Δεκάδες μεγάλες παγκόσμιες επιχειρήσεις έχουν παραβιαστεί μέσω ενός εκπληκτικά απλού αλλά καταστροφικού φορέα επίθεσης: κλεμμένα διαπιστευτήρια που εξάγονται από κακόβουλο λογισμικό infostealer.
Ένας παράγοντας απειλών που λειτουργεί με το ψευδώνυμο «Zestix» και το ψευδώνυμό του «Sentap» έχει συστηματική πρόσβαση σε εταιρικές πλατφόρμες αποθήκευσης cloud, συμπεριλαμβανομένων των ShareFile, Nextcloud και OwnCloud, που ανήκουν σε περίπου 50 διεθνείς οργανισμούς.
Οι παραβιάσεις καλύπτουν κρίσιμους τομείς όπως η αεροπορία, η αμυντική ρομποτική, η υγειονομική περίθαλψη, τα οικονομικά και οι κρατικές υποδομές, εκθέτοντας terabyte ευαίσθητων δεδομένων.
Η αλυσίδα επιθέσεων αποκαλύπτει μια ανησυχητική πραγματικότητα στη σύγχρονη κυβερνοασφάλεια. Οι υπάλληλοι κατεβάζουν κατά λάθος κακόβουλα αρχεία που εκτελούν infotealers όπως το RedLine, το Lumma και το Vidar.
Αυτές οι παραλλαγές κακόβουλου λογισμικού συγκεντρώνουν σιωπηλά όλα τα αποθηκευμένα διαπιστευτήρια και το ιστορικό του προγράμματος περιήγησης από μολυσμένες συσκευές. Μόλις εξαχθούν, αυτά τα αρχεία καταγραφής συγκεντρώνονται σε τεράστιες βάσεις δεδομένων στον σκοτεινό ιστό.
Στη συνέχεια, το Zestix πραγματοποιεί αναζήτηση σε αυτά τα αποθετήρια αναζητώντας ειδικά εταιρικά URL cloud και χρησιμοποιεί τα κλεμμένα διαπιστευτήρια για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε εταιρικά συστήματα.
.webp "Ηθοποιοί απειλών παραβίασαν παγκόσμιες εταιρείες μέσω διαπιστευτηρίων Cloud που διέρρευσαν από Infostealer Infections")
Αναλυτές και ερευνητές της InfoStealers διάσημος ότι η πιο κρίσιμη ευπάθεια που επέτρεψε αυτές τις παραβιάσεις δεν ήταν μια εξελιγμένη εκμετάλλευση μηδενικής ημέρας, αλλά μάλλον η θεμελιώδης απουσία ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Οι οργανισμοί απέτυχαν να εφαρμόσουν αυτόν τον τυπικό έλεγχο ασφαλείας, επιτρέποντας στους εισβολείς να περάσουν από την μπροστινή πόρτα χρησιμοποιώντας μόνο ένα έγκυρο όνομα χρήστη και κωδικό πρόσβασης.
Ορισμένα διαπιστευτήρια βρίσκονταν σε αρχεία καταγραφής πληροφοριών κλοπής για χρόνια, δημιουργώντας ένα παράθυρο ευκαιρίας που οι οργανισμοί έχασαν εντελώς.
.webp "Ηθοποιοί απειλών παραβίασαν παγκόσμιες εταιρείες μέσω διαπιστευτηρίων Cloud που διέρρευσαν από Infostealer Infections")
Η κλίμακα των συμβιβασμών είναι ανησυχητική. Η Pickett and Associates, μια εταιρεία μηχανικών που εξυπηρετεί εταιρείες κοινής ωφελείας των ΗΠΑ, έχασε 139,1 gigabyte, συμπεριλαμβανομένων των ταξινομημένων αρχείων LiDAR και χαρτών γραμμών μεταφοράς.
