Grupa ransomware Unsafe twierdzi, że włamała się do Deutsche Bank
Grupa ransomware nazywająca siebie Unsafe przyznała się do włamania do Deutsche Bank, jednej z największych instytucji finansowych na świecie, i opublikowała to, co – jak twierdzi – stanowi dowody w postaci bazy danych na poparcie tych roszczeń. Domniemany wyciek danych z Deutsche Bank spowodowany atakiem ransomware ujawnił dane logowania pracowników oraz wewnętrzne informacje, co natychmiast wzbudziło obawy, w jaki sposób informacje te mogą zostać wykorzystane w kolejnych atakach wymierzonych zarówno w bank, jak i jego klientów.
W chwili pisania tego tekstu Deutsche Bank nie potwierdził publicznie naruszenia, a pełny zakres incydentu jest nadal przedmiotem dochodzenia. Ale samo twierdzenie, poparte próbkami danych, które wyglądają na autentyczne, wystarczy, by zwrócić poważną uwagę zarówno specjalistów ds. bezpieczeństwa, jak i zwykłych użytkowników.
Co według grupy ransomware Unsafe zostało skradzione
Według doniesień powołujących się na ujawnione dane, naruszenie obejmuje dane logowania pracowników – podobno skompromitowano co najmniej 353 zestawy danych logowania. Dane te mają zawierać wewnętrzne rejestry, które dałyby atakującym szczegółową mapę struktury personalnej Deutsche Bank.
Dla grup ransomware tego rodzaju dane służą dwóm celom. Po pierwsze, mogą być wykorzystane bezpośrednio do prób przejęcia kont lub uzyskania głębszego dostępu do systemów korporacyjnych. Po drugie, mogą zostać sprzedane lub opublikowane jako forma nacisku, by zmusić organizację docelową do zapłacenia okupu w celu powstrzymania dalszego ujawniania. Grupa Unsafe wydaje się stosować tę drugą strategię, upubliczniając rzekome próbki bazy danych, aby zademonstrować zasięg ataku i wywołać presję.
Warto zauważyć, że grupy ransomware rutynowo wyolbrzymiają skalę naruszeń, aby zmaksymalizować presję. Niemniej jednak nawet częściowe wycieki danych pracowników niosą ze sobą znaczące dalsze ryzyko, co prowadzi nas do bardziej praktycznej kwestii.
Jak ujawnione dane pracowników napędzają ataki phishingowe i socjotechniczne
Gdy baza danych zawierająca nazwiska, adresy e-mail, stanowiska służbowe i dane logowania trafia do otwartej sieci, nie zagraża już tylko organizacji, która padła ofiarą naruszenia. Tworzy zestaw narzędzi dla atakujących wymierzonych we wszystkich powiązanych z tą organizacją – w tym klientów, partnerów i dostawców.
Kampanie phishingowe zbudowane na prawdziwych danych pracowników są o wiele bardziej przekonujące niż ogólne oszustwa. Atakujący, który zna nazwisko konkretnego pracownika Deutsche Bank, jego dział i wewnętrzny format adresu e-mail, może stworzyć wiadomość, która dla odbiorcy wygląda całkowicie legalnie. Ten rodzaj spear-phishingu – ukierunkowanego, a nie masowego – odpowiada za dużą część udanych korporacyjnych cyberataków.
Socjotechnika idzie jeszcze dalej. Atakujący mogą podszywać się pod pracowników, dzwoniąc do działów pomocy IT, dostawców, a nawet klientów, wykorzystując prawdziwe wewnętrzne szczegóły, aby przejść weryfikację. Właśnie dlatego naruszenie we francuskiej agencji ds. dowodów tożsamości, które ujawniło 12 milionów kont, wzbudziło niepokój daleko poza samą agencję. Wycieki instytucjonalnych danych rozchodzą się falą na zewnątrz, a osoby na końcu tego łańcucha rzadko się tego spodziewają.
Co naruszenie w Deutsche Bank ujawnia na temat nieprawidłowości w higienie danych korporacyjnych
Instytucje finansowe należą do najściślej regulowanych podmiotów pod względem bezpieczeństwa danych. Inwestują znacząco w infrastrukturę cyberbezpieczeństwa, co sprawia, że domniemane naruszenie na taką skalę jest raczej godne uwagi niż rutynowe.
To, co zwykle zawodzi, to nie ochrona zewnętrzna, ale wewnętrzna. Dane logowania pracowników przechowywane w dostępnych bazach danych, niewystarczająca kontrola dostępu segmentująca systemy wewnętrzne oraz opóźnione wykrywanie – wszystko to przyczynia się do naruszeń, które wyrafinowane grupy ransomware mogą wykorzystać. Po dostaniu się do sieci atakujący często mogą przemieszczać się poprzecznie przez tygodnie lub miesiące, zanim uruchomią jakikolwiek widoczny alarm.
Ujawnienie danych logowania, o którym tu mowa, wskazuje również na szerszy problem: organizacje często przechowują więcej danych pracowników w scentralizowanych, dostępnych formatach, niż jest to konieczne. Minimalizacja tego, co jest przechowywane, gdzie jest przechowywane i kto ma do tego dostęp, zmniejsza szkody, jakie może spowodować pojedyncze naruszenie. Jest to zasada, która dotyczy zarówno międzynarodowego banku, jak i małej firmy, a nawet osoby indywidualnej zarządzającej własnymi kontami.
Incydenty na dużą skalę, takie jak naruszenie w Novo Nordisk dotyczące 1,3 TB skradzionych danych klinicznych, przypominają, że żaden sektor nie jest odporny, a ilość gromadzonych przez organizacje wrażliwych danych z czasem stwarza skumulowane ryzyko.
Praktyczne kroki, które użytkownicy i firmy mogą podjąć, aby ograniczyć narażenie
Niezależnie od tego, czy pracujesz w dużej instytucji, czy po prostu masz w niej konto, w reakcji na takie wiadomości warto podjąć konkretne działania.
Sprawdź swoją ekspozycję na wycieki. Usługi monitorujące, czy Twój adres e-mail pojawił się w znanych bazach danych z wycieków, mogą ostrzec Cię, gdy dane logowania powiązane z Twoimi kontami krążą w sieci. Jeśli masz jakikolwiek związek z Deutsche Bank, potraktuj to jako sygnał do przejrzenia zabezpieczeń swojego konta.
Zmień hasła i włącz uwierzytelnianie wieloskładnikowe. Jeśli to samo hasło, którego używasz w pracy lub bankowości, pojawia się gdziekolwiek indziej, zmień je teraz. Uwierzytelnianie wieloskładnikowe znacząco zmniejsza wartość skradzionych danych logowania dla atakujących.
Bądź sceptyczny wobec niespodziewanych kontaktów. W tygodniach następujących po dużym wycieku, próby phishingu powiązane z tą instytucją zazwyczaj nasilają się. Traktuj każdą niechcianą wiadomość e-mail, telefon lub wiadomość, która odnosi się do Twojego konta, pilnej prośby lub informacji wewnętrznych, z podwyższoną podejrzliwością, nawet jeśli podane szczegóły wydają się dokładne.
Dla firm: skontroluj, co przechowujesz. Jeśli Twoja organizacja przechowuje dane pracowników lub klientów w scentralizowanych bazach danych, jest to dobry moment, aby zapytać, czy wszystkie one muszą tam być, kto ma do nich dostęp i czy logi dostępu są monitorowane.
Domniemany wyciek danych z Deutsche Bank po ataku ransomware przypomina, że bezpieczeństwo danych instytucji i indywidualne bezpieczeństwo cyfrowe nie są odrębnymi kwestiami. Kiedy duże organizacje są kompromitowane, skutki rozchodzą się daleko poza ich mury. Sprawdzenie własnej ekspozycji na wycieki i zaostrzenie osobistych praktyk bezpieczeństwa nie jest przesadną reakcją; to proporcjonalna odpowiedź na to, jak te incydenty faktycznie przebiegają.




