Exfiltrace dat je na vzestupu. Proč je větším rizikem než ransomware?

Zpět na blog

Ransomware patří mezi hlavní hrozby, kterým organizace v posledních několika letech čelí. Aktéři hrozeb díky ransomwaru vydělávali, jelikož využívali vysoké ceny kryptoměn a nedostatečné připravenosti svých obětí.

Vše útočníkům hrálo do karet – špatné zásady zabezpečení, neotestované zálohy, slabý patch management, a tak dále vedly k prudkému nárůstu ransomwarových útoků. Něco se však v poslední době změnilo. Hodnota kryptoměn klesla, což snížilo peněžní atraktivitu ransomwarových útoků a také organizace proti ransomwaru vytvořily obranné mechanismy a pro útočníky se tyto útoky staly náročnějšími.

Aktéři hrozeb tak hledali jinou příležitost – a našli ji. Říká se jí exfiltrace dat neboli exfil, což je typ špionáže, který nyní ohrožuje organizace po celém světě. O co vlastně jde?

Hrozba vyzrazení důvěrných informací

Exfiltrace informací se rychle rozmáhá. Počátkem letošního roku incidenty ve společnostech Nvidia, Microsoft a několika dalších upozornily na to, jak velkým problémem se stává – a že pro některé organizace může představovat hrozbu, která je dokonce větší než ransomware.

Společnost Nvidia se například zapletla do složité výměny názorů s hackerskou skupinou Lapsus$. Jeden z největších výrobců čipů na světě čelil veřejnému odhalení zdrojového kódu proprietární technologie, protože Lapsus$ se měl dostat ke zdrojovému kódu pro výzkum Deep Learning Super Sampling (DLSS).

Pokud jde o vydírání exfiltrací, primárním cílem útočníků zde není zašifrovat systém a způsobit vyřazení systémů jako v případě ransomwaru. I když ano, útočníci mohou stále používat šifrování k zametení stop. Místo toho útočníci na misi exfiltrace informací přesunou obrovské množství dat do systémů, které mají pod kontrolou. Následně začnou oběť vydírat a vyhrožovat, že tyto důvěrné informace uvolní nebo je prodají bezohledným třetím stranám.

Exfil může být mnohem škodlivější než ransomware

Pro oběti to představuje vážnou hrozbu, protože aktéři hrozby mohou získat opravdu cenná data. Konkurenti mohou využít obchodní tajemství k výrobě kopií produktů nebo si usnadnit celý nákladný proces výzkumu a vývoje. Rovněž jsou ve hře informace, které by mohly způsobit pohromu v oblasti vztahů s veřejností.

Ať tak či onak – veřejné odhalení informací může být větší hrozbou než ransomware, protože požadavek ransomwaru lze vyřešit zaplacením (nebo obnovením záloh). Únik informací se ale řeší těžko. Pro aktéry hrozeb tak může být vydírání založené na exfiltraci dat ještě atraktivnějším cílem než pouhý ransomware.

Stojí za zmínku, že část pohnutek pro tento typ útoků spočívá také v současném stavu světového dění, které vytvořilo silnou poptávku po přenosu duševního vlastnictví přes protichůdné geopolitické linie. Existuje také pravděpodobně větší shovívavost vůči aktérům útočícím na „druhou stranu“, a to i v případě, že soudní systémy považují útok za trestný čin.

Běh na dlouhou trať

V oblasti exfiltrace se objevuje ještě jedno téma: pro aktéry je výhodné, když zůstanou neodhaleni po delší dobu.

Zůstat v tichosti, místo aby na obrazovkách počítačů blikala hlášení „byli jste hacknuti“, umožňuje útočníkům se zmocnit více informačních toků v síti a po získání vstupu provádět důkladnější průzkum systémů.

Více času v síti znamená, že útočníci mohou identifikovat více žádoucích cílů než jen prosté nasazení ransomwaru. Trpěliví aktéři hrozeb mohou napáchat mnohem více škody; pokud zůstanou neodhaleni.

Ochranná opatření stále fungují

Co mohou organizace udělat pro ochranu před vydíráním? Stále platí stejné zásady kybernetické bezpečnosti.

Většina organizací už přijala opatření proti ransomwaru v podobě lepších strategií zálohování, vyladěnějšího a granulárnějšího přístupu k datům a lepších pravidel a monitorování pro detekci nežádoucích změn souborů.

To ztížilo útoky ransomwaru a odradilo útočníky, kteří hledají snadné cíle. Ochrana před infekcí malwarem nebo exfiltrací informací začíná správnou údržbou infrastruktury.

Základem zůstává bezproblémové záplatování

Hlavním předpokladem účinné kybernetické bezpečnosti je udržování systémů v aktuálním stavu s nejnovějšími záplatami. Nejde samozřejmě jen o ochranu před ransomwarem: záplatované systémy také uzavírají snadné cesty ke kritickým podnikovým informacím. Přestože je tato skutečnost dlouho známá, stále se najdou tací, kteří aktualizace odkládají nebo dokonce úplně ignorují.

Zdroj: thehackernews.com

29. 8. 2022