Cykl życia skradzionych danych: od kradzieży do zysku

W związku z ostatnimi wiadomościami o naruszeniu danych AT&T kradzież danych firmowych jest obecnie bardzo ważna. Rok 2023 był rekordowy pod względem liczby naruszeń danych i osób, których one dotknęły, z 3205 naruszeniami danych, które dotknęły łącznie 353 miliony osób. Ale co właściwie się dzieje, gdy dochodzi do naruszenia danych i poufne informacje faktycznie wyciekają? Jakie są konkretne zagrożenia dla organizacji, gdy te informacje zostaną ujawnione?

W tym artykule przyjrzymy się bliżej cyklowi życia skradzionych danych, zbadamy, w jaki sposób osoby atakujące wykorzystują wyciekłe informacje, i przedstawimy praktyczne strategie, dzięki którym organizacje będą mogły się skutecznie chronić.

Jak dochodzi do naruszenia danych firmowych?

Dane wrażliwe mogą zostać skradzione na wiele sposobów i często stanowią główny cel wielu aktorów zagrożeń i grup cyberprzestępczych. Spośród wielu metod dane mogą zostać naruszone poprzez:

Złośliwe oprogramowanie: Złośliwe oprogramowanie i konie trojańskie mogą ukrywać się w sieciach i urządzeniach, wykradając dane i unikając wykrycia.

Nieautoryzowany dostęp: Ataki polegające na włamaniu się na konto, przeprowadzane za pomocą ataków siłowych, kradzieży danych uwierzytelniających, phishingu lub inżynierii społecznej, mogą być kluczem do królestwa, zwłaszcza jeśli organizacje nie ograniczają uprawnień ani przywilejów kont.

Wykorzystywanie luk: Eksplozja aplikacji SaaS znacznie zwiększyła powierzchnię ataku dowolnej organizacji, co sprawia, że zarządzanie lukami stało się trudniejszym wyzwaniem. Oznacza to, że aktorzy zagrożeń mają łatwiej z wykorzystywaniem znanych luk w celu naruszenia bezpieczeństwa organizacji i ich danych.

Nawet grupy ransomware zwracają się w stronę eksfiltracji danych, aby zwiększyć swoje szanse na otrzymanie zapłaty. Tradycyjnie ransomware szyfrowało dane organizacji, odcinając firmę od jej własnej sieci lub zasobów. Teraz grupy ransomware grożą wyciekiem i ujawnieniem poufnych danych, wiedząc, że może to doprowadzić do dalszych szkód reputacyjnych, prawnych i finansowych.

Zespół Bitdefender obserwował, jak grupy ransomware potrzebowały miesięcy, aby naruszyć i wykraść dane, dopóki nie upewniły się, że mają wystarczająco dużo informacji, aby wpłynąć na firmę. W ten sposób, nawet jeśli ofiara ma kopie zapasowe i nie chce zapłacić, grupy ransomware mogą grozić ujawnieniem danych.

To nowe podejście do problemu oprogramowania ransomware jest w dużej mierze powodem, dla którego częstotliwość i koszt wypłat odszkodowań z tytułu oprogramowania ransomware systematycznie wzrastały w ciągu ostatniej dekady.

Gdy cyberprzestępcy dobiorą się do danych organizacji, mogą je monetyzować. W wielu przypadkach robią to przy pomocy dark webu.

Zarabianie na cyberprzestępczości w Dark Web

Dark web to ukryta część Internetu, do której można uzyskać dostęp za pośrednictwem wyspecjalizowanych przeglądarek. Została zaprojektowana z myślą o całkowitej anonimowości i słynie z ułatwiania zakupu nielegalnych treści, usług i towarów, takich jak narkotyki i skradzione dane. Szybkie zanurzenie się w dark web może ujawnić liczne podmioty sprzedające dane, takie jak informacje o kartach kredytowych, numery ubezpieczenia społecznego lub dane zbiorcze pochodzące z włamania do firmy.

