Μια ανάλυση σχεδόν 20 εκατομμυρίων αρχείων (logs) που περιλαμβάνουν δεδομένα (credentials) που έχουν κλαπεί μέσω info-stealing malware και έχουν τεθεί προς πώληση στο dark web και σε Telegram channels, δείχνει ότι οι εγκληματίες του κυβερνοχώρου έχουν καταφέρει να διεισδύσουν σε πολλά εταιρικά περιβάλλοντα.
Τα info-stealing malware αποτελούν μία σύνθετη και συνεχώς εξελισσόμενη απειλή για την κυβερνοασφάλεια. Αποσκοπούν στην κλοπή και την πώληση εμπιστευτικών δεδομένων. Υπάρχουν αρκετά είδη info-stealing malware, κάθε ένα από τα οποία έχει τις δικές του μοναδικές τεχνικές και μεθόδους. Στοχεύουν σε ευάλωτες εφαρμογές, συσκευές και δίκτυα, εκμεταλλευόμενα τις αδυναμίες στην ασφάλεια. Τα info-stealing malware κλέβουν δεδομένα που είναι αποθηκευμένα σε εφαρμογές όπως προγράμματα περιήγησης ιστού, email clients, instant messengers, cryptocurrency wallets, FTP clients και υπηρεσίες gaming. Οι κλεμμένες πληροφορίες εισάγονται σε αρχεία που ονομάζονται “logs“, και αποστέλλονται πίσω στους επιτιθέμενους. Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν αυτά τα δεδομένα για περαιτέρω επιθέσεις ή για να τα πουλήσουν στο dark web.
Δείτε επίσης: VMware: Διορθώνει bug που εκθέτει admin credentials του CF API στα audit logs
Τα πιο γνωστά info-stealing malware είναι τα Redline, Raccoon, Titan, Aurora και Vidar.
Στις περισσότερες περιπτώσεις, αυτά τα malware στοχεύουν χρήστες που κατεβάζουν λογισμικό, όπως cracks, warez, game cheats και ψεύτικο λογισμικό από αμφίβολες πηγές. Ωστόσο, η νέα ανάλυση των logs δείχνει ότι οι εγκληματίες στοχεύουν και εταιρικά περιβάλλοντα.
Οι εργαζόμενοι χρησιμοποιούν συχνά τις προσωπικές συσκευές τους στην εργασία ή έχουν πρόσβαση σε προσωπικά αρχεία από υπολογιστές εργασίας. Ως αποτέλεσμα, μια μόλυνση θα επηρεάσει εταιρικά περιβάλλοντα και θα επιτρέψει την κλοπή εταιρικών credentials και authentication cookies.
Σύμφωνα με το BleepingComputer, μια νέα έκθεση της εταιρείας κυβερνοασφάλειας Flare αναφέρει ότι υπάρχουν περίπου 375.000 logs που παρέχουν πρόσβαση σε επιχειρηματικές εφαρμογές όπως Salesforce, Hubspot, Quickbooks, AWS, GCP, Okta και DocuSign.
Πιο συγκεκριμένα, η Flare βρήκε τα ακόλουθα στα εξετασθέντα logs:
- 179,000 AWS Console credentials
- 2,300 Google Cloud credentials
- 64,500 DocuSign credentials
- 15,500 QuickBooks credentials
- 23,000 Salesforce credentials
- 66,000 CRM credentials
Επίσης, βρέθηκαν περίπου 48.000 logs που επιτρέπουν πρόσβαση στο “okta.com“, μια υπηρεσία που χρησιμοποιείται από διάφορους οργανισμούς.
Δείτε επίσης: BlackCat: Νέα στρατηγική εκβιασμού προσθέτει API διαρροής δεδομένων
Τα περισσότερα από αυτά τα logs (74%) δημοσιεύτηκαν σε Telegram channels, ενώ το 25% εμφανίστηκε σε ρωσόφωνες αγορές, όπως η “Russian Market”.
Η Flare εντόπισε επίσης περισσότερα από 200.000 stealer logs που περιείχαν OpenAI credentials.
Τα εταιρικά credentials θεωρούνται “tier-1” logs, δηλαδή υψηλής αξίας. Η αξία κρίνεται με βάση το πιθανό κέρδος που μπορούν να αποκομίσουν οι εγκληματίες του κυβερνοχώρου αξιοποιώντας παραβιασμένα credentials για πρόσβαση σε εφαρμογές CRM, RDP, VPN και SaaS. Στη συνέχεια, οι επιτιθέμενοι χρησιμοποιούν αυτήν την πρόσβαση για την ανάπτυξη κρυφών backdoors, ransomware και άλλων κακόβουλων payloads.
Δείτε επίσης: ALPHV ransomware: Νέο API διαρροής δεδομένων ως νέα στρατηγική εκβιασμού
Οι επιχειρήσεις θα πρέπει να είναι πολύ προσεκτικές με τα info-stealing malware και αυτό μπορούν να το κάνουν λαμβάνοντας μέτρα προστασίας, όπως η χρήση διαχειριστών κωδικών πρόσβασης, η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων και οι αυστηροί έλεγχοι στη χρήση προσωπικών συσκευών. Επιπλέον, απαραίτητη είναι και η εκπαίδευση των υπαλλήλων ώστε να εντοπίζουν και να αποφεύγουν τις απειλές.
Πηγή: www.bleepingcomputer.com
 που περιλαμβάνουν δεδομένα (credentials) που έχουν κλαπεί μέσω info-stealing malware){kind=link}