eWAY s.r.o.

Neočakávaná interná hrozba: Severokórejský hacker ako IT inžinier v KnowBe4

kyberbezpečnosť cybersecurity interne hrozby

Neočakávaná interná hrozba: severokórejský hacker ako IT inžinier v KnowBe4

Prípad interných hrozieb aj priamo u výrobcu vzdelávacej platformy o kybernetickej bezpečnosti!
Spoločnosť Knowbe4 nedávno uverejnila informáciu, ktorou sa snaží verejnosť informovať o dôležitosti poriadnych kontrol a bezpečnostných nastavení vo vnútri spoločností.

Našťastie, vďaka rýchlej reakcii ich bezpečnostného tímu neboli stratené žiadne dáta, ukradnutý žiaden prístup ani nedošlo ku kompromitácii akýchkoľvek ich služieb. Spoločnosť túto informáciu ohlásila verejnosti pretože „ak sa to môže stať im, môže sa stať takmer komukoľvek“. Prípad ale zdôrazňuje pokračujúcu hrozbu severokórejských hackerov.

Na pozíciu IT inžiniera totiž spoločnosť, napriek previerke zamestnanca pred podpisom zmluvy a radom videopohovorov, prijala osobu, ktorá bola v skutočnosti severokórejským hackerom.  S ukradnutou identitou sa vydával za iného US občana, a jeho fotka a tvár na videopohovory boli sfalšované pomocou AI.  Ďalej to funguje to tak, že falošný pracovník požiada o zaslanie svojej pracovnej stanice (notebooku) na adresu, ktorá je v podstate „farma notebookov IT“. Potom sa cez VPN dostanú z miesta, kde sa skutočne fyzicky nachádzajú (Severná Kórea) a pracujú v nočných zmenách, takže sa zdá, že pracujú cez deň v USA.

V jeden deň ale došlo z jeho strany k podozrivej aktivite, ktorú tím SOC spoločnosti Knowbe4 hneď identifikoval a kontaktoval používateľa, aby aktivitu vysvetlil – ten sa najprv vyhovoril, že sa iba pokúšal postupovať podľa krokov v sprievodcovi smerovača na riešenie problému s rýchlosťou pripojenia, a že to mohlo spôsobiť podozrivú aktivitu. Pokračoval ale s rôznymi akciami na manipuláciu so súbormi histórie relácie a prenosom potenciálne škodlivých súborov na spustenie neoprávneného softvéru  – SOC tím sa vtedy pokúsil získať ďalšie informácie vrátane využitia telefonického hovoru, ale to už aktér prestal reagovať.

Šťastím a dobrou praktikou bolo, že Knowbe4 má nových zamestnancov vo veľmi obmedzenom pracovnom priestore IT systémov, keď začínajú, a nemajú prístup k produkčným systémom. Ich prísne kontroly a bezpečnostné procesy to veľmi rýchlo zachytili, ale bol to určite poučný moment, na ktorom sa ostatný môžu poučiť.

ODPORÚČANÉ ZLEPŠENIE PROCESOV:

  • Nespoliehajte sa len na e-mailové referencie – nemusia byť riadne preveriteľné.
  • Implementujte vylepšené monitorovanie akýchkoľvek pokusov o prístup k systémom.
  • Preskúmajte a posilnite kontroly prístupu a procesy autentifikácie.
  • Uskutočnite školenia pre zamestnancov v oblasti informovanosti o bezpečnosti s dôrazom na taktiku sociálneho inžinierstva

NA ČO SI DÁVAŤ POZOR:

  • Používanie čísel VOIP a nedostatok digitálnej stopy pre poskytnuté kontaktné informácie
  • Nezrovnalosti v adrese a dátume narodenia v rôznych zdrojoch
  • Konfliktné osobné údaje (rodinný stav, „mimoriadne udalosti v rodine“ vysvetľujúce nedostupnosť)
  • Sofistikované využitie sietí VPN alebo VM na prístup k podnikovým systémom
  • Pokus o spustenie malvéru a následné krytie sa

Subjekt preukázal vysokú úroveň sofistikovanosti pri vytváraní dôveryhodnej krycej identity, využívaní nedostatkov v procesoch prijímania zamestnancov a previerky pozadí.

V tomto prípade ide o dobre organizovaný, štátom podporovaný veľký zločinecký kruh s rozsiahlymi zdrojmi. Prípad poukazuje na kritickú potrebu robustnejších procesov preverovania, nepretržitého monitorovania bezpečnosti a zlepšenej koordinácie medzi tímami ľudských zdrojov, IT a bezpečnostných tímov pri ochrane pred pokročilými pretrvávajúcimi hrozbami.

Ransomware a BEC útoky predstavujú takmer 70 % kybernetických incidentov

ransomware attack phishing

Nová štúdia odhalila, že ransomware a BEC útoky predstavujú takmer 70 % kybernetických incidentov

Poznáte skutočné bezpečnostné riziká svojej organizácie a miesta kde by ste mali najviac cieliť svoje zdroje? Nová štúdia od Palo Alto Networks vrhá trochu svetla na tieto otázky.

Správa obsahuje vzorku viac ako 600 prípadov reakcií na incidenty a zdôraznila hlavné počiatočné vektory útokov, ktoré používajú aktéri hrozieb. Čo bolo na správe veľmi zaujímavé je, že najčastejšie typy útokov sú ransomvér a BEC, ktoré spolu predstavujú takmer 70 % incidentov.

Podľa správy o ransomvéroch „požiadavky na výkupné dosahovali až 30 miliónov dolárov a skutočné výplaty dosahovali až 8 miliónov dolárov, čo je stabilný nárast v porovnaní so zisteniami z minulých rokov“. A veľmi častými útokmi BEC (Business Email Compromise) správa ukazuje, že jednoduché metódy sociálneho inžinierstva umožňujú kybernetickým zločincom ľahký prístup k rôznym užívateľským účtom spoločnosti. Po získaní prístupu bola priemerná doba výpadku po BEC útoku 38 dní a priemerná ukradnutá suma bola 286 000 USD.

Správa tiež obsahuje aj dôsledky incidentov, ako napríklad, že najvyššie ransomvérové výkupné je požadované vo finančnom sektore a sektore nehnuteľností. Najčastejšie tri vektory počiatočného prístupu sú phishing, zraniteľnosti voľne šíriteľných softvérov a aplikácie pre pripojenie na vzdialenú pracovnú plochu.

Vo vyhlásení Wendi Whitmore, viceprezidentka a vedúca v Palo Alto Networks, uviedla: Práve teraz je kybernetická kriminalita jednoduchým „podnikaním“, pretože má nízke náklady a často vysokú návratnosť. Začalo to tým, že prístup k nástrojom ako hacking-as-a-service sa stal populárnejším a dostupným na dark webe.“

Táto správa vrhá svetlo na dôležitosť školenia o bezpečnosti. Vaši zamestnanci sa môžu naučiť, ako rozpoznať akúkoľvek podozrivú aktivitu, a reakcia na incident vďaka tomu môže by rýchla a bezplatná.

Plnú správu nájdete tu [ENG]

Ako to funguje?

RanSim bude simulovať 22 scenárov infekcie ransomware a 1 scenár infekcie kryptominácie a ukáže Vám, či je pracovná stanica zraniteľná:

  • 100% neškodná simulácia skutočného ransomvéru a kryptominačných infekcií
  • Nepoužíva žiadne z vašich vlastných súborov
  • Testuje 23 typov scenárov infekcie
  • Stačí stiahnuť inštaláciu a spustiť ju
  • Výsledky za pár minút!