Το Ομοσπονδιακό
Γραφείο
Ερευνών προειδοποιεί ό
τι
οι παράγοντες απειλών ransomware στοχεύουν διακομιστές καζίνο και χρησιμοποιούν νόμιμα εργαλεία διαχείρισης συστήματος για να αυξήσουν τις άδειές τους στο δίκτυο.
Σε μια ειδοποίηση ιδιωτικού κλάδου, η υπηρεσία αναφέρει ότι οι προμηθευτές και οι
υπηρεσίες
τρίτων είναι κοινός φορέας επίθεσης. Οι συμμορίες ransomware συνεχίζουν να βασίζονται σε τρίτους προμηθευτές τυχερών παιχνιδιών για την παραβίαση των καζίνο.
«Οι νέες τάσεις περιελάμβαναν φορείς ransomware που εκμεταλλεύονται ευπάθειες στην απομακρυσμένη πρόσβαση σε διακομιστές καζίνο ελεγχόμενη από προμηθευτές και εταιρείες που θυματοποιήθηκαν μέσω νόμιμων εργαλείων διαχείρισης συστήματος για να ανυψώσουν
δικαιώματα δικτύου», εξηγεί το πρακτορείο.
Από το 2022, το FBI σημείωσε επιθέσεις ransomware που στόχευαν μικρά και φυλετικά καζίνο για να
κρυπτο
γραφήσουν διακομιστές και προσωπικά αναγνωρίσιμες πληροφορίες εργαζομένων και πελατών.
Η ειδοποίηση αναφέρει επίσης ότι ο ηθοποιός απειλών, γνωστός ως “Silent Ransom Group” (SRG) και “Luna Moth” πραγματοποιεί επιθέσεις κλοπής δεδομένων και εκβίασης δεδομένων επανάκλησης-ψαρέματος από τον Ιούνιο.
Ο δράστης ξεγέλασε το θύμα για να καλέσει έναν αριθμό με το πρόσχημα ότι υπήρχαν εκκρεμείς χρεώσεις στον λογαριασμό του. Εάν το θύμα έπεφτε στο τέχνασμα, η SRG θα τους έπειθε να εγκαταστήσουν ένα εργαλείο διαχείρισης συστήματος, το οποίο αργότερα χρησιμοποιήθηκε για την εγκατάσταση άλλων νόμιμων βοηθητικών προγραμμάτων που μπορούν επίσης να χρησιμοποιηθούν για κακόβουλους σκοπούς.
“Ο [SRG] Στη συνέχεια οι ηθοποιοί παραβίασαν τοπικά αρχεία και το δίκτυο μοιράζονταν μονάδες δίσκου, διέφυγαν δεδομένα θυμάτων και εκβίασαν τις εταιρείες» – Ομοσπονδιακό Γραφείο Ερευνών
Προηγούμενες αναφορές σημειώνουν ότι μεταξύ των δολωμάτων
phishing
που σχετίζονται με επιθέσεις Luna Moth/SRG είναι ψεύτικα τεχνάσματα ανανέωσης συνδρομής. Αυτή η ομάδα επικεντρώνεται στην εκβίαση δεδομένων και δεν εγκλωβίζει τα αρχεία.
Συμβουλές μετριασμού
Το FBI συνιστά στους οργανισμούς να εφαρμόσουν διάφορους μετριασμούς για να περιορίσουν τη χρήση κοινών τεχνικών ανακάλυψης συστημάτων και δικτύων από έναν αντίπαλο.
Οι οργανισμοί θα πρέπει να διατηρούν αντίγραφα ασφαλείας εκτός σύνδεσης που είναι κρυπτογραφημένα και αμετάβλητα για την υποδομή δεδομένων ολόκληρης της εταιρείας. Η εφαρμογή πολιτικών για απομακρυσμένη πρόσβαση και η εκτέλεση μόνο γνωστών και αξιόπιστων εφαρμογών είναι επίσης ένα βήμα προς μια βελτιωμένη στάση ασφαλείας.
Ενθαρρύνονται οι ισχυρές πολιτικές κωδικών πρόσβασης και ο έλεγχος ταυτότητας πολλαπλών παραγόντων, μαζί με τον έλεγχο και τη διαχείριση των προνομίων διαχείρισης.
Η τμηματοποίηση δικτύου, η προσθήκη λύσεων που παρακολουθούν ανώμαλη δραστηριότητα, η ασφαλής χρήση RDP και τα ενημερωμένα στοιχεία λογισμικού είναι κοινές συστάσεις που πολλές εταιρείες πρέπει ακόμα να πληρούν.
Τέλος, συνιστάται στους διαχειριστές του συστήματος να απενεργοποιούν τις περιττές θύρες και πρωτόκολλα, να προσθέτουν banner email για μηνύματα που προέρχονται εκτός του οργανισμού και να περιορίζουν τις δραστηριότητες γραμμής εντολών και δέσμης ενεργειών.
VIA:
bleepingcomputer.com
