Zásah proti Phobos: zadržení podezřelého a data k přístupům na servery
Ransomware ekosystém stojí na infrastruktuře, přístupech a lidech, kteří zajišťují průnik do sítí. Aktuální zásah v Evropě ukazuje, že vyšetřování se zaměřuje i na „dodavatele přístupů“ a operátory v pozadí.
BleepingComputer popsal zadržení podezřelého napojeného na ransomware Phobos v Polsku v rámci mezinárodní aktivity koordinované přes Europol („Operation Aether“). Při prohlídce měly být zajištěny počítače a telefony s daty, která mohou sloužit k neoprávněnému přístupu do systémů – včetně přihlašovacích údajů, čísel platebních karet a údajů o serverech.
Z pohledu obrany je důležité, že útočníci často pracují s „balíčky přístupů“: kompromitované VPN, RDP, účty, nebo jiné cesty do sítí. Tyto přístupy se prodávají nebo sdílejí v rámci modelu ransomware-as-a-service. Odhalení a rozbití takových článků řetězce může dočasně snížit tlak, ale neznamená konec rizika – skupiny se štěpí, rebrandují a navazují na dřívější postupy.
Co si z toho odnést prakticky:
prevence „počátečního přístupu“ má největší návratnost: MFA, omezení vzdálených přístupů, správa privilegií,
sledování podezřelých přihlášení a anomálií (geolokace, čas, nové zařízení, nemožné cestování),
důsledná práce s hesly a úniky přihlašovacích údajů (kontrola ve známých únicích, správa tajemství),
připravenost na incident (obnova, izolace, zálohy mimo dosah domény).
Orgány činné v trestním řízení jsou schopné koordinovat zásahy napříč státy – což je dobrá zpráva – ale obrana organizace musí počítat s tím, že podobné operace mají dlouhý cyklus a útočníci se adaptují rychle.
Zdroj
Další články
Zákon o kritické infrastruktuře: do 1. března zbývají dny.
ENISA vydala „State of the Cybersecurity in the Union“ – přehled vyspělosti a doporučení
