Групата за рансъмуер Unsafe твърди за пробив в данните на Deutsche Bank

Група за рансъмуер, наричаща себе си Unsafe, пое отговорност за пробив в Deutsche Bank, една от най-големите финансови институции в света, и публикува това, което твърди, че са доказателства от база данни в подкрепа на твърдението. Предполагаемият пробив в данните на Deutsche Bank чрез рансъмуер е изложил служебни идентификационни данни и вътрешна информация, което поражда незабавни притеснения как тази информация може да бъде използвана като оръжие при последващи атаки, насочени както към банката, така и към нейните клиенти.

Към момента на писане Deutsche Bank не е потвърдила публично пробива, а пълният обхват на инцидента остава в процес на разследване. Но самото твърдение, подкрепено от това, което изглежда като изтекли примерни данни, е достатъчно, за да заслужи сериозно внимание както от специалисти по сигурността, така и от обикновените потребители.

Какво твърди групата за рансъмуер Unsafe, че е откраднала

Според докладите, позоваващи се на изтеклите данни, пробивът включва служебни идентификационни данни, като се съобщава, че поне 353 комплекта с информация за вход са били компрометирани. Твърди се, че данните включват вътрешни записи, които биха дали на нападателите подробна карта на кадровата структура на Deutsche Bank.

За групите за рансъмуер този вид данни служи за две цели. Първо, може да се използва директно – за опити за превземане на акаунти или за получаване на по-дълбок достъп до корпоративни системи. Второ, може да бъде продадена или публикувана като лост за натиск, принуждавайки целевата организация да плати откуп, за да предотврати по-нататъшно излагане. Групата Unsafe изглежда използва втората стратегия, като публикува предполагаеми примерни бази данни публично, за да демонстрира обхват и да създаде усещане за спешност.

Струва си да се отбележи, че групите за рансъмуер рутинно преувеличават мащаба на пробивите, за да максимизират натиска. Въпреки това, дори частично изтичане на данни за служители носи значителен последващ риск, което ни води до по-практическата загриженост.

Как изтеклите данни за служители подхранват фишинг и атаки със социално инженерство

Когато база данни с имена на служители, имейл адреси, длъжности и идентификационни данни попадне в отворената мрежа, тя не заплашва само пробитата организация. Тя създава инструментариум за нападатели, насочени към всички, свързани с тази организация, включително клиенти, партньори и доставчици.

Фишинг кампании, изградени върху реални данни за служители, са много по-убедителни от общите измами. Нападател, който знае името на конкретен служител на Deutsche Bank, неговия отдел и вътрешния имейл формат, може да изработи съобщение, което изглежда напълно легитимно за получателя. Този тип целенасочен фишинг, вместо масово разпространяван, е отговорен за голяма част от успешните корпоративни кибератаки.

Социалното инженерство отива още по-далеч. Нападателите могат да се представят за служители, когато се обаждат на ИТ помощните бюра, доставчици или дори клиенти, използвайки реални вътрешни детайли, за да преминат проверки за верификация. Именно затова пробивът във френската агенция за лични документи, изложил 12 милиона акаунта предизвика безпокойство далеч отвъд самата агенция. Институционалните изтичания на данни се разпространяват навън, а хората в края на тази верига рядко го очакват.

Какво разкрива пробивът в Deutsche Bank за пропуските в корпоративната хигиена на данните

Финансовите институции са сред най-строго регулираните субекти, що се отнася до сигурността на данните. Те инвестират значително в инфраструктура за киберсигурност, което прави твърдение за пробив от такъв мащаб забележително, а не рутинно.

Това, което обикновено се проваля, не е периметърът, а вътрешността. Служебните идентификационни данни, съхранявани в достъпни бази данни, недостатъчният контрол на достъпа, сегментиращ вътрешните системи, и забавеното откриване – всичко това допринася за пробиви, които сложните групи за рансъмуер могат да експлоатират. Веднъж попаднали в мрежата, нападателите често могат да се придвижват странично в продължение на седмици или месеци, преди да задействат видима аларма.

Излагането на идентификационни данни, докладвано тук, също сочи към по-широк проблем: организациите често съхраняват повече данни за служителите в централизирани, достъпни формати, отколкото е необходимо. Минимизирането на това, което се съхранява, къде се съхранява и кой има достъп до него, намалява щетите, които всеки отделен пробив може да причини. Това е принцип, който се прилага пряко както за мултинационална банка, така и за малък бизнес или дори за физическо лице, управляващо собствените си акаунти.

Мащабни инциденти с данни, като пробивът в Novo Nordisk, включващ 1,3 TB откраднати клинични данни, потвърждават, че никой сектор не е имунизиран и че обемът чувствителни данни, които организациите натрупват, създава нарастващ риск с течение на времето.

Практически стъпки, които потребителите и бизнесът могат да предприемат, за да ограничат излагането

Независимо дали работите в голяма институция, или просто имате акаунти в такава, има конкретни действия, които си струва да предприемете в отговор на новини като тази.

Проверете излагането си на пробиви. Услуги, които следят дали вашият имейл адрес се е появил в известни изтичания на данни, могат да ви предупредят, когато идентификационни данни, свързани с вашите акаунти, циркулират онлайн. Ако имате каквато и да е връзка с Deutsche Bank, приемете това като подтик да прегледате сигурността на акаунта си.

Сменете паролите и активирайте многофакторно удостоверяване. Ако същата парола, която използвате за работа или банкиране, се появява някъде другаде, сменете я сега. Многофакторното удостоверяване значително намалява стойността на откраднатите идентификационни данни за нападателите.

Бъдете скептични към неочакван контакт. В седмиците след голям пробив фишинг опитите, свързани с тази институция, обикновено се увеличават. Отнасяйте се с повишено подозрение към всеки непоискан имейл, обаждане или съобщение, което се позовава на вашия акаунт, спешно искане или вътрешна информация, дори ако детайлите изглеждат точни.

За бизнеса – одитирайте какво съхранявате. Ако вашата организация съхранява данни за служители или клиенти в централизирани бази данни, това е подходящ момент да попитате дали всички те трябва да са там, кой има достъп и дали регистрите за достъп се наблюдават.

Твърденият пробив в данните на Deutsche Bank чрез рансъмуер е напомняне, че институционалната сигурност на данните и личната дигитална безопасност не са отделни проблеми. Когато големи организации са компрометирани, излагането се разпространява далеч отвъд собствените им стени. Прегледът на собственото ви излагане на пробиви и затягането на личните практики за сигурност не е прекомерна реакция; това е пропорционален отговор на начина, по който тези инциденти действително се развиват.