Firma Capcom, która jest znana z takich produkcji jak Resident Evil i Street Fighter, poinformowała, że włamano się do ich infrastruktury informatycznej. Na reakcję nie trzeba było długo czekać. Firma wyłączyła część swoich systemów i poinformowała, że atak nie wpłynął na wyciek danych użytkowników.
Badacze ds. bezpieczeństwa uważają jednak, że brak dowodów nie oznacza, że nie doszło do kradzieży.
Zalecamy użytkownikom, którzy kiedykolwiek udostępnili swoje dane firmie Capcom, aby zmienili hasła albo usunęli konta. Warto też zachować ostrożność na wypadek kampanii phishingowych, które mogą być wysyłane do użytkowników, jeżeli faktycznie doszło do wycieku poufnych informacji, takich jak adresy email.
Kto stoi za atakiem?
Teorie są dwie. Mogą to być Chińczycy z grupy APT-31, którzy specjalizują się w atakach na firmy teleinformatyczne i technologiczne. Mogą to też być twórcy ransomware Egregor — sugeruje firma Malwarebytes z branży cyberbezpieczeństwa, że za atakiem mogą stać te same osoby, które wykorzystywały wcześniej ransomware Maze.
Cyberprzestępcy są w stanie w krótkim czasie wykraść z firmowej sieci znaczące ilości cennych danych. Zrozumienie tego, jak przebiega cyberatak i jakie podatności są wykorzystywane przez hakerów, może zminimalizować ryzyko, że firma padnie jego ofiarą. Świadomość tych zagrożeń pozwala organizacjom wdrożyć odpowiednie rozwiązania ochronne.
Naruszenie bezpieczeństwa prowadzące do utraty danych może nastąpić w ciągu kilku minut lub godzin, a jego wykrycie często zajmuje tygodnie i miesiące. Do tego czasu sprawcom uda się zniknąć, a skradzione informacje już dawno przepadną lub zostaną sprzedane na czarnym rynku. Skutecznym sposobem, aby sprostać temu wyzwaniu, jest porzucenie tradycyjnego podejścia opartego na pojedynczych narzędziach ochronnych i wprowadzenie zintegrowanej architektury zabezpieczeń.
Tłumaczy Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce.
Co firmy powinny wiedzieć o atakach hakerów?
Aby to ułatwić, organizacja non-profit mitre.org (zajmująca się m.in. cyberbezpieczeństwem) zaproponowała klasyfikację przebiegu ataku hakerskiego. Jego kluczowe elementy to:
- Uzyskanie wstępnego dostępu: wykorzystanie znanych podatności, tworzenie fałszywych stron internetowych i aplikacji lub skutecznie przeprowadzony atak phishingowy pozwalają przestępcom ustanowić punkt zaczepienia do dalszego ruchu wewnątrz sieci.
- Rozpoczęcia działania: na tym etapie atakujący uruchamia plik, komendę lub skrypt, aby rozpocząć rekonesans sieci i proces wykrywania kolejnych luk w zabezpieczeniach.
- Utrzymanie się w sieci: kiedy cyberprzestępca ustanowił już punkt zaczepienia, jego następnym krokiem jest uniknięcie wykrycia. Pozwala mu to nadal poszukiwać potencjalnych celów w sieci.
- Rozszerzanie uprawnień: uzyskanie podstawowego dostępu nie pozwala hakerom dowolnie przeszukiwać sieci. Aby poruszać się po niej i dostać się do zasobów wartych kradzieży, zdobywają wyższe uprawnienia.
- Omijanie zabezpieczeń: atakujący muszą omijać rozwiązania ochronne w trakcie poruszania się po sieci, zwłaszcza podczas wykradania danych. Korzystają więc z takich działań jak np. imitowanie standardowych zachowań ruchu sieciowego lub dezaktywowanie rozwiązań zabezpieczających.
- Uzyskanie uwierzytelnienia: wiele organizacji chroni kluczowe informacje i inne zasoby za pomocą odpowiednio rozbudowanego uwierzytelnienia. Dane są przechowywane w rejestrze lub w plikach, które atakujący mogą wykorzystać do swoich celów. Niestety dotarcie do nich nie zawsze jest trudne.
- Wyszukiwanie zasobów: nie wszystkie dane znajdują się w tym segmencie sieci, do którego się włamano. Wiele dotychczasowych kroków jest przez cyberprzestępcę powtarzanych, dzięki czemu jest on w stanie określić lokalizację najbardziej wartościowych zasobów i poruszać się pomiędzy różnymi segmentami sieci w fizycznych oraz wirtualnych centrach danych.
- Gromadzenie i wykradanie danych: atakujący dotarł już do poszukiwanych przez siebie zasobów. Na tym etapie chce wydostać je z sieci bez wykrycia swojej aktywności. Jest to często najbardziej skomplikowany etap całego procesu i może dotyczyć ogromnych ilości danych. Jeśli jednak cyberprzestępca do tego momentu dokładnie wykonał każdy element ataku, jest w stanie pozostać w firmowej sieci przez miesiące. W tym czasie będzie powoli przesyłał dane do innych lokalizacji w jej obrębie, będących pod mniej rygorystycznym nadzorem, by ostatecznie przenieść je poza sieć.
- Zarządzanie i kontrola: Ostatnim krokiem atakującego jest całkowite zatarcie śladów. Cyberprzestępcy chcą być pewni, że nie będzie można ich namierzyć, podążając śladem skradzionych informacji. Wykorzystują w tym celu np. odpowiednie serwery proxy czy maskowanie danych.
Czy ten artykuł był pomocny?
Oceniono: 0 razy