V zadnjih letih so ukradene poverilnice za prijavo postale glavni vstopni vektor kibernetskih vdorov in so zasenčile druge taktike, kot je lažno predstavljanje in nezakonita pridobitev spletnih gesel ter osebnih podatkov ali zlonamerna programska oprema. Več poročil o kibernetski varnosti potrjuje, da se večina uspešnih napadov začne s kompromitiranimi gesli ali žetoni. Odmevni incidenti – od naftnih omrežij do tehnoloških velikanov – ponazarjajo, kako lahko eno samo ukradeno uporabniško ime/geslo vodi do obsežnega vdora. V nadaljevanju bomo preučili študije primerov in statistične podatke zadnjih 3–5 let, ki dokazujejo ta trend ter raziskovali razvoj na trgu ukradenih poverilnic v okviru temnega in splošnega spleta. Razpravljali bomo tudi o tem, kako lahko zgodnje odkrivanje ukradenih poverilnic v kombinaciji z robustnimi odzivnimi zmogljivostmi prepreči te grožnje.
Ukradene poverilnice kot glavni vstopni vektor
Podatki iz industrije dosledno kažejo, da je kraja poverilnic glavni vzrok vdorov. Po poročilu Verizona o preiskavah kršitev podatkov (Data Breach Investigation Report) iz leta 2023 je skoraj polovica vseh analiziranih vdorov (49 %) vključevala uporabo ukradenih poverilnic, kar je daleč prehitelo lažno predstavljanje (naslednji najpogostejši vektor z 12 % [Enterprise Cybersecurity Trends From the 2023 DBIR | Verizon]).
IBM-ovo poročilo (Cost of Data Breach Report) za leto 2022 je prav tako pokazalo, da so bile ogrožene poverilnice najpogostejši vzrok za uspešen vdor, saj predstavljajo 19 % proučevanih vdorov – največ od vseh tistega leta (Explore the 2022 IBM Report, Annual Cost of Data Breach Report).
Verizon pravzaprav ugotavlja, da so ukradena gesla »nadaljevala svojo vladavino«, glede na kakšen način napadalci najpogosteje pridobijo dostop. Pojavljajo se v okvirno 44–49 % vdorih v zadnjih letih (Key Takeaways from the Verizon 2023 Data Breach Investigations Report, Enterprise Cybersecurity Trends From the 2023 DBIR | Verizon). Zaradi tega so napadi na podlagi kraje poverilnic celo bolj razširjeni kot zlonamerna programska oprema ali izkoriščanje ranljivosti sistema pri uspešnih vdorih.
Eden od razlogov, zakaj so ukradena gesla tako razširjena, je, da so pogosto lahka pot do vdora. Verizonovi podatki kažejo, da je človeški faktor prisoten v 74 % vdorov, vključno z nepravilno uporabo poverilnic in socialnega inženiringa (Enterprise Cybersecurity Trends From the 2023 DBIR | Verizon). Zlasti šibka ali ponovno uporabljena gesla napadalcem omogočajo, da se neopazno prijavijo. Verizon je na primer ugotovil, da je pri napadih na osnovne spletne aplikacije (ki predstavljajo približno četrtino vseh vdorov) 86 % napadov vključevalo ukradene poverilnice (Key Takeaways from the Verizon 2023 Data Breach Investigations Report).
Ker je zaradi preteklih vdorov na voljo toliko razkritih gesel, lahko napadalci te poverilnice preprosto preizkusijo združiti v avtomatiziranih napadih (Credential Stuffing) ali kupijo že preverjene poverilnice, da zaobidejo varnostne nastavitve. Kot je jedrnato povzela ena izmed analiz kibernetske varnosti, so poverilnice »kralj« v današnjem okolju groženj (Key Takeaways from the Verizon 2023 Data Breach Investigations Report).
Podzemni trg za ukradene poverilnice
Razširjenost napadov na podlagi poverilnic spodbuja cvetoča siva ekonomija, ki trguje z ukradenimi prijavnimi podatki. Na temnih spletnih forumih in celo na običajnih spletnih mestih kibernetski kriminalci v velikem obsegu kupujejo in prodajajo uporabniška imena, gesla in sejne piškotke.
Ključni trendi na trgu ukradenih poverilnic v zadnjih nekaj letih vključujejo:
– Specializirane tržnice: Pojavile so se namenske kriminalne tržnice za nakup ukradenih poverilnic in celo aktivnega dostopa do omrežja. Eden najbolj razvpitih je bil »Genesis Market«, ki je od leta 2018 do ukinitve leta 2023 prodajal »pakete« poverilnic računa (pogosto vključno z zgoščenimi vrednostmi gesel, prstnimi odtisi brskalnika in piškotki), zbranih iz več kot 1,5 milijona računalnikov, okuženih z zlonamerno programsko opremo (Office of Public Affairs | Criminal Marketