Δευτέρα, 25 Ιανουαρίου, 23:57
Αρχική security Microsoft: 6 διαφορετικές ομάδες hacker εισέβαλαν στο δίκτυο επιχείρησης

Microsoft: 6 διαφορετικές ομάδες hacker εισέβαλαν στο δίκτυο επιχείρησης

Η πρώτη αναφορά της Microsoft από την Ομάδα Ανίχνευσης και Αντιμετώπισης ( Detection and Response Team ή αλλιώς DART), η οποία βοηθά τους πελάτες που αντιμετωπίζουν σοβαρά προβλήματα στον κυβερνοχώρο, περιγράφει λεπτομερώς την περίπτωση ενός μεγάλου πελάτη με έξι διαφορετικές ομάδες hacker ταυτόχρονα στο δίκτυό του, συμπεριλαμβανομένης μιας ομάδας hacker που χρηματοδοτούνταν από το κράτος που έκλεβαν data και email για 243 μέρες.

Η εταιρεία ανακοίνωσε τη DART τον Μάρτιο του 2019, στο πλαίσιο της ώθησης της επιχείρησης ώθησης κόστους 1 δισεκατομμυρίου που ανακοινώθηκε από τον CEO Satya Nadella το 2017.

Χωρίς να αποκαλύψει ονόματα πελατών, η Microsoft σκοπεύει να δημοσιεύει τακτικές ενημερώσεις σχετικά με τις δραστηριότητες της DART, για να δείξει πώς λειτουργούν οι hackers.

Η πρώτη έκθεσή αναφέρει λεπτομερώς έναν εισβολέα APT που έκλεψε τα admin credentials για να διεισδύσει στο δίκτυο του στόχου και να κλέψει ευαίσθητα δεδομένα και email.

Ειδικότερα, ο πελάτης δεν χρησιμοποιούσε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), ο οποίος θα μπορούσε να είχε αποτρέψει την παραβίαση. Η Microsoft αποκάλυψε την περασμένη εβδομάδα ότι το 99,9% των compromised λογαριασμών δεν χρησιμοποιούσε MFA και μόνο το 11% των επιχειρήσεων χρησιμοποιεί MFA.

Η DART εισήχθη αφού ο πελάτης απέτυχε να πετάξει έξω έναν επιτιθέμενο APT από το δίκτυό του μετά από 243 ημέρες, παρά το γεγονός ότι προσέλαβε έναν πωλητή απόκρισης περιστατικού επτά μήνες νωρίτερα. Ο hacker αφαιρέθηκε από το σύστημα την ημέρα που έφτασε η ομάδα της Microsoft. Ανακάλυψε επίσης ότι πέντε άλλες ομάδες απειλών ήταν μέσα στο δίκτυο.

Σε αυτή την περίπτωση, ο κύριος επιτιθέμενος χρησιμοποίησε μια επίθεση password-spraying για να “αρπάξει” τα admin credentials του Office 365 του πελάτη και από εκεί αναζητούσε mailboxes για να βρει περισσότερα credentials που μοιράζονται στους υπαλλήλους σε email. Η DART βρήκε ότι ο επιτιθέμενος αναζητούσε άδειες πνευματικής ιδιοκτησίας σε ορισμένες αγορές.

Ο εισβολέας χρησιμοποίησε ακόμη και τα εργαλεία e-discovery του πελάτη για να αυτοματοποιήσει την αναζήτηση των σχετικών email.

Σύμφωνα με τη Microsoft, η εταιρεία κατά τον πρώτο μήνα της επίθεσης προσπάθησε να χειριστεί τον ίδιο τον λογαριασμό του Office 365, και στη συνέχεια έφερε μια εταιρεία incident response για να οδηγήσει σε αυτό που αποδείχθηκε ότι ήταν μια μακρά έρευνα.

Microsoft Office updates: Διορθώνουν ζητήματα σε Word και Skype

“Η έρευνα αυτή διήρκεσε πάνω από επτά μήνες και αποκάλυψε έναν πιθανό συμβιβασμό ευαίσθητων πληροφοριών που αποθηκεύτηκαν σε mailboxes του Office 365. 243 ημέρες μετά την αρχική εισβολή, η DART ανέλαβε μαζί με την εταιρεία διαχείρισης που είχε προσλάβει η εταιρεία”, λέει η Microsoft.

“Η DART εντόπισε γρήγορα στοχευμένες αναζητήσεις των mailboxes και compromised λογαριασμών, καθώς και κανάλια εντολών και ελέγχου εισβολέων. Η DART εντόπισε επίσης πέντε επιπρόσθετες εκστρατείες εισβολέων που επιμένουν ότι δεν είχαν σχέση με το αρχικό περιστατικό. ακόμη και νωρίτερα για να δημιουργήσουν κανάλια πρόσβασης (π.χ. πίσω πόρτες) για μεταγενέστερη χρήση, όπως απαιτείται.”