.webp.jpeg "Ηθοποιοί απειλών παραβίασαν παγκόσμιες εταιρείες μέσω διαπιστευτηρίων Cloud που διέρρευσαν από Infostealer Infections")
Η Intercro Robotics εξέθεσε 11,5 gigabyte αμυντικών σχεδίων ελεγχόμενων από το ITAR για εξαρτήματα στρατιωτικών αεροσκαφών. Η Iberia Airlines διέρρευσε 77 gigabyte, τα οποία περιείχαν προγράμματα συντήρησης αεροσκαφών και κρίσιμα έγγραφα για την ασφάλεια των πτήσεων.
Τα αρχεία υγείας της στρατιωτικής αστυνομίας της Βραζιλίας που ανήκουν στο Maida Health—2,3 terabyte συνολικά— εκτέθηκαν, μαζί με προσωπικά στοιχεία ταυτότητας και ιατρικές πληροφορίες για το εν ενεργεία προσωπικό και τις οικογένειές τους.
Ο Μηχανισμός Συγκομιδής Διαπιστευτηρίων
Ο κύκλος μόλυνσης λειτουργεί μέσω μιας διαδικασίας πέντε σταδίων που πρέπει να κατανοήσουν οι επαγγελματίες της κυβερνοασφάλειας. Πρώτον, ένας υπάλληλος λαμβάνει ένα φαινομενικά νόμιμο αρχείο μέσω email ή κατεβάζει αυτό που φαίνεται να είναι τυπικό λογισμικό.
.webp.jpeg "Ηθοποιοί απειλών παραβίασαν παγκόσμιες εταιρείες μέσω διαπιστευτηρίων Cloud που διέρρευσαν από Infostealer Infections")
Δεύτερον, ο infostealer εκτελεί στη μνήμη, αποφεύγοντας συχνά τον εντοπισμό από τα εργαλεία ασφαλείας επειδή λειτουργεί μέσα σε νόμιμες διαδικασίες. Τρίτον, το κακόβουλο λογισμικό απαριθμεί τον χώρο αποθήκευσης του προγράμματος περιήγησης, τους διαχειριστές κωδικών πρόσβασης και τα αποθηκευμένα διαπιστευτήρια από εφαρμογές όπως το Outlook και το Teams.
Τέταρτον, όλα τα δεδομένα που συλλέγονται κρυπτογραφούνται και μεταδίδονται σε διακομιστές εντολών και ελέγχου. Τέλος, οι παράγοντες απειλών αναλύουν χιλιάδες κλεμμένες βάσεις δεδομένων διαπιστευτηρίων, φιλτράροντας ειδικά για εταιρικές υποδομές, όπως κοινόχρηστα αρχεία cloud και συστήματα ERP.
Αυτό που κάνει αυτή την προσέγγιση ιδιαίτερα επικίνδυνη είναι η κλίμακα και το χαμηλό κόστος της. Η Zestix λειτουργεί ως Initial Access Broker, πουλά διαπιστευτήρια εταιρικής πρόσβασης για Bitcoin ή Monero σε υπόγεια φόρουμ.
.webp.jpeg "Ηθοποιοί απειλών παραβίασαν παγκόσμιες εταιρείες μέσω διαπιστευτηρίων Cloud που διέρρευσαν από Infostealer Infections")
Οι οργανισμοί απέτυχαν όχι επειδή δεν έχουν προγράμματα ευαισθητοποίησης για την ασφάλεια, αλλά επειδή δεν έχουν επιβάλει υποχρεωτικό έλεγχο ταυτότητας πολλαπλών παραγόντων σε όλα τα κρίσιμα συστήματα.
Η λύση είναι απλή: άμεση ανάπτυξη MFA σε συνδυασμό με παρακολούθηση για παραβιασμένα διαπιστευτήρια σε αρχεία καταγραφής πληροφοριών κλοπής προτού τα εκμεταλλευτούν οι εισβολείς.