Dark web jest często pierwszym miejscem, do którego udają się cyberprzestępcy, aby sprzedawać skradzione dane, lub sprzedawać dostęp do naruszonych kont lub firm. Naruszone firmy są dużymi celami i napędzają wzrost liczby ransomware, który obserwujemy.

Prawie 70% ataków ransomware skutkuje płatnościami, więc dostęp do firmy może skutkować dalszymi atakami ransomware. Przy tak wysokiej stawce płatności, osoby atakujące są bardzo zmotywowane do monetyzacji tego dostępu, ponieważ jest to łatwa sprzedaż.

W zależności od tego, co jest sprzedawane, może być prezentowane po ustalonej cenie rynkowej lub sprzedawane za pośrednictwem aukcji temu, kto da najwięcej. Na przestrzeni lat badacze z Bitdefender odkryli, że dark web ewoluował, stał się bardziej wydajny i bezproblemowy w użyciu, ułatwiając transakcje, a także dodatkowo zachęcając do kradzieży danych.

Na przykład, depozyty nie są już potrzebne do wejścia na rynki, usuwając barierę dla każdego, kto może wchodzić w interakcję z dark webem po raz pierwszy. Pojawienie się kryptowaluty ułatwiło również aktywność w dark webie, ponieważ ułatwia osobom zacieranie śladów, maskowanie swojej aktywności i pozostawanie względnie anonimowym.

Nawet po zamknięciu głównych „targowisk”, na ich miejsce pojawiły się nowe miejsca, gdzie można było kupić nielegalne dane, stając się zdecentralizowanym centrum przestępczości, które utrudniało organom ścigania (LEA) śledzenie i likwidację. Obecnie, gdy aktywność LEA jest na niskim poziomie, zaczynają pojawiać się skonsolidowane „targowiska” z zweryfikowanymi i sprawdzonymi dostawcami, co jeszcze bardziej ułatwia kupującym robienie interesów z zaufanymi dostawcami skradzionych danych.

Wszystkie te postępy sprawiają, że kradzież danych staje się jeszcze bardziej opłacalna, ponieważ łatwiej jest korzystać z rynków, sprzedawać dane (lub uzyskiwać do nich dostęp) i trzymać się z dala od LEA. Stało się to tak łatwe w dzisiejszych czasach, że nawet hakerzy-zbieracze mogą się rozwijać. Wykorzystują przypadki, w których naruszenia danych są publikowane na publicznych, nieciemnych stronach internetowych, takich jak fora hakerów. Dane są ostatecznie usuwane, ponieważ GDPR jest wywoływane w celu usunięcia skradzionych informacji.

Hakerzy-zbieracze mogą jednak łatwo zabrać te dane za darmo, zanim zostaną usunięte, i sprzedać je w dark webie wraz z odpowiedzialną stroną, potencjalnie po niższej cenie. Dzięki temu informacje stają się jeszcze bardziej dostępne dla cyberprzestępców

Skradzione dane z Dark Web i ich rola w przyszłych cyberatakach

Gdy skradzione dane firmy trafią do dark webu, są one narażone na dowolną liczbę aktorów zagrożeń, którzy kupili dane lub uzyskali do nich dostęp. Może to prowadzić do jeszcze większej liczby naruszeń i dalszych ataków, takich jak:

• Naruszenie konta poprzez kradzież danych uwierzytelniających.
• Ataki APT poprzez dostęp do naruszonych kont.
• Ataki spearphishingowe i BEC za pośrednictwem skradzionych danych osobowych.
• Skradzione fundusze za pośrednictwem skradzionych danych konta bankowego.
• Ataki kradzieży tożsamości za pośrednictwem PII.

Atakujący w zasadzie unikają ciężkiej pracy polegającej na włamywaniu się i naruszaniu bezpieczeństwa kont, kupując dane w darknecie. To jeden z powodów, dla których organizacje, które padły ofiarą naruszenia bezpieczeństwa danych, mają o 67% większe prawdopodobieństwo ponownego ataku w ciągu roku.