Η Microsoft περιγράφει πέντε βασικά βήματα που μπορούν να χρησιμοποιήσουν οι οργανισμοί για να ελαχιστοποιήσουν την έκθεσή τους σε επιτιθέμενους APT, συμπεριλαμβανομένης της ενεργοποίησης του MFA, της κατάργησης του authentication παλαιού τύπου, της κατάλληλης κατάρτισης πρώτων ανταποκριτών, της σωστής καταγραφής συμβάντων με ένα προϊόν ασφάλειας, πληροφόρησης και διαχείρισης συμβάντων και αναγνώριση ότι οι εισβολείς κάνουν χρήση νόμιμων διοικητικών εργαλείων και εργαλείων ασφαλείας για τον εντοπισμό στόχων.

Το blog προσφέρει το ίδιο μήνυμα που έδωσε στους πελάτες που έχουν πέσει θύματα σημαντικών ομάδων ransomware την περασμένη εβδομάδα: οι πελάτες πρέπει να ενεργοποιήσουν τα διαθέσιμα εργαλεία ασφαλείας και να επικεντρωθούν στην καταγραφή των συμβάντων ασφαλείας.

Η Microsoft κάλυψε το έργο των χειριστών των ransomware REvil, Samas ή SamSam, Doppelpaymer, Bitpaymer και Ryuk. Αναφέρει λεπτομερώς τον τρόπο με τον οποίο οι επιτιθέμενοι απενεργοποιούν το λογισμικό ασφαλείας και σημειώνουν ότι ορισμένοι πελάτες απενεργοποιούν ακόμη και το λογισμικό ασφαλείας για να βελτιώσουν την απόδοση, επιτρέποντας στους κυβερνοεγκληματίες να περιπλανώνται στα δίκτυα για μήνες χωρίς άδεια.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

00:02:40

COVID-19 εμβόλια: Τρόποι προστασίας των αλυσίδων εφοδιασμού

Η ανάπτυξη εμβολίων για τον COVID-19 σε τόσο σύντομο χρονικό διάστημα έχει δημιουργήσει πολλές προκλήσεις και αυτές δεν σχετίζονται μόνο με την...
00:02:17

Πώς οι ασφαλιστικές εταιρείες «ενισχύουν» τις ransomware επιθέσεις;

Οι ransomware επιθέσεις έχουν αυξηθεί σημαντικά, με τους ειδικούς να προειδοποιούν ότι τα θύματα αυτών δεν πρέπει να πληρώνουν λύτρα στους χάκερς....

Ρωσία: «Οι ΗΠΑ ίσως σχεδιάζουν αντίποινα για το hack της SolarWinds»!

Η ρωσική κυβέρνηση προειδοποιεί τους οργανισμούς της χώρας για πιθανές κυβερνοεπιθέσεις που ενδέχεται να πραγματοποιήσουν οι ΗΠΑ, ως «αντίποινα» για το hack...

iPhone: Πώς να δείτε ποιες εφαρμογές έχουν πρόσβαση στις επαφές σας

Κάποια ζητήματα απορρήτου του iPhone πηγαίνουν βαθύτερα από την πρόσβαση στη λίστα των επαφών σας, η οποία εκθέτει τις επαφές σας σε...

COVID-19: Η Google κάνει τις εγκαταστάσεις της κλινικές εμβολιασμού

Ο Διευθύνων Σύμβουλος της Google Sundar Pichai δήλωσε τη Δευτέρα ότι η εταιρεία θα διαθέσει τις εγκαταστάσεις της για να γίνουν κλινικές...

Το Netflix προσφέρει αναβάθμιση ήχου «ποιότητας στούντιο» στα Android

Μην εκπλαγείτε εάν το Netflix ο ήχος ακούγεται καλύτερος την επόμενη φορά που θα κάνετε ένα μαραθώνιο με σειρές στο Android τηλέφωνο...

Το Bitcoin θα επιστρέψει στα 40.000 δολάρια; Επικρατεί προβληματισμός!

Οι λάτρεις του Bitcoin που θεωρούν δεδομένη την επιστροφή του πάνω από το επίπεδο των 40.000 δολαρίων έχουν προβληματιστεί επειδή η ζήτηση...

Avaddon ransomware: Οι χειριστές του απειλούν με DDoS επιθέσεις για να λάβουν λύτρα!

Τον τελευταίο καιρό, όλο και περισσότερες ransomware συμμορίες τείνουν να απειλούν με DDoS επιθέσεις τους εκάστοτε στόχους τους, προκειμένου να διασφαλίσουν κέρδη....

Εθελοντές πυροσβέστες θα εκπαιδευτούν μέσω προσομοίωσης VR

Οι εθελοντές πυροσβέστες στην πολιτεία Βικτώρια της Αυστραλίας θα έχουν σύντομα πρόσβαση στην εκπαίδευση εικονικής πραγματικότητας (VR) που πρόκειται να διατεθεί σε...

Tesla: Κατηγορεί πρώην υπάλληλό της για κλοπή εμπιστευτικών data της!

Στις 23 Ιανουαρίου, η Tesla μήνυσε τον πρώην υπάλληλο της Alex Khatilov για κλοπή 26.000 εμπιστευτικών εγγράφων, συμπεριλαμβανομένων εμπορικών μυστικών. Ο software...