Ransomver napadi više nisu ograničeni na lokalne računare i zaključane fajlove. Kriminalne grupe su prepoznale pravu vrijednost savremenog poslovanja, a to su podaci koji se čuvaju i obrađuju u oblaku. Microsoft je nedavno upozorio na ozbiljnu promjenu taktike sajber napadača koji sada targetiraju cloud infrastrukture u potrazi za slabim tačkama koje omogućavaju potpunu kontrolu nad sistemom.
Ova promjena donosi znatno veću prijetnju od klasičnih napada. Umjesto da se fokusiraju na pojedinačne korisnike, kriminalci ciljaju cjelokupne organizacije. Koriste bezbjednosne propuste i loše postavke kako bi pristupili ključnim resursima, a posljedice su prekid rada, gubitak podataka i dugoročna reputaciona šteta.
Ulaz kroz privilegovane naloge
Napadači najčešće započinju napad tražeći administrativne naloge bez dodatne zaštite. U konkretnom slučaju koji je otkrio Microsoft, grupa Storm 0501 uspjela je da pronađe sistem bez aktivirane višefaktorske autentikacije. Resetovali su lozinku, dodali sopstvenu metodu potvrde identiteta i tako stekli potpunu kontrolu nad cloud okruženjem.
Nakon što su dobili pristup, mogli su da se prijave kao bilo koji korisnik i neometano istražuju mrežu. To im je omogućilo da analiziraju interne procese, mapiraju infrastrukturu i pripreme teren za iznudu. Kada napadač posjeduje administratorske privilegije, cjelokupan bezbjednosni sistem postaje ranjiv iznutra.
Kontinuitet prijetnje kroz godine
Storm 0501 je poznata grupa koja djeluje još od 2021. godine. Tada su bili aktivni koristeći ransomver Sabbath, ciljajući obrazovne ustanove u Sjedinjenim Američkim Državama. Njihovi napadi su se razvijali i usavršavali, ali osnovna strategija iznude ostala je ista.
Tokom 2024. grupa se fokusirala na zdravstvene organizacije koristeći novi ransomver alat pod nazivom Embargo. Ove institucije su posebno ranjive jer rade pod konstantnim pritiskom i imaju ograničene resurse za reagovanje na napade. Napadači računaju na to da će hitnost situacije natjerati žrtve da što prije plate otkup.
Komunikacija iznutra
Nakon što su kompromitovali cloud infrastrukturu, napadači su odmah prešli na izvlačenje podataka i brisanje rezervnih kopija kako bi onemogućili oporavak. Cilj im je bio da žrtva izgubi sve opcije osim jedne, a to je plaćanje otkupnine. Korišćenjem cloud alata pokušali su i dodatno da šifruju fajlove unutar sistema.
Najzanimljiviji dio ovog napada bio je način na koji su kontaktirali žrtvu. Iskoristili su Microsoft Teams nalog koji su prethodno kompromitovali i na taj način komunicirali kao da su dio organizacije. Iako nisu uspjeli da u potpunosti zaključe sistem, šteta je već bila velika jer je kompanija ostala bez kontrole nad ključnim resursima.
Odbrana počinje prije napada
S obzirom na novu taktiku ransomver grupa, jasno je da se odbrana više ne može zasnivati samo na osnovnim mjerama. Višefaktorska autentikacija mora biti aktivirana na svim nalozima, posebno onima koji imaju administratorske privilegije. Bez toga, organizacija ostaje izložena ozbiljnom riziku.
Takođe je neophodno da se konstantno prati korisnička aktivnost i pristup resursima. Bezbjednosne postavke cloud sistema moraju se redovno provjeravati, a rezervne kopije čuvati van glavne infrastrukture. Samo ovakvim pristupom moguće je izgraditi otpornost i preživjeti moderni sajber napad.
Zabranjeno preuzimanje dijela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
(Kurir.rs)
