Hur en hackad laptop ledde till ett helt nätverk äventyras

0
89

Noll

Ett företags bärbar dator som används i ett kafé på en helg var nog för att tillåta en sofistikerad it-brottslighet grupp att kompromissa en organisations hela infrastrukturen.

Händelsen var detaljerad av cybersäkerhet fast Crowdstrike som en del av sin It-Intrång Tjänster Casebook 2018 rapport och fungerar som en påminnelse om att bärbara datorer och andra enheter som är säker när du kör inne i nätverk i en organisation kan lämnas exponerad när man befinner sig utanför företagets väggar.

Crowdstrike beskrivs företaget som föll offer för hackare som bara kläder tillverkare med en omfattande global närvaro, inklusive detaljhandeln platser”.

Händelsen startade när en anställd av tillverkaren tog sin bärbara dator till ett kafé och använde det för att besöka hemsidan för en av företagets samarbetspartners.

Säkerhet forskare sade användaren har besökt platsen, efter att ha regisserat det av en phishing e-post och att området hade drabbats av FakeUpdates, malware och social ingenjörskonst kampanj som drabbar tusentals av Joomla och WordPress webbplatser.

Malware visar användarna pop-ups som hävdar sin webbläsare programvara behöver uppdateras. I detta exempel, den bärbara datorn som då var infekterade med Dridex bank trojan och PowerShell Riket efter utnyttja verktygen.

Säkerhet programvara som används av kläder — Crowdstrike inte namn säljaren — förlitat sig på enheter inom företagets nätverk för att plocka upp hot. Som den bärbara datorn används utanför nätverket, den här händelsen inte blir uppenbara förrän den bärbara datorn var tillbaka på kontoret — då var det för sent.

Den infekterade bärbar dator då den fungerade som en inkörsport för angripare att äventyra företagets nätverk, vilket möjliggör för angripare att använda PowerShell utnyttja för att få åtkomst till dussintals av system som kan komma att äventyras genom att dra nytta av användarens behörighet.

SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)

Angriparna skulle också kunna samla in ytterligare en privilegierad kontouppgifter genom att använda Mimikatz, ett open-source verktyg som används för att hämta klartext referenser och hashar från minnet, för att få tillgång till servrar och ytterligare flytta över nätverket.

“Lokala administratörsrättigheter gjort det lättare för hot aktör för att få tillgång till en mängd ändpunkter genom att öppna bara ett konto som länkade dem alla. När tillgång till domänen tillkom, lämnade organisationen helt utsatt,” Bryan York, chef för professional services på Crowdstrike berättade ZDNet.

Denna exponering tillät angripare att installera Ram POS skadlig kod på butik server med avsikt att stjäla kreditkortsuppgifter.

Forskare har identifierat en cyber kriminella grupp de kallar Indrik Spindel som skyldiga till attacken. Hacka verksamheten har varit aktiv sedan 2014 och är starkt förknippad med Dridex och BitPaymer ransomware kampanjer, som tros ha tagit angriparna miljoner dollar.

Det är första gången Indrik Spindel har förknippats med FakeUpdates, indikerar att gruppen expanderar sin verksamhet som fortsätter att hitta nya metoder för att olagligt att tjäna pengar. Crowdstrike skulle inte säga om kampanjen var framgångsrik i sitt mål eller om kreditkort data var stulna från företaget-men det finns lärdomar att organisationer bör ta ombord för att undvika att falla offer för liknande kampanjer.

Crowdstrike rekommenderar att redovisningen bör vara åtskilda, och att slutanvändare ska inte ges administratörsrättigheter på sina lokala system. I denna incident, den onde misshandlade en felkonfigurering inom företagets Active Directory som tillhandahålls onödiga privilegier — så bevakningsföretag rekommenderar att organisationer bör regelbundet se över Active Directory-konfigurationer över hela det globala företaget.

“Predikade PowerShell eller Windows Management Instrumentation i 20 procent av fallen såg vi detta år och företag behöver veta hur man bättre kan identifiera och skydda mot dessa”, sade York.

LÄS MER OM IT-RELATERAD BROTTSLIGHET

Hacka gruppen returer, växlar attacker från ransomware att trojan malwarerockstar hackare att skydda dig från det onda CNETGratis, lätt att använda och tillgänglig för alla: Den kraftfulla skadlig kod gömd i vanlig syn på den öppna webbenHur företag kan höja den interna it-risk medvetenhet TechRepublicOorganiserad brottslighet och statligt stöd hackare: Hur it-relaterad brottslighet och cyberkrig landskap förändras ständigt

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0