Acronis
Масштабний, але прихований напад на облікові записи Office 365 (O365) почалися в травні та тривають по сьогоднішній день. Ця непримітна атака, намагається сховатися із поля зору та поширюється ботнетом від 83 IP-адрес на 63 мережі. Більшість IP-адрес зареєстровані в Китаї, але активність нападів також зафіксована із 15 інших країн, серед них Росія, Бразилія, США і Малайзія.
Атака була виявлена компанією Skyhigh Networks, а саме на платформі (CASB) – додаток для безпеки підприємств на базі публічних хмарних сервісів.
Напад не є традиційною атакою грубої сили проти облікових записів O365, але його можна назвати повільним та методично агресивним впливом, що намагається уникнути залучення уваги своєю активністю. «По-перше, атака націлена на дуже невелику частку (зазвичай <2%) від бази даних O365», – пише Сандіп Чандала, головний науковий співробітник в компанії Skyhigh. «По-друге, вона позбавлена будь-яких сплесків активності злому та становить в середньому 3-5 спроб на рахунок, для того, щоб спробувати ухилитися від звичного захисту».
«Така компанія на Office 365 викликає особливу тривогу через те, що вона зосереджена на системі облікового запису, який необхідний для автоматизації бізнесу. Також, облікові записи зазвичай не вимагають наявності сайтів MFA і мають слабкий контроль над безпекою », – пояснює головний науковий співробітник компанії Skyhigh Сехар Саруккай. «Виявлення та захист від вірусних атак на «слабких ланках»цих облікових записів вимагає безпеки, орієнтованої на виконання в хмарі для забезпечення повної видимості та вирішення проблем».
Як тільки обліковий запис поставлений під загрозу, зловмисник просочується в будь-які дані папки «Вхідні», а потім створює новий принцип папки «Вхідні», призначений для відхилення та блокування будь-яких вхідних повідомлень. Звідси зловмисник може почати інтенсивний процес виявлення спроб фішингу в компанії і почати поширювати зараження по мережі: «зруйнувати слабку ланку із підвищеним потенціалом експлойтів», – пише Чандана. Він додає: «Оскільки, це постійна атака, яка може залишатися непоміченою, ймовірно, що зловмисники можуть підлаштовувати корисне навантаження на основі організації, в яку вони проникли, щоб поглинути з часом більшу частину компанії».
Намічені облікові записи вибирають ретельно: зазвичай розглядаються реєстраційні записи системи, а не користувачів. Такі облікові записи, як правило, мають дві важливі характеристики: в них права доступу та слабкий захист.
«Ми працювали із нашими клієнтами», – заявив головний віце-прем’єр компанії Skyhigh Найджел Хоторн, в блозі SecurityWeek, «і побачили, що зловмисники використовували облікові записи служб (наприклад, ті, які використовуються для ініціалізації користувачів на великих підприємствах), облікові записи служби автоматизації (ті, які використовуються для автоматизації резервних копій даних та системи), облікові записи комп’ютерів (ті, що використовуються для додатків в центрах обробки даних), облікові записи автоматизації маркетингу (наприклад, використовувані для вивчення ринку та комунікації із клієнтами), внутрішні облікові записи інструментів (використовувані JIRA, Jenkins, GitHub та інші), а також облікові записи, налаштовані для списків розсилки, загального користування та переданих поштових скриньок».
Цільові імена облікових записів, ймовірно, були вгадані (наприклад, CRMlink @domain) або відфільтровані зі вкрадених списків облікових даних, опублікованих в Даркнеті.
Компанія Skyhigh виявила атаки, коли її механізм виявлення вторгнення розпізнав аномальні місця розташування доступу, ігноруючи характерну динамічну модель відразу у декількох клієнтів. «В міру збільшення кількості цих аномальних доступів, послідовність загроз компанії Skyhigh встановила безліч порушень в спробі доступу до загроз безпеки». Проаналізовано мільярди 0365 подій серед сотень клієнтів.
Незважаючи на те, що ця атака була виявлена у користувачів компанії Skyhigh, це не властива проблема для Skyhigh. «Ми виявили, що понад 50 відсотків відсотків наших клієнтів піддаються нападам», – заявив Хуторн в блозі SecurityWeek, – «і я, вважаю, є достатні підстави припускати, що 50% всіх великих клієнтів Office 365 піддаються атакам, навіть якщо вони не є клієнтами компанії Skyhigh».
