Päätelaitteiden suojauksen ja mobiilikäyttöjärjestelmien yleistyminen vaikeuttavat oikeudettoman koodin suorittamista yrityskäyttäjien laitteissa. Käyttöoikeustietojen kaappauskampanjat tarjoavat vaihtoehtoisen mahdollisuuden hyödyntää etätyöskentelyratkaisuja kuten VPN:t tai Desktop Gateways, pääsyyn kohdeverkkoon legitiimin väylän kautta.
Käyttöoikeustietojen kaappauskampanja alkaa tyypillisesti vakuuttavalla sähköpostilla tai tekstiviestillä, joka sisältää linkin verkkosivulle, joka rohkaisee käyttäjää antamaan käyttäjänimen, salasanan ja muuta hyödyllistä tietoa, esimerkiksi kaksivaiheiden todennuksen tunnuksen arvon. Kun rakennetaan käyttöoikeustietojen kalastelukampanjaa, menestys riippuu kyvystä läpäistä sekä tekniset kontrollit että käyttäjän kyvyt havaita väärennös. Tämä vaatii yleensä: • Voimassa olevan SSL-varmenteen • Luokitellun verkkotunnuksen • Luotettavan URL-osoitteen • Uskottavaa sisältöä • Asianmukaisesti päätetyn käyttäjäpolun • Paikan käyttöoikeustietojen sieppaamiseen ja käsittelemiseen Pelkästään uuden verkkotunnuksen rekisteröiminen ja siihen linkin lähettäminen sähköpostilla johtaa todennäköisesti epäonnistuneeseen tietojenkalastelukampanjaan. Vaikka sähköposti saavuttaisi kohdekäyttäjän, hyvin konfiguroitu yritysvälityspalvelin todennäköisesti estää liikenteen vasta rekisteröityneeseen verkkotunnukseen, koska siltä puuttuu luokittelu. Pilvipohjaiset sovelluspaketit, kuten Office365, tarjoavat mahdollisuuden julkaista sisältöä luotetulla verkkotunnuksella. Tässä NCC Group:in blogissa käydään läpi, kuinka luotettavaa Microsoftin pilvi-infrastruktuuria voidaan käyttää käyttöoikeustietojen kaappauskampanjan järjestämiseen: https://research.nccgroup.com/2020/05/14/using-sharepoint-as-a-phishing-platform/. Uusi kiristyshaittaohjelma iskee yrityksiin – salaa kaikki tiedostot ja varastaa yrityssalaisuudet5/8/2020
Kuvan lähde: https://blog.talosintelligence.com/2019/04/sodinokibi-ransomware-exploits-weblogic.html Ilta-Sanomat kirjoittaa 7.5.2020: ”Erityisen vaarallinen kiristyshaittaohjelma piinaa suomalaisyritystä –Se aiheuttaa valtavaa tuhoa”
Tämän kiristyshaittaohjelman tarttumisen käynnistävä osuus on erilainen jokaiselle vastaanottajalle (kuten kaikissa varteenotettavissa haittaohjelmissa) ja tämän takia se läpäisee useimmat perinteiset virustorjuntaohjelmat. Päästyään koneeseen se salaa kaikki käyttäjän tiedostot vahvalla salauksella, poistaa Windowsin palautuspisteet ja yrittää poistaa myös mahdolliset varmuuskopiot. Prosessin valmistuttua se kertoo tästä käyttäjälle ja antaa ohjeet purkamiseen tarvittavan salausavaimen ostamiseen tor-verkosta Bitcoineilla. Salauksen purkaminen ilman avainta ei ole realistisesti mahdollista. Haittaohjelma osaa myös tehdä kopion kaikista tiedostoista ja ladata ne haluttuun paikkaan. Tällä tavoin rikolliset voivat myös uhata julkaista saamiaan yrityksen salaisia tietoja tai myydä niitä kilpailijayrityksille, jos lunnaita ei makseta. Kuinka suojautua kiristyshaittaohjelmilta?
Kouluta käyttäjiä:
COVID-19 -pandemian aikana olemme nähneet joukon kyberuhkaajien suunnittelemia aktiviteetteja manipuloidakseen ihmisiä luovuttamaan henkilökohtaisia tietojaan ja pääsyä laitteisiinsa. Tässä uusimmassa uhkaraportissaan NCC Group kartoittaa nämä aktiviteetit uusien uhkien tunnistamiseksi ja antaa samalla neuvoja siitä, kuinka voit toimia verkoissa tällä ajanjaksolla turvallisesti. Mikä parasta, raportti ei maksa mitään eikä sido sinua mihinkään!
NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. Kiitos kun pidätte meistä kaikista huolta!
Sairaaloilla ympäri maailmaa on tarpeeksi huolta taistelussa SARS-CoV-2 virusta ja sen aiheuttamaa epidemiaa vastaan, jotta henkilökunnan tarvitsisi murehtia vielä kyberrikollisten mahdollisuuksista käyttää tilannetta hyväkseen. Kiitoksen osoituksena tekemästänne työstä ja auttaakseen osaltaan terveydenhuoltoa ympäri maailman sekä tehdäkseen missionsa mukaan yhteiskuntaa turvallisemmaksi NCC Group ja sen kyberturvallisuuden ja riskinhallinnan maailmanlaajuiset asiantuntijat tarjoavat uusinta kohdistetun ransomware -kyberuhkan raporttia terveydenhuolto-sektorille muutaman seuraavan kuukauden ajan täysin veloituksetta. Raportissa on 13 sivua, tarkemmat tiedot sisällöstä löytyvät alla olevasta lehdistötiedote-linkistä. Sairaalat voivat käyttää näitä tietoja havaitsemaan kyberrikolliset varhaisessa vaiheessa ja ryhtymään korjaaviin toimenpiteisiin parantaakseen vastustuskykyään kyberrikollisuutta vastaan. Tämän raportin ja sen päivitysten lisäksi NCC Group on koonnut uhka-analyytikkonsa, vaaratapahtumiin vastaavat ja tietoverkkojen kestävyyden parantamisen asiantuntijat vastaamaan sekä yleisiin että kiireellisiin kysymyksiin, joita raportin sisällöstä saattaa syntyä. Olemme lähettäneet tarjouksen suoraan Suomen kaikkiin terveydenhoitopiireihin ja jotkut niistä ovat jo tarttuneet tarjoukseen. Jos haluat raportin, laita vapaamuotoinen sähköposti osoitteeseen info@netect.fi.
NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. 2019 vuosikirjassaan Suojelupoliisi kertoo Suomalaisiin organisaatioihin kohdistuvasta kybervakoilusta. Heidän havaintonsa ovat hyvin samankaltaisia kuin kansainvälisten kyberrikollisuusselvitysten havainnot edistyneestä tietojärjestelmiin tunkeutumisesta. Molempien mukaan ensimmäinen askel tietojärjestelmään tunkeutumisessa on yleensä personoitu ja kohdennuttu kalastelusähköposti tai nykyään myös muun viestijärjestelmän viesti. Näitä vastaan puolustautuminen on lähtökohtaisesti vaikeaa, koska vastaanottajan toimenkuvaan yleensä kuuluu avata saamansa viestit ja reagoida niihin. Hyökkäysvektorin sisältävä viesti voi olla mahdoton erottaa ja tunkeutumisen edetessä se saattaa jopa tulla oman organisaation sisältä. Supon kuvailemien keinojen lisäksi organisaation kannattaa varmistua siitä, että käytössä oleva tietoturvaohjelmisto havaitsee esimerkiksi sähköpostin liitteen avaamisesta tai web linkin klikkaamisesta käynnistyneen uuden ja ennalta tuntemattoman prosessin, sekä tehdä tarvittavat varotoimet tämän jälkeen. Vaikka kalasteluhyökkäys onnistuisi ja käyttäjä asentaisi päätelaitteelleen hyökkääjän ohjelman on hyökkäys vielä mahdollista tunnistaa seuraamalla verkkoliikennettä, sisäänkirjautumisia ja tunnistamalla sieltä anomalioita ajan, osoitteen ja liikennetyyppien suhteen. Järjestelmien lokien keskitetty seuranta ja poikkeamien raportointi on tärkeää. Jos organisaatiosi tietoturvajärjestelmä ei havaitse tunkeutumista välittömästi on todennäköistä, että tunkeutuja saa toimia suhteellisen rauhassa. Keskimääräinen tietomurron havaitsemiseen kuluva aika on tällöin >200 päivää ja murtautujalla on hyvin aikaa päästä tavoitteeseensa. Lähde:
NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. |