Kübermaailma pimedam pool on viimastel aastatel muutunud omaette majanduseks. Kui küberkuritegevus panna maailma majanduse konteksti, siis on see suuruselt kolmas, USA ja Hiina majanduse järel. Seal, kus kunagi toimetasid üksikud häkkerid ja väiksemad rühmitused, tegutseb nüüd terve ökosüsteem, mis ostab, müüb ja vahetab varastatud andmeid, pahavara ning ligipääse ettevõtete süsteemidesse. Samas on “küberallilm” samaaegselt nii oht kui ka võimalus – oht kaitsmata organisatsioonidele, aga ka võimalus neile, kes suudavad seda luureinfot oma kaitsetegevuses operatiivselt rakendada.
Varastatud kasutajatunnused, haavatavad süsteemid ja andmepüügikirjad
Rünnakud ei toimu enam juhuslikult ega spontaanselt. Küberkurjategijad on järjest enam spetsialiseerunud täitma kindlaid rolle. Informatsiooni ja ligipääse müüakse edasi järgmistele ning selles ahelas võib olla aja jooksul palju osapooli. Infot võidakse müüa näiteks tumeveebis, kuritegelikes foorumites ja Telegrami kanalites. Kõige sagedasemad sisenemispunktid on endiselt lihtsad: varastatud kasutajatunnused, haavatavad süsteemid ning oskuslikult koostatud andmepüügikirjad. Ent kuigi need meetodid on triviaalset laadi, näitavad nad selgelt, et isegi kõrgtasemel kaitsemehhanismid, nagu EDR-id ja mitmefaktorautentimine, ei suuda kõiki ründeid peatada.
Infostealer-pahavara
Üheks enim tähelepanu pälvinud nähtuseks on infostealer-pahavara kiire levik. See on tööriist, mis kogub ohvri seadmest kõik väärtusliku – salvestatud paroolid, brauseriküpsised, krediitkaardiandmed, süsteemi- ja seadmeinfo, krüptorahakottide võtmed ning isegi TOTP-autentimise laienduste andmed. Need logid koondatakse paketina ja liiguvad edasi Telegrami kanalitesse, kus neid jagatakse, müüakse ja kombineeritakse uute rünnakute tarbeks. Stealerite puhul veel oluline detail on, et kõige rohkem lekkeid saab alguse kodustest seadmetest, kus toimuvale pole ettevõtte turvatarkvaradel nähtavust. Seetõttu jäävad sealsed intsidendid tihti avastamata ning esmane info lekkest võib tulla alles järgnevatest ründekatsetest või tumeveebi/telegrami postitustest. Sageli algab kogu ahel süütuna näivast toimingust – kasutaja laadib alla tasuta tarkvaraparanduse või klikib mõnel kahtlasel lingil. Ründajad saavad seeläbi juurdepääsu nii isiklikele kui ka ettevõtte andmetele, ning üksainus nakatunud seade võib osutuda sillaks ettevõtte sisevõrku.
Sessioonitokenite ja küpsiste vargus
Eriti ohtlikuks on kujunenud sessioonitokenite ja küpsiste vargus. Kuigi ettevõtted on viimastel aastatel investeerinud tugevalt mitmefaktorautentimisse, näitavad reaalsed juhtumid, et see ei päästa, kui ründajal on olemas juba kehtiv sessioon. Küpsise või tokeni abil saab pahatahtlik isik logida sisse nagu legitiimne kasutaja – ilma parooli või OTPta. Selliseid ründeid on seostatud näiteks Snowflake’i andmeleketega, kus infostealerite kaudu saadud andmed viisid otseselt klientide andmebaaside kompromiteerimiseni.
Turvakihid
Kaitsemeetmete rakendamisel ei tohiks piirduda ainult traditsiooniliste turvakihtidega. Väga oluline on, et ettevõtte suudaks jälgida anomaaliaid kasutajate ja seadmete käitumises – näiteks ootamatuid IP-aadresse, geograafilisi nihkeid või ebatavalist sessiooni pikkust. Samuti on kriitiline tuvastada ja tühistada kõik aktiivsed sessioonid seadmetes, kus on avastatud pahavara. Sellist seiret on võimalik rakendada Flare platvormiga, mis on võimeline avastama lekkinud küpsiseid enne, kui neist saab ründe tööriist.
Uus rinne rünnakuteks – tarkvaraarenduse tarneahelad
Üha sagedamini on küberkurjategijate sihtmärgiks tarkvaraarendusega tegelevad ettevõtted. Tarkvaraarenduse tarneahelad on saanud uueks rindeks, kus iga avalik või privaatne git-repo võib peita salajasi võtmeid ja API-tokeneid. Kui need satuvad valedesse kätesse, on jama majas. Näiteks SalesLofti ja Drifti juhtumid, kus arendajate kaudu pääseti ligi pilveteenuste kontodele ning nendega integreeritud süsteemidesse. Sageli piisab ühest paroolist või lekkivast OAuth-tokenist, et terve ettevõtte ökosüsteem avaneks ründajale. Näiteks võivad ründajad otsida arendussüsteemidesse pääsemisel võtmeid privaatsetest repodest automatiseeritud tööriistadega nagu Trufflehog. Seda võib ka ennetavalt ise kasutada enda süsteemide kontrollimiseks.
Väärtuslik infokildude varamu
Kokkuvõtteks võib öelda, et küberallilm ei ole midagi, mida tuleks pelgalt karta – see on ka väärtuslik infokildude varamu. Sama teavet, mida kurjategijad kasutavad rünnakute ettevalmistamiseks, saab kasutada kaitse tugevdamiseks. Flare ja sarnased platvormid võimaldavad jälgida domeene, mis üritavad ettevõtte kaubamärki matkida, tuvastada varastatud kasutajakontosid ning siduda ründajate tegevust erinevates kanalites OSINT-tehnikate abil.
Küsi lisa:
Kuidas saame Sulle abiks olla? (OIXIO Cyber)
Võta ühendust, kui soovid suhelda eksperdiga.
* tähistatud väljad on kohustuslikud