Három napig bírta a mézesbödön hálózat

A vállalati hálózatok azért kiemelt célpontjai a kibertámadásoknak, mert egy cégnek sokkal több a veszíteni valója, és sokkal komplexebb hálózatokat tartanak fenn, melyekben nagyobb a hibalehetőség is. Ráadásul a vállalatoknak

a tanácsok ellenére sokkal egyszerűbb kifizetni a zsarolópénzt az adataikért, mint nulláról kezdeni mindent.

A biztonsággal foglalkozó Cybereason a G Data szerint olyan mézesbödön hálózatot épített ki, mely a külső szemlélőnek egy európai és amerikai érdekeltségekkel rendelkező áramszolgáltató vállalatnak nézett ki. A szakemberek tényleg

mindent beleadtak, hogy a támadók azt gondolják: valós és élő vállalati hálózatot támadnak meg.

Egy teljes IT és napi működést szimuláló hálózatot építettek fel, amelyet mintha élő emberek működtettek volna. A hálózat felépítése során a vállalati hálózatok tipikus biztonsági sérülékenységeit csempészték be, internetre kapcsolt remote portokat, átlagos jelszavakat használtak, de például a hálózati szegmentációra odafigyeltek – mintha azért adnának a biztonságra.

A mézesbödön hálózatot idén üzemelték be, és

három nap múlva a hálózatot felfedezték a kiberbűnözők is sikerült be is férkőzniük abba.

A támadók távoli adminisztrációs eszközök segítségével behatoltak, zsarolóvírust tettek a gépekre, megfejtették a rendszergazda jelszavát, majd így távolról ellenőrizhették a gépeket. Ezután egy hátsó ajtót helyeztek el egy kompromittált szerveren, és PowerShell eszközökkel (a népszerű Mimikatz is közöttük volt) segítségével további jelszavakat loptak el, ezzel tovább tudtak terjeszkedni a hálózatban, több gépet tudtak megfertőzni.

Közben szkennelték a hálózatot, felfedték a végpontokat és még több jelszót gyűjtöttek be terjeszkedésük közben. Ez azt is jelentette, hogy ha például a megtámadott vállalat nem hajlandó zsarolási pénzt fizetni, akkor azzal is fenyegetőzhetnek, hogy közzéteszik a megszerzett jelszavakat.

A zsarolóvírusos támadást csak azután indították el, miután a teljes hálózatot felfedezték – egyszerre, minden gépen, hogy a hatás sokkal drámaibb legyen.

A mézesbödön hálózatot azután más támadók is felfedezték maguknak, többségük zsarolóvírust helyezett el a kompromittált gépeken. Érdekes, hogy voltak olyan támadók is, akik csak begyűjtötték az adatokat, körülnéztek a hálózaton, majd távoztak – ők valószínűleg az ellenőrzés megszerzésére törekedtek csupán, ami egy áramszolgáltatónál, lássuk be, komoly ütőkártyát jelenthet.

A mézesbödön kísérlet fő tanulsága az volt, hogy a támadók elsősorban zsarolóvírusok segítségével próbálnak anyagi haszonhoz jutni. Fontos következtetés, hogy egy olyan alapvető biztonsági intézkedés, mint a jelszavak erősségének növelése is komolyan növeli a vállalat biztonsági szintjét.

Borítóképünk illusztráció