Анализ “ахиллесовой пяты” кибербезопасности через призму атаки вымогательской группы D0nut
Ландшафт кибербезопасности – это непрерывное поле боя, где злоумышленники неустанно ищут уязвимости, так называемые “ахиллесовы пяты” систем, чтобы получить несанкционированный доступ. Примером тому служит группа вымогателей D0nut, которая нацеливается на непропатченные сети, серверы, устаревшие операционные системы и пользователей без многофакторной аутентификации (MFA).
В одной из конкретных атак на вымогателей группа D0nut использовала тактику двойного вымогательства, не только шифруя данные жертвы, но и эксфильтруя их, чтобы увеличить рычаги воздействия при требовании выкупа. В данном случае речь шла о взломанных машинах и пользователях, причем Machine1 стала начальной точкой атаки из-за пропущенной MFA-защиты, что свидетельствует о важнейшей человеческой ошибке. Злоумышленник воспользовался этой брешью, продвигаясь по сети вбок и компрометируя дополнительные машины.
Основные уязвимости, использованные в этой атаке, включали незащищенные машины, выходящие в интернет, и использование менее контролируемых учетных записей подрядчиков, в частности учетной записи “теневого администратора”. Эти аккаунты, являясь высокопривилегированными и в то же время сложными для контроля, представляют собой привлекательную цель для злоумышленников.
Чтобы противостоять таким угрозам, Silverfort рекомендует несколько стратегий:
- Защита машин, выходящих в интернет, с помощью MFA: внедри MFA на всех машинах, выходящих в интернет, чтобы предотвратить несанкционированный доступ.
- Использование SIEM для отслеживания неудачных попыток MFA: Используй системы управления информацией и событиями безопасности для обнаружения неудачных попыток MFA и реагирования на них.
- Защита служебных учетных записей: Используй управление доступом и движки рисков на основе ИИ для мониторинга и контроля служебных аккаунтов.
- Смягчение рисков, связанных с теневыми администраторами: Выявляй и управляй учетными записями теневых администраторов, ограничивая их привилегии или защищая их с помощью MFA.
Этот пример подчеркивает, что организациям крайне необходимо оперативно распознавать и устранять пробелы в системе безопасности. Развивающаяся тактика таких групп, как D0nut, напоминает нам, что бдительность и проактивные меры безопасности незаменимы в современном цифровом ландшафте.
Источник: Как группа вымогателей пончиков нацелилась на “ахиллесову пяту” кибербезопасности