Zero
Un laptop aziendale utilizzato in un negozio di caffè in un week-end è stato abbastanza per permettere un sofisticato gruppo sportivo compromettere l’organizzazione dell’intera infrastruttura.
L’incidente è stato dettagliato da cybersecurity ditta Crowdstrike, come parte della sua Cyber Intrusione Servizi Casebook 2018 report e serve come un promemoria che i computer portatili e altri dispositivi che sono al sicuro, mentre in esecuzione all’interno della rete di un’organizzazione può essere lasciato esposto al di fuori delle mura dell’azienda.
Crowdstrike descritto la società che cadde vittima di hacker solo come produttore di abbigliamento “con un’ampia presenza globale, compresi i punti vendita”.
L’incidente è iniziato quando un dipendente del produttore preso il loro computer portatile per un negozio di caffè e lo ha utilizzato per visitare il sito web di uno dei soci della ditta.
I ricercatori di sicurezza, ha detto che l’utente ha visitato il sito dopo essere diretto da un e-mail di phishing — e che il sito era stata compromessa da FakeUpdates, un malware e sociali ingegneria campagna che colpisce migliaia di Joomla e WordPress, siti.
Il malware mostra pop-up che sostengono il loro browser è necessario aggiornare il software. In questo caso, il computer portatile è stato poi infettati con il Dridex i trojan bancari e il PowerShell Impero post-exploit kit di strumenti.
Il software di sicurezza utilizzato dall’azienda di abbigliamento — Crowdstrike non ha nome il produttore invocata dispositivi all’interno della rete aziendale per raccogliere le minacce. Come il computer portatile è stato utilizzato al di fuori della rete, questo incidente non si manifestano fino a quando il portatile è tornato in ufficio — in cui il tempo era troppo tardi.
Portatile infetto poi servito come un punto di ingresso per gli attaccanti di compromettere la rete aziendale, permettendo agli hacker di utilizzare PowerShell sfruttare per accedere a decine di sistemi che potrebbero essere compromesse sfruttando le autorizzazioni dell’utente.
VEDERE: UNA strategia vincente per la sicurezza informatica (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
Gli aggressori sono stati anche in grado di raccogliere ulteriori privilegiato credenziali dell’account utilizzando Mimikatz, un open-source del programma di utilità per recuperare il testo in chiaro le credenziali e l’hash di memoria, per ottenere l’accesso a server e spostare ulteriormente attraverso la rete.
“I privilegi di amministratore locale ha reso più facile per la minaccia attore di accedere a una moltitudine di endpoint, accedendo a un solo account che li lega tutti. Una volta che l’accesso al dominio è stato acquisito, ha lasciato l’organizzazione completamente esposto,” Bryan York, direttore dei servizi professionali a Crowdstrike detto a ZDNet.
Questa esposizione ha permesso agli hacker di installare Framework POS malware sul store server con l’intenzione di rubare i dati della carta di credito.
I ricercatori hanno identificato un cyber criminale del gruppo chiamano Indrik Spider come i colpevoli dell’attacco. L’hacking operazione è stata attiva a partire dal 2014 ed è fortemente associata con Dridex e BitPaymer ransomware campagne, che si pensa siano compensati gli attaccanti milioni di dollari.
È la prima volta Indrik Spider è stata associata con FakeUpdates, che indica che il gruppo si sta espandendo le sue operazioni, come si continua a trovare nuovi mezzi illecitamente fare soldi. Crowdstrike non dire se la campagna è riuscita nel suo intento o se i dati della carta di credito è stato rubato dalla società, ma ci sono delle lezioni che le organizzazioni dovrebbero prendere a bordo per evitare di cadere vittima di simili campagne.
Crowdstrike raccomanda che i conti devono essere separati, e che gli utenti finali non dovrebbero avere i privilegi di amministratore sui propri sistemi locali. In questo caso l’avversario abusato di un errore di configurazione all’interno dell’azienda Active Directory che ha fornito i privilegi non necessari, e quindi la società di sicurezza raccomanda che le organizzazioni dovrebbero rivedere regolarmente configurazioni Active Directory tutta l’impresa globale.
“Aggressori hanno utilizzato PowerShell o di Strumentazione Gestione Windows nel 20% dei casi si è visto quest’anno e le imprese hanno bisogno di sapere come di individuare e proteggere contro questi”, ha detto York.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Gruppo di hacker restituisce, interruttori di attacchi ransomware di trojan malwaree La rockstar hacker che protegge dai cattivi CNETGratuito, facile da usare, e a disposizione di chiunque: Il potente malware nascosti in bella vista sul web apertoCome le aziende possono aumentare interna cyber-la consapevolezza del rischio TechRepublicDisorganized crime e statali hacker: Come la criminalità informatica e cyberwar paesaggio è in continua evoluzione
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0