Jest to szczególnie niepokojące, jeśli chodzi o kombinacje hasła/adresu e-mail z innych naruszeń danych. Ponieważ hasła są często ponownie wykorzystywane, sprawcy zagrożeń mogą wziąć skradzione dane uwierzytelniające z jednej firmy i wykorzystać je w innej firmie z pewnym powodzeniem.

Jak organizacje mogą chronić się przed wyciekiem danych?

Zapobieganie wykorzystaniu danych w darknecie, niezależnie od tego, czy pochodzą one z Twojej firmy, czy innej organizacji, do ataków na Twoje przedsiębiorstwo.

W przypadku pierwszego priorytetu pomocne mogą być narzędzia do wykrywania, widoczności i reagowania, takie jak rozwiązania Bitdefneder Extended Detection and Response (XDR) i usługi MDR. Mogą one sprawdzić, czy nieautoryzowany użytkownik ma dostęp do Twoich systemów lub danych, wykryć anomalie lub podejrzane działania, które mogą być oznaką naruszenia. Pełna, kompleksowa widoczność jest tutaj kluczowa, dzięki czemu możesz zarządzać wszystkimi swoimi punktami końcowymi, systemami i zasobami, zapewniając jednocześnie bezpieczeństwo swoich danych i zapobiegając ich przedostaniu się w niepowołane ręce.

Wykorzystanie tych narzędzi i dostawców w dużym stopniu przyczynia się do cyberodporności. Hakerzy chcący ukraść dane lub wykorzystać już ujawnione informacje szukają łatwych sposobów. Organizacja dysponująca solidnym rozwiązaniem wykrywania i reagowania prawdopodobnie odstraszy mniej wyrafinowanego atakującego.

Jednak żaden lider ds. bezpieczeństwa nie powinien myśleć, że może zapobiec naruszeniu danych – lepszą strategią jest założenie, że może się zdarzyć i działanie zgodnie z tym. To prowadzi nas do naszego drugiego priorytetu.

Aby mieć pewność, że przeszłe i przyszłe naruszenia danych nie powrócą, by prześladować Twoją organizację, musisz być proaktywny i kreatywny. Jedną z najważniejszych rzeczy, jakie możesz zrobić, jest zaszyfrowanie poufnych informacji. Jeśli chodzi o dane haseł, musisz zasolić zaszyfrowane hasła. Dzięki temu, nawet jeśli dane zostaną wykradzione, będą bezużyteczne dla hakerów.

Możesz również podłożyć fałszywe informacje, aby zobaczyć, gdzie mogą wylądować. Można to zrobić za pomocą zautomatyzowanych narzędzi, które mogą Cię ostrzec o aktywnym zagrożeniu, a także mogą oznaczyć potencjalnych aktorów zagrożenia, którzy mają Twoją organizację na celowniku. Widząc, że Twoje podłożone informacje pojawiają się w dark webie, jest to wyraźny sygnał, że coś poszło nie tak i pozwala Ci pozostać proaktywnym, a nie reaktywnym.

Szkolenie w zakresie świadomości bezpieczeństwa jest również krytycznym elementem, który musi być ciągłym wysiłkiem. Nawet w Bitdefender przeprowadzane są regularne szkolenia dla wszystkich pracowników. Pomaga to pracownikom zachować dobrą higienę bezpieczeństwa, wykrywać potencjalne ataki, takie jak phishing i ataki socjotechniczne, i tworzy kulturę bezpieczeństwa, która minimalizuje zaniedbania i wypadki, które mogą prowadzić do naruszenia danych.

Ostatecznie, najskuteczniejsza analiza due diligence wymaga zastosowania zestawu narzędzi, rozwiązań i procesów mających na celu zapobieganie wyciekom danych i minimalizowanie szkód w przypadku wykorzystania skradzionych danych przeciwko Twojej organizacji.