Ті, ідентифіковані 83 атакуючих IP-адреси, були відправлені дослідникам, які складають та публікують списки відомих некоректних IP-адрес. Жоден із них не був включений до реєстрів. Деякі компанії, які все ще покладаються на ці списки, щоб блокувати окремі IP-адреси: «Але, – як припускає Хоторн, – це як гра в «Убий крота» в спробах зробити це і бути у курсі кожної адреси, так як лиходії можуть модифікувати IP-адреси в лічені секунди. Кращим способом вирішення цієї проблеми є аналіз поведінки користувачів та машинне навчання, що вказує на незвичайні моделі трафіку, які виходять із ваших хмарних сервісів та здатні реагувати на мінливу ситуацію».
[vc_row fluid=”1″ full_content=”1″ row_padd=”xs-padding” section_bg_color=”#f5f5f5″][vc_column width=”1/6″][vc_single_image image=”22017″ img_size=”113*150″ alignment=”right”][/vc_column][vc_column width=”5/6″][vc_column_text css=”.vc_custom_1483612005172{margin-right: 100px !important;margin-left: 10px !important;}” it_color=”#000000″]Фахівці компанії «АМІКА» завжди готові проконсультувати вас по сервісах, послугах та пристроях захисту ваших ресурсів. Ми займаємося наступними напрямками:
- Захист від витоку конфіденційної інформації за межі компанії (DLP).
- Захист від цілеспрямованих атак хакерів (APT).
- Захист від DDOS.
- Захист мобільних пристроїв (BYOD і MDM)
- Аудит і перевірка на вразливість
- Тести на проникнення.
Безкоштовну консультацію ви можете отримати, звернувшись до нас по телефону +38 044 355-07-70 або за адресою security@amica.ua.[/vc_column_text][/vc_column][/vc_row][vc_row row_padd=”sm-padding”][vc_column][vc_row_inner][vc_column_inner width=”1/2″][vc_custom_heading text=”Залишилися запитання? Звертайтеся до наших фахівців.” font_container=”tag:h2|text_align:left|color:%23000000″ google_fonts=”font_family:Open%20Sans%3A300%2C300italic%2Cregular%2Citalic%2C600%2C600italic%2C700%2C700italic%2C800%2C800italic|font_style:300%20light%20regular%3A300%3Anormal”][vc_column_text]
Заповніть форму праворуч і наші менеджери зв’яжуться з вами протягом 10 хвилин.
[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/2″][vc_column_text][amoforms id=”8″][/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row parallax=”1″ overlay_opacity=”0.8″ row_padd=”xs-padding” overlay_color=”#000000″ section_bg_color=”#f7f6f6″][vc_column][vc_custom_heading text=”Безкоштовна PDF-брошура” font_container=”tag:h2|font_size:22|text_align:center|color:%232e4861″ google_fonts=”font_family:Open%20Sans%3A300%2C300italic%2Cregular%2Citalic%2C600%2C600italic%2C700%2C700italic%2C800%2C800italic|font_style:300%20light%20regular%3A300%3Anormal”][vc_custom_heading text=”“7 простих способів, як не стати жертвою кіберзлочіну“” font_container=”tag:h2|font_size:36|text_align:center|color:%232e4861″ google_fonts=”font_family:Open%20Sans%3A300%2C300italic%2Cregular%2Citalic%2C600%2C600italic%2C700%2C700italic%2C800%2C800italic|font_style:700%20bold%20regular%3A700%3Anormal”][vc_row_inner css=”.vc_custom_1486984446549{margin-top: 10px !important;}”][vc_column_inner width=”1/3″][vc_single_image image=”22823″ img_size=”” alignment=”right”][/vc_column_inner][vc_column_inner width=”1/3″ css=”.vc_custom_1486984003247{background-position: 0 0 !important;background-repeat: no-repeat !important;border-radius: 1px !important;}”][vc_column_text it_color=”#2e4861″]
В брошурі вас чекають відповіді на такі питання, як:
- Як вберегти себе від програм вимагачів
- Яку профілактику варто проводити на своєму ПК
- Правила безпеки
- Нюанси в стандартних засобах захисту від вірусів
- Що робити щоб забезпечити компанію від кібератак.
[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_column_text it_color=”#2e4861″]
Отримайте брошуру прямо зараз, залишивши свій email нижче
[/vc_column_text][vc_raw_js]JTNDc2NyaXB0JTIwdHlwZSUzRCUyMnRleHQlMkZqYXZhc2NyaXB0JTIyJTIwc3JjJTNEJTIyaHR0cHMlM0ElMkYlMkZhcHAuZ2V0cmVzcG9uc2UuY29tJTJGdmlld193ZWJmb3JtX3YyLmpzJTNGdSUzREJUVDFLJTI2d2ViZm9ybXNfaWQlM0Q1ODM1NDA2JTIyJTNFJTNDJTJGc2NyaXB0JTNF[/vc_raw_js][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row][vc_column][vc_empty_space][/vc_column][/vc_row]
