Ransomwarová skupina Unsafe se hlásí k úniku dat z Deutsche Bank

Ransomwarová skupina, která si říká Unsafe, se přihlásila k odpovědnosti za prolomení Deutsche Bank, jedné z největších světových finančních institucí, a zveřejnila to, o čem tvrdí, že je databázový důkaz na podporu svého tvrzení. Údajný ransomwarový únik dat z Deutsche Bank odhalil přihlašovací údaje zaměstnanců a interní data, což okamžitě vyvolalo obavy, jak by tyto informace mohly být zneužity při následných útocích zaměřených jak na banku, tak na její klienty.

Deutsche Bank v době psaní tohoto článku únik veřejně nepotvrdila a celý rozsah incidentu zůstává předmětem vyšetřování. Samotné tvrzení, podložené tím, co se jeví jako uniklé vzorky dat, si však zaslouží vážnou pozornost jak bezpečnostních odborníků, tak běžných uživatelů.

Co ransomwareová skupina Unsafe tvrdí, že ukradla

Podle zpráv odkazujících na uniklá data zahrnuje únik přihlašovací údaje zaměstnanců, přičemž mělo být kompromitováno nejméně 353 sad přihlašovacích informací. Data údajně obsahují interní záznamy, které by útočníkům poskytly podrobnou mapu personální struktury Deutsche Bank.

Pro ransomwarové skupiny slouží tento druh dat dvěma účelům. Zaprvé je lze přímo použít k pokusům o převzetí účtů nebo k získání hlubšího přístupu do firemních systémů. Zadruhé je lze prodat nebo zveřejnit jako páku, čímž se na cílovou organizaci vyvíjí tlak, aby zaplatila výkupné a zabránila dalšímu zveřejnění. Zdá se, že skupina Unsafe využívá druhou strategii, když veřejně zveřejňuje údajné vzorky databází, aby demonstrovala svůj dosah a vyvolala naléhavost.

Stojí za zmínku, že ransomwarové skupiny běžně zveličují rozsah úniků, aby maximalizovaly tlak. I částečné úniky zaměstnaneckých dat však nesou značné následné riziko, což nás přivádí k praktičtějšímu problému.

Jak uniklá data zaměstnanců podněcují phishingové a sociálně-inženýrské útoky

Když se na otevřený web dostane databáze jmen zaměstnanců, e-mailových adres, pracovních pozic a přihlašovacích údajů, neohrožuje to pouze prolomenou organizaci. Vytváří to sadu nástrojů pro útočníky zaměřující se na všechny, kdo jsou s touto organizací spojeni, včetně zákazníků, partnerů a dodavatelů.

Phishingové kampaně postavené na reálných zaměstnaneckých datech jsou mnohem přesvědčivější než obecné podvody. Útočník, který zná jméno, oddělení a interní formát e-mailu konkrétního zaměstnance Deutsche Bank, může vytvořit zprávu, která bude příjemci připadat zcela legitimní. Tento typ spear-phishingu, cíleného spíše než hromadně šířeného, je zodpovědný za velkou část úspěšných firemních kyberútoků.

Sociální inženýrství to posouvá ještě dál. Útočníci se mohou vydávat za zaměstnance při telefonátech na IT helpdesky, dodavatele nebo dokonce zákazníky a používat skutečné interní údaje k ověření totožnosti. Přesně proto únik dat z francouzské agentury pro občanské průkazy, který odhalil 12 milionů účtů, vyvolal obavy daleko za hranicemi samotné agentury. Institucionální úniky dat se šíří kaskádovitě ven a jednotlivci na konci tohoto řetězce to málokdy očekávají.

Co únik dat z Deutsche Bank odhaluje o selháních v oblasti firemní datové hygieny

Finanční instituce patří mezi nejpřísněji regulované subjekty, pokud jde o zabezpečení dat. Významně investují do kyberbezpečnostní infrastruktury, což činí tvrzený únik tohoto rozsahu spíše výjimečným než rutinním.

To, co obvykle selhává, není perimetr, ale vnitřní prostředí. Přihlašovací údaje zaměstnanců uložené v přístupných databázích, nedostatečná kontrola přístupu segmentující interní systémy a opožděná detekce – to vše přispívá k únikům, které mohou sofistikované ransomwarové skupiny zneužít. Jakmile jsou útočníci uvnitř sítě, mohou se v ní často pohybovat laterálně celé týdny nebo měsíce, než spustí viditelný poplach.

Zde uváděná expozice přihlašovacích údajů také poukazuje na širší problém: organizace často uchovávají více zaměstnaneckých dat v centralizovaných, snadno přístupných formátech, než je nutné. Minimalizace toho, co je ukládáno, kde je to ukládáno a kdo k tomu má přístup, snižuje škody, které může jakýkoli jednotlivý únik způsobit. Tento princip se vztahuje stejně přímo na nadnárodní banku jako na malou firmu nebo dokonce na jednotlivce spravujícího své vlastní účty.

Rozsáhlé datové incidenty, jako je únik dat ze společnosti Novo Nordisk zahrnující 1,3 TB ukradených klinických dat, potvrzují, že žádné odvětví není imunní a že objem citlivých dat, která organizace shromažďují, vytváří v čase kumulativní riziko.

Praktické kroky, které mohou uživatelé a firmy podniknout k omezení expozice

Ať už pracujete ve velké instituci, nebo u ní máte jen založené účty, existují konkrétní kroky, které stojí za to podniknout v reakci na podobné zprávy.

Zkontrolujte svou expozici vůči únikům. Služby, které sledují, zda se vaše e-mailová adresa objevila ve známých únicích dat, vás mohou upozornit, když jsou přihlašovací údaje spojené s vašimi účty v oběhu online. Pokud máte jakýkoli vztah s Deutsche Bank, berte to jako podnět k prověření zabezpečení svého účtu.

Změňte hesla a povolte vícefaktorové ověřování. Pokud se stejné heslo, které používáte pro práci nebo bankovnictví, objevuje kdekoli jinde, okamžitě ho změňte. Vícefaktorové ověřování výrazně snižuje hodnotu ukradených přihlašovacích údajů pro útočníky.

Buďte skeptičtí k neočekávaným kontaktům. V týdnech následujících po velkém úniku obvykle narůstá počet phishingových pokusů spojených s danou institucí. Jakýkoli nevyžádaný e-mail, hovor nebo zprávu, která odkazuje na váš účet, naléhavou žádost nebo interní informace, berte se zvýšenou podezřívavostí, i když se podrobnosti zdají být přesné.

Pro firmy: auditujte, co ukládáte. Pokud vaše organizace uchovává zaměstnanecká nebo zákaznická data v centralizovaných databázích, je toto praktická chvíle k tomu, abyste se zeptali, zda tam všechna musí být, kdo k nim má přístup a zda jsou přístupové záznamy monitorovány.

Údajný ransomwarový únik dat z Deutsche Bank je připomínkou, že institucionální zabezpečení dat a bezpečnost jednotlivce nejsou oddělené záležitosti. Když jsou kompromitovány velké organizace, expozice se šíří daleko za jejich zdi. Prověření vlastní expozice vůči únikům a posílení osobních bezpečnostních návyků není přehnanou reakcí; je to přiměřená odpověď na to, jak se tyto incidenty ve skutečnosti vyvíjejí.