Τρίτη, 31 Μαρτίου, 23:52
Αρχική security Microsoft: 6 διαφορετικές ομάδες hacker εισέβαλαν στο δίκτυο επιχείρησης

Microsoft: 6 διαφορετικές ομάδες hacker εισέβαλαν στο δίκτυο επιχείρησης

Η πρώτη αναφορά της Microsoft από την Ομάδα Ανίχνευσης και Αντιμετώπισης ( Detection and Response Team ή αλλιώς DART), η οποία βοηθά τους πελάτες που αντιμετωπίζουν σοβαρά προβλήματα στον κυβερνοχώρο, περιγράφει λεπτομερώς την περίπτωση ενός μεγάλου πελάτη με έξι διαφορετικές ομάδες hacker ταυτόχρονα στο δίκτυό του, συμπεριλαμβανομένης μιας ομάδας hacker που χρηματοδοτούνταν από το κράτος που έκλεβαν data και email για 243 μέρες.

Η εταιρεία ανακοίνωσε τη DART τον Μάρτιο του 2019, στο πλαίσιο της ώθησης της επιχείρησης ώθησης κόστους 1 δισεκατομμυρίου που ανακοινώθηκε από τον CEO Satya Nadella το 2017.

Χωρίς να αποκαλύψει ονόματα πελατών, η Microsoft σκοπεύει να δημοσιεύει τακτικές ενημερώσεις σχετικά με τις δραστηριότητες της DART, για να δείξει πώς λειτουργούν οι hackers.

hacker Microsoft

Η πρώτη έκθεσή αναφέρει λεπτομερώς έναν εισβολέα APT που έκλεψε τα admin credentials για να διεισδύσει στο δίκτυο του στόχου και να κλέψει ευαίσθητα δεδομένα και email.

Ειδικότερα, ο πελάτης δεν χρησιμοποιούσε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), ο οποίος θα μπορούσε να είχε αποτρέψει την παραβίαση. Η Microsoft αποκάλυψε την περασμένη εβδομάδα ότι το 99,9% των compromised λογαριασμών δεν χρησιμοποιούσε MFA και μόνο το 11% των επιχειρήσεων χρησιμοποιεί MFA.

Η DART εισήχθη αφού ο πελάτης απέτυχε να πετάξει έξω έναν επιτιθέμενο APT από το δίκτυό του μετά από 243 ημέρες, παρά το γεγονός ότι προσέλαβε έναν πωλητή απόκρισης περιστατικού επτά μήνες νωρίτερα. Ο hacker αφαιρέθηκε από το σύστημα την ημέρα που έφτασε η ομάδα της Microsoft. Ανακάλυψε επίσης ότι πέντε άλλες ομάδες απειλών ήταν μέσα στο δίκτυο.

Σε αυτή την περίπτωση, ο κύριος επιτιθέμενος χρησιμοποίησε μια επίθεση password-spraying για να “αρπάξει” τα admin credentials του Office 365 του πελάτη και από εκεί αναζητούσε mailboxes για να βρει περισσότερα credentials που μοιράζονται στους υπαλλήλους σε email. Η DART βρήκε ότι ο επιτιθέμενος αναζητούσε άδειες πνευματικής ιδιοκτησίας σε ορισμένες αγορές.

Ο εισβολέας χρησιμοποίησε ακόμη και τα εργαλεία e-discovery του πελάτη για να αυτοματοποιήσει την αναζήτηση των σχετικών email.

Σύμφωνα με τη Microsoft, η εταιρεία κατά τον πρώτο μήνα της επίθεσης προσπάθησε να χειριστεί τον ίδιο τον λογαριασμό του Office 365, και στη συνέχεια έφερε μια εταιρεία incident response για να οδηγήσει σε αυτό που αποδείχθηκε ότι ήταν μια μακρά έρευνα.

“Η έρευνα αυτή διήρκεσε πάνω από επτά μήνες και αποκάλυψε έναν πιθανό συμβιβασμό ευαίσθητων πληροφοριών που αποθηκεύτηκαν σε mailboxes του Office 365. 243 ημέρες μετά την αρχική εισβολή, η DART ανέλαβε μαζί με την εταιρεία διαχείρισης που είχε προσλάβει η εταιρεία”, λέει η Microsoft.

“Η DART εντόπισε γρήγορα στοχευμένες αναζητήσεις των mailboxes και compromised λογαριασμών, καθώς και κανάλια εντολών και ελέγχου εισβολέων. Η DART εντόπισε επίσης πέντε επιπρόσθετες εκστρατείες εισβολέων που επιμένουν ότι δεν είχαν σχέση με το αρχικό περιστατικό. ακόμη και νωρίτερα για να δημιουργήσουν κανάλια πρόσβασης (π.χ. πίσω πόρτες) για μεταγενέστερη χρήση, όπως απαιτείται.”

Η Microsoft περιγράφει πέντε βασικά βήματα που μπορούν να χρησιμοποιήσουν οι οργανισμοί για να ελαχιστοποιήσουν την έκθεσή τους σε επιτιθέμενους APT, συμπεριλαμβανομένης της ενεργοποίησης του MFA, της κατάργησης του authentication παλαιού τύπου, της κατάλληλης κατάρτισης πρώτων ανταποκριτών, της σωστής καταγραφής συμβάντων με ένα προϊόν ασφάλειας, πληροφόρησης και διαχείρισης συμβάντων και αναγνώριση ότι οι εισβολείς κάνουν χρήση νόμιμων διοικητικών εργαλείων και εργαλείων ασφαλείας για τον εντοπισμό στόχων.

Το blog προσφέρει το ίδιο μήνυμα που έδωσε στους πελάτες που έχουν πέσει θύματα σημαντικών ομάδων ransomware την περασμένη εβδομάδα: οι πελάτες πρέπει να ενεργοποιήσουν τα διαθέσιμα εργαλεία ασφαλείας και να επικεντρωθούν στην καταγραφή των συμβάντων ασφαλείας.

Η Microsoft κάλυψε το έργο των χειριστών των ransomware REvil, Samas ή SamSam, Doppelpaymer, Bitpaymer και Ryuk. Αναφέρει λεπτομερώς τον τρόπο με τον οποίο οι επιτιθέμενοι απενεργοποιούν το λογισμικό ασφαλείας και σημειώνουν ότι ορισμένοι πελάτες απενεργοποιούν ακόμη και το λογισμικό ασφαλείας για να βελτιώσουν την απόδοση, επιτρέποντας στους κυβερνοεγκληματίες να περιπλανώνται στα δίκτυα για μήνες χωρίς άδεια.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Microsoft Edge – Password Monitor: Alert όταν σας κλέβουν κωδικούς πρόσβασης

Ο Microsoft Edge εισάγει μια νέα υπηρεσία η οποία ονομάζεται "Password Monitor". Η υπηρεσία αυτή, θα ειδοποιεί...

Face ID: Πως να το χρησιμοποιούμε ενώ φοράμε μάσκα προσώπου

Το Face ID της Apple είναι εξαιρετικό στην αναγνώριση προσώπων, χάρη στο σύστημα True Depth, το οποίο...

Canonical: Φέρνει νέα εργαλεία και υποστήριξη Ubuntu Linux στο Raspberry Pi

Με την κυκλοφορία του Ubuntu 19.10, η Canonical ανακοίνωσε το επίσημο roadmap για single-board υπολογιστές Raspberry Pi. Το Raspberry Pi δεν υποστηρίζει...

Εργασία από το σπίτι: Αποφύγετε αυτά τα 9 λάθη

Με την εξάπλωση του Covid-19, το μεγαλύτερο μέρος του πληθυσμού προτιμά να εργάζεται από το σπίτι. Η εργασία από το σπίτι χρειάζεται...

Η Ford θα κατασκευάσει 50,000 αναπνευστήρες τις επόμενες 100 ημέρες

Τη Δευτέρα, η Ford δήλωσε ότι θα κατασκευάσει 50.000 αναπνευστήρες σε περίοδο 100 ημερών, αρχής γενομένης από τις 20 Απριλίου, για να...

“Contagion”: Οι πρωταγωνιστές της ταινίας μιλούν για τον COVID-19!

Οι πρωταγωνιστές της ταινίας "Contagion" συνεργάστηκαν με επιστήμονες της Σχολής Δημόσιας Υγείας του πανεπιστημίου Columbia συμμετέχοντας στις ανακοινώσεις των υγειονομικών υπηρεσιών σχετικά...

Ελεύθερη πρόσβαση στο cloud σε κβαντικούς υπολογιστές της D-Wave

Η καναδική εταιρία κβαντικής πληροφορικής D-Wave, ανακοίνωσε σήμερα ότι δίνει ελεύθερη πρόσβαση στα άτομα που ασχολούνται με...

Airbnb: Διαθέτει $ 250 εκατομμύρια σε οικοδεσπότες της λόγω Κοροναϊού

Η Airbnb ανακοίνωσε ότι θα διαθέσει συνολικά $ 250 εκατομμύρια, σε μία προσπάθεια να στηρίξει τους οικοδεσπότες της σε όλο τον κόσμο,...

Το FBI προειδοποιεί: Hijackers εισβάλουν στα meeting σας στο Zoom

Το FBI προειδοποίησε σήμερα για hijackers που συμμετείχαν σε video-meetings στο Zoom που χρησιμοποιούνται για μαθήματα και επαγγελματικές συναντήσεις στο διαδίκτυο, με...

Ευρώπη κορωνοϊός: Τελικά δεν προέκυψαν μεγάλα προβλήματα συμφόρησης στο διαδίκτυο

Ο BEREC, ο οργανισμός ρύθμισης των τηλεπικοινωνιών στην Ευρώπη, δήλωσε σήμερα ότι από τη στιγμή που ξέσπασε...