Угруповання програм-вимагачів Unsafe заявляє про злам даних Deutsche Bank
Угруповання програм-вимагачів, яке називає себе Unsafe, взяло на себе відповідальність за злам Deutsche Bank, одного з найбільших фінансових установ світу, і оприлюднило те, що, за його словами, є доказами з бази даних, щоб підтвердити цю заяву. Імовірний витік даних Deutsche Bank через програму-вимагача викрив облікові дані працівників і внутрішню інформацію, що одразу викликало занепокоєння щодо того, як ці відомості можуть бути використані для наступних атак, націлених як на банк, так і на його клієнтів.
На момент написання статті Deutsche Bank публічно не підтвердив факт зламу, і повний масштаб інциденту залишається предметом розслідування. Проте сама заява, підкріплена, судячи з усього, зразками викрадених даних, є достатньою підставою для серйозної уваги як з боку фахівців із безпеки, так і з боку звичайних користувачів.
Що угруповання програм-вимагачів Unsafe заявляє, що викрало
Згідно з повідомленнями, які посилаються на викрадені дані, злам стосується облікових даних працівників, причому, як повідомляється, скомпрометовано щонайменше 353 набори облікової інформації. Зазначається, що дані містять внутрішні записи, які могли б дати зловмисникам детальну схему кадрової структури Deutsche Bank.
Для угруповань програм-вимагачів такі дані слугують двом цілям. По-перше, їх можна використати безпосередньо для спроб захоплення облікових записів або отримання глибшого доступу до корпоративних систем. По-друге, їх можна продати або опублікувати як важіль тиску, змушуючи організацію-жертву заплатити викуп, щоб запобігти подальшому розголошенню. Угруповання Unsafe, схоже, використовує другу стратегію, публічно оприлюднюючи ймовірні зразки бази даних, щоб продемонструвати охоплення та створити відчуття терміновості.
Варто зазначити, що угруповання програм-вимагачів зазвичай перебільшують масштаби зламів, щоб максимально посилити тиск. Попри це, навіть частковий витік даних працівників несе значний подальший ризик, що підводить нас до більш практичного питання.
Як викрадені дані працівників живлять фішинг та атаки соціальної інженерії
Коли база даних з іменами працівників, адресами електронної пошти, посадами та обліковими даними потрапляє у відкритий доступ, це загрожує не лише організації, яку зламали. Це створює набір інструментів для зловмисників, націлених на всіх, хто пов'язаний з цією організацією, включаючи клієнтів, партнерів і постачальників.
Фішингові кампанії, побудовані на реальних даних працівників, набагато переконливіші, ніж масові шахрайства. Зловмисник, який знає ім'я конкретного працівника Deutsche Bank, його відділ і внутрішній формат електронної пошти, може створити повідомлення, яке виглядатиме для одержувача цілком легітимним. Саме цей тип цільового фішингу, а не масового розсилання, відповідальний за значну частину успішних корпоративних кібератак.
Соціальна інженерія йде ще далі. Зловмисники можуть видавати себе за працівників, телефонуючи до служби ІТ-підтримки, постачальникам або навіть клієнтам, використовуючи реальні внутрішні деталі для проходження перевірки особи. Саме тому злам Французького агентства ID, який викрив 12 мільйонів облікових записів викликав занепокоєння далеко за межами самого агентства. Інституційні витоки даних поширюються назовні, і люди, які опиняються в кінці цього ланцюга, рідко про це здогадуються.
Що злам Deutsche Bank виявляє про недоліки корпоративної гігієни даних
Фінансові установи належать до найсуворіше регульованих суб'єктів щодо безпеки даних. Вони вкладають значні кошти в інфраструктуру кібербезпеки, що робить заявлений злам такого масштабу примітним, а не рутинним.
Що зазвичай дає збій, так це не периметр, а внутрішній простір. Облікові дані працівників, що зберігаються в доступних базах даних, недостатній контроль доступу для сегментації внутрішніх систем і затримка виявлення — все це сприяє зламам, які можуть використовувати досвідчені угруповання програм-вимагачів. Отримавши доступ до мережі, зловмисники часто можуть переміщатися нею впродовж тижнів або місяців, перш ніж спрацює видимий сигнал тривоги.
Викриття облікових даних, про яке тут повідомляється, також вказує на ширшу проблему: організації часто зберігають більше даних про працівників у централізованих, доступних форматах, ніж це необхідно. Мінімізація того, що зберігається, де зберігається і хто має до цього доступ, зменшує шкоду, яку може завдати будь-який окремий злам. Цей принцип однаково безпосередньо стосується як багатонаціонального банку, так і малого бізнесу чи навіть приватної особи, яка керує власними обліковими записами.
Масштабні інциденти з даними, такі як злам Novo Nordisk, що призвів до викрадення 1,3 ТБ клінічних даних, підтверджують, що жоден сектор не є невразливим і що обсяг конфіденційних даних, які накопичують організації, з часом створює сукупний ризик.
Практичні кроки, які можуть зробити користувачі та бізнес для обмеження впливу
Незалежно від того, чи працюєте ви у великій установі, чи просто маєте в ній облікові записи, є конкретні дії, які варто зробити у відповідь на подібні новини.
Перевірте свою схильність до витоків. Сервіси, які відстежують, чи з'являлася ваша електронна адреса у відомих зливах даних, можуть сповістити вас, коли облікові дані, прив'язані до ваших облікових записів, циркулюють в мережі. Якщо ви маєте будь-який стосунок до Deutsche Bank, сприйміть це як привід переглянути безпеку свого облікового запису.
Змініть паролі та увімкніть багатофакторну автентифікацію. Якщо той самий пароль, який ви використовуєте для роботи чи банківських операцій, зустрічається ще десь, змініть його зараз. Багатофакторна автентифікація значно знижує цінність викрадених облікових даних для зловмисників.
Будьте скептичними до несподіваних контактів. У тижні після великого зламу фішингові спроби, пов'язані з цією установою, зазвичай зростають. Ставтеся до будь-якого небажаного електронного листа, дзвінка чи повідомлення, яке посилається на ваш обліковий запис, терміновий запит або внутрішню інформацію, з підвищеною підозрою, навіть якщо деталі здаються точними.
Для бізнесу — проведіть аудит того, що ви зберігаєте. Якщо ваша організація зберігає дані про працівників або клієнтів у централізованих базах даних, це практичний момент, щоб запитати, чи всі вони мають там бути, хто має доступ і чи відстежуються журнали доступу.
Заявлений злам даних Deutsche Bank угрупованням програм-вимагачів є нагадуванням, що інституційна безпека даних та індивідуальна цифрова безпека не є окремими проблемами. Коли великі організації скомпрометовані, витік поширюється далеко за межі їхніх стін. Перегляд власної вразливості до витоків і посилення особистих практик безпеки не є надмірною реакцією; це пропорційна відповідь на те, як насправді розвиваються подібні інциденти.




