Nul
En corporate bærbare computer bliver brugt i en café på et weekend var nok til at give en sofistikeret it-kriminalitet gruppe til at gå på kompromis, at en organisations samlede infrastruktur.
Hændelsen blev beskrevet af cybersecurity firma Crowdstrike som en del af sin Cyber-Indbrud Tjenester Casebook 2018 rapport og tjener som en påmindelse om, at bærbare computere og andre enheder, der er sikkert, mens du kører i netværket i en organisation kan være venstre udsat, når du er uden for virksomhedens vægge.
Crowdstrike beskrevet det selskab, der blev offer for hackere, som tøj fabrikant “med en omfattende global tilstedeværelse, herunder detail-steder”.
Episoden begyndte, da en medarbejder fra producenten tog deres bærbare computer til en kop kaffe i butikken, og brugte den til at besøge hjemmesiden af en af virksomhedens samarbejdspartnere.
Sikkerhed forskere siger, at brugeren har besøgt webstedet efter at være blevet instrueret der ved en phishing-e-mails, og at ejendommen var blevet kompromitteret af FakeUpdates, malware og social engineering kampagne, der påvirker tusindvis af Joomla og WordPress sites.
Den malware, viser, at brugere med pop-ups, som hævder, at deres browser-software behøver opdatering. I dette tilfælde, den bærbare computer var så inficeret med Dridex bank trojan og PowerShell Empire post-exploit kit.
Sikkerhed software, der bruges af tøj firma — Crowdstrike ikke nævne forhandler — stolede på enheder, som er inden for virksomhedens netværk til at samle op trusler. Som den bærbare computer bliver brugt uden for netværket, denne hændelse ikke bliver synlige, indtil den bærbare computer var tilbage på kontoret — som er det tidspunkt var det for sent.
Den inficerede bærbare computer og derefter serveres som en indgang for angribere at kompromittere virksomhedens netværk, der gør det muligt for angribere at bruge PowerShell udnytte til at få adgang til snesevis af systemer, der kan være kompromitteret ved at tage fordel af brugerens rettigheder.
SE: EN vindende strategi for cybersikkerhed (ZDNet særlige rapport) | Download rapporten som PDF (TechRepublic)
Angriberne var også i stand til at indsamle yderligere privilegeret konto legitimationsoplysninger ved hjælp Mimikatz, en open source-værktøj, der bruges til at hente klar tekst legitimationsoplysninger og hashes fra hukommelsen, for at få adgang til servere og yderligere flytte på tværs af netværket.
“Lokale administratorrettigheder gjort det lettere for den trussel, skuespiller til at få adgang til et væld af endpoints ved at få adgang til blot en konto, der er knyttet til dem alle. Når adgang til det domæne, der blev opnået, det venstre organisationen helt åbent,” Bryan York, direktør for professional services på Crowdstrike fortalte ZDNet.
Denne eksponering tillod fjernangribere at installere Ramme, POS malware på den butik server med den hensigt at stjæle kreditkort-data.
Forskere har identificeret en cyber kriminel gruppe, de kalder Indrik Edderkop som de skyldige i angrebet. Hacking drift har været aktiv siden 2014 og er stærkt forbundet med Dridex og BitPaymer ransomware kampagner, som menes at have nettede angriberne millioner af dollars.
Det er første gang, Indrik Spider har været forbundet med FakeUpdates, hvilket indikerer, at gruppen er ved at udvide sine aktiviteter, som det fortsætter med at finde nye former for ulovligt at tjene penge. Crowdstrike ville ikke sige, om kampagnen var en succes i sit mål, eller hvis de kreditkortoplysninger blev stjålet fra virksomheden-men der er erfaringer for, at organisationer bør tage højde for, for at undgå at blive ofre for lignende kampagner.
Crowdstrike anbefaler, at regnskaber skal være adskilt, og at slutbrugere bør ikke gives administratorrettigheder på deres lokale systemer. I denne hændelse, og modstanderen har misbrugt en fejlkonfiguration i virksomhedens Active Directory, der er fastsat unødvendige privilegier — så vagtselskab anbefaler, at organisationer bør regelmæssigt gennemgå Active Directory-konfigurationer på tværs af hele den globale virksomhed.
“Angribere, der anvendes PowerShell eller Windows Management Instrumentation i 20 procent af de sager, vi så det i år, og virksomheder har brug for at vide, hvordan man bedre kan opdage og beskytte mod disse,” sagde York.
LÆS MERE OM IT-KRIMINALITET
Hacking gruppen tilbage, skifter angreb af ransomware trojan, malwarerockstar hackere at beskytte dig fra det onde CNETGratis, let at bruge, og tilgængelige for alle: Det magtfulde malware gemmer sig i et almindeligt syn på det åbne web, Hvordan virksomheder kan øge den interne cyber-bevidsthed om risici, TechRepublicUorganiseret kriminalitet og state-backed hackere: Hvordan it-kriminalitet og cyberwar landskab er i konstant forandring
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0