksista käyttää tilannetta hyväkseen. Kiitoksen osoituksena tekemästänne työstä ja auttaakseen osaltaan terveydenhuoltoa ympäri maailman sekä tehdäkseen missionsa mukaan yhteiskuntaa turvallisemmaksi NCC Group ja sen kyberturvallisuuden ja riskinhallinnan maailmanlaajuiset asiantuntijat tarjoavat uusinta kohdistetun ransomware -kyberuhkan raporttia terveydenhuolto-sektorille muutaman seuraavan kuukauden ajan täysin veloituksetta. Raportissa on 13 sivua, tarkemmat tiedot sisällöstä löytyvät alla olevasta lehdistötiedote-linkistä. Sairaalat voivat käyttää näitä tietoja havaitsemaan kyberrikolliset varhaisessa vaiheessa ja ryhtymään korjaaviin toimenpiteisiin parantaakseen vastustuskykyään kyberrikollisuutta vastaan. Tämän raportin ja sen päivitysten lisäksi NCC Group on koonnut uhka-analyytikkonsa, vaaratapahtumiin vastaavat ja tietoverkkojen kestävyyden parantamisen asiantuntijat vastaamaan sekä yleisiin että kiireellisiin kysymyksiin, joita raportin sisällöstä saattaa syntyä. Olemme lähettäneet tarjouksen suoraan Suomen kaikkiin terveydenhoitopiireihin ja jotkut niistä ovat jo tarttuneet tarjoukseen. Jos haluat raportin, laita vapaamuotoinen sähköposti osoitteeseen info@netect.fi.
NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. |