Analizând călcâiul lui Ahile în securitatea cibernetică prin prisma atacului grupului de extorcare D0nut
Peisajul securității cibernetice este un câmp de luptă continuu, în care atacatorii caută neîncetat vulnerabilități, așa-numitele “călcâie ale lui Ahile” ale sistemelor, pentru a obține acces neautorizat. Grupul de extorcare D0nut exemplifică acest lucru prin faptul că vizează rețelele fără patch-uri, serverele, sistemele de operare învechite și utilizatorii fără autentificare multifactorială (MFA).
Într-un atac specific de ransomware, grupul D0nut a folosit o tactică dublă de extorcare, nu doar criptarea datelor victimei, ci și exfiltrarea acestora pentru a obține un avantaj sporit în ceea ce privește cererile de răscumpărare. În acest caz au fost implicate mașini și utilizatori compromiși, Mașina1 fiind punctul inițial de atac din cauza unei protecții MFA ratate, ceea ce evidențiază o eroare umană crucială. Atacatorul a exploatat această breșă, deplasându-se lateral în rețea și compromițând alte mașini.
Printre vulnerabilitățile cheie utilizate în acest atac se numără mașinile neprotejate care se confruntă cu internetul și exploatarea conturilor de contractori mai puțin monitorizate, în special a unui cont de “administrator din umbră”. Aceste conturi, fiind extrem de privilegiate, dar dificil de monitorizat, reprezintă o țintă atractivă pentru atacatori.
Pentru a contracara astfel de amenințări, Silverfort recomandă mai multe strategii:
- Protejarea cu MFA a mașinilor cu acces la internet: Implementarea MFA pe toate mașinile cu acces la internet pentru a preveni accesul neautorizat.
- Utilizarea SIEM pentru monitorizarea AMF-urilor refuzate: Folosirea sistemelor de gestionare a informațiilor și evenimentelor de securitate pentru a detecta și a răspunde la încercările eșuate de MFA.
- Protejarea conturilor de servicii: Utilizarea gestionării accesului și a motoarelor de risc bazate pe inteligență artificială pentru a monitoriza și controla conturile de servicii.
- Atenuarea riscurilor administrației subterane: Identificarea și gestionarea conturilor de administrator alternativ, fie prin limitarea privilegiilor acestora, fie prin protejarea lor cu MFA.
Acest studiu de caz subliniază necesitatea imperativă ca organizațiile să recunoască și să abordeze rapid lacunele de securitate. Tacticile în evoluție ale unor grupuri precum D0nut ne reamintesc că vigilența și măsurile proactive de securitate sunt indispensabile în peisajul digital de astăzi.
Sursa: Modul în care grupul de extorcare a gogoșilor țintește călcâiul lui Ahile în securitatea cibernetică