Zdemaskowanie grupy wymuszającej D0nut: Głębokie zanurzenie w lukach w cyberbezpieczeństwie i środkach zaradczych

Analiza pięty achillesowej cyberbezpieczeństwa przez pryzmat ataku grupy wymuszającej D0nut

Krajobraz cyberbezpieczeństwa to ciągłe pole bitwy, na którym atakujący nieustannie szukają luk w zabezpieczeniach, tak zwanych pięt achillesowych systemów, aby uzyskać nieautoryzowany dostęp. Grupa wymuszająca D0nut jest tego przykładem, atakując niezałatane sieci, serwery, przestarzałe systemy operacyjne i użytkowników bez uwierzytelniania wieloskładnikowego (MFA).

W konkretnym ataku ransomware grupa D0nut zastosowała taktykę podwójnego wymuszenia, nie tylko szyfrując dane ofiary, ale także eksfiltrując je w celu zwiększenia przewagi w żądaniach okupu. Przypadek ten obejmował zainfekowane maszyny i użytkowników, przy czym Machine1 była początkowym punktem ataku z powodu pominięcia ochrony MFA, podkreślając kluczowy błąd ludzki. Atakujący wykorzystał tę lukę, przemieszczając się w poprzek sieci i atakując kolejne maszyny.

Kluczowe luki wykorzystane w tym ataku obejmowały niezabezpieczone komputery z dostępem do Internetu oraz wykorzystanie mniej monitorowanych kont kontrahentów, w szczególności konta “shadow admin”. Konta te, jako wysoce uprzywilejowane, a jednocześnie trudne do monitorowania, stanowią atrakcyjny cel dla atakujących.

Aby przeciwdziałać takim zagrożeniom, Silverfort zaleca kilka strategii:

  1. Ochrona komputerów z dostępem do Internetu za pomocą uwierzytelniania wieloskładnikowego: Wdrożenie uwierzytelniania wieloskładnikowego na wszystkich komputerach z dostępem do Internetu w celu zapobiegania nieautoryzowanemu dostępowi.
  2. Wykorzystanie SIEM do monitorowania nieudanych prób MFA: Wykorzystanie systemów zarządzania informacjami i zdarzeniami bezpieczeństwa do wykrywania nieudanych prób MFA i reagowania na nie.
  3. Ochrona kont usług: Wykorzystanie zarządzania dostępem i silników ryzyka opartych na sztucznej inteligencji do monitorowania i kontrolowania kont usług.
  4. Ograniczanie ryzyka związanego z shadow admin: Identyfikacja kont shadow admin i zarządzanie nimi poprzez ograniczenie ich uprawnień lub ochronę za pomocą MFA.

To studium przypadku podkreśla konieczność szybkiego rozpoznawania i eliminowania luk w zabezpieczeniach przez organizacje. Ewoluujące taktyki grup takich jak D0nut przypominają nam, że czujność i proaktywne środki bezpieczeństwa są niezbędne w dzisiejszym cyfrowym krajobrazie.

Źródło: Jak grupa wymuszająca pączki celuje w piętę achillesową cyberbezpieczeństwa

Udostępnij post: