Grėsmės žvalgybos tyrinėtojai įspėja įsilaužėlius, pažeidžiančius kelias JAV draudimo pramonės įmones, naudodamiesi visa taktika, stebima, kai išsibarsčiusi vorų veikla.
Paprastai grėsmių grupė skiria sektoriaus dėmesį kiekviename sektoriuje. Anksčiau jie buvo nukreipti į mažmeninės prekybos organizacijas Jungtinėje Karalystėje ir tada perėjo prie tikslų tame pačiame JAV sektoriuje.
„„ Google “grėsmės žvalgybos grupė dabar žino apie daugybę įsibrovimų JAV, kuriuose yra visi išsklaidytos vorų veiklos požymiai. Dabar mes matome incidentus draudimo pramonėje“, – „BleepingComputter“ sakė Johnas Hultquistas, „Google Great Intelligence Group“ vyriausiasis analitikas.
„Hultquist“ perspėja, kad todėl, kad grupė vienu metu kreipiasi į vieną sektorių, „draudimo pramonė turėtų būti labai budrūs“.
Vyriausiasis GTIG tyrėjas sako, kad įmonės turėtų ypatingą dėmesį atkreipti į galimus socialinės inžinerijos bandymus pagalbos tarnyboje ir skambučių centruose.
Išsklaidyta vorų taktika
Išsklaidytas voras yra vardas, suteiktas sklandžiam grėsmių veikėjų koalicijai, kuriuose naudojamos sudėtingos socialinės inžinerijos išpuoliai, kad būtų galima apeiti subrendusias saugumo programas.
Grupė taip pat stebima kaip 0ktapus, UNC3944, Scatter kiaulės, „Starfraud“ ir „Muddled Svarstyklės“ ir buvo susieta su pažeidimais keliose aukšto lygio organizacijose, kurios sumaišė sukčiavimą, SIM kaštavimą ir MFA nuovargį/MFA bombardavimą.
Vėlesniame išpuolio etape buvo pastebėta, kad grupė mažėja kaip „Ransomhub“, „Qilin“ ir „Dragonforce“.
Ginantis nuo išsibarsčiusių vorų atakų
Organizacijos, ginančios nuo tokio tipo grėsmės veikėjų, turėtų pradėti nuo visiško matomumo visoje infrastruktūroje, tapatybės sistemose ir kritinėje valdymo paslaugose.
GTIG rekomenduoja atskirti tapatybes ir naudoti stiprius autentifikavimo kriterijus kartu su griežtais tapatybės valdikliais, kad būtų galima atstatyti slaptažodžius ir registruoti URM.
Kadangi išsklaidytas voras remiasi socialine inžinerija, organizacijos turėtų mokyti darbuotojus ir vidaus saugumo komandas apie apsimetinėjimo bandymus įvairiais kanalais (SMS, telefono skambučiais, pranešimų platformomis), kuriose kartais gali būti agresyvi kalba, kad gąsdintų tikslą.
Po to, kai įsilaužėliai šiais metais pažeidė „Marks & Spencer“, „Co-op“ ir „Harrods“ mažmenininkus JK, šalies nacionalinis kibernetinio saugumo centras (NCSC) pasidalino patarimais organizacijoms, kad pagerintų savo kibernetinio saugumo gynybą.
Visuose trijuose išpuoliuose grėsmės aktorius paskutiniame etape naudojo tą pačią socialinės inžinerijos taktiką, susijusią su išsklaidytu ir išmestu „Dragonforce Ransomware“.
NCSC rekomendacijos apima dviejų faktorių ar daugiafaktoriaus autentifikavimo suaktyvinimą, neleistinų prisijungimų stebėjimą ir patikrinimas, ar prieiga prie domeno administratoriaus, įmonės administratoriaus ir debesų administratoriaus paskyrų yra teisėta.
Be to, JK agentūra pataria, kad organizacijos peržiūrėtų, kaip „HelpDesk Service“ patvirtina įgaliojimus prieš juos iš naujo, ypač darbuotojams, turintiems padidėjusias privilegijas.
Gebėjimas nustatyti prisijungimus iš neįprastų šaltinių (pvz., VPN paslaugos iš gyvenamųjų patalpų) taip pat galėtų padėti nustatyti galimą išpuolį.
Pataisymas reiškė sudėtingus scenarijus, ilgas valandas ir nesibaigiančius gaisro grąžtus. Nebe.
Šiame naujame vadove „Tines“ suskaido, kaip modernūs IT orgai yra lygūs automatizavimui. Greičiau pataisykite, sumažinkite pridėtines išlaidas ir sutelkite dėmesį į strateginį darbą – nereikia jokių sudėtingų scenarijų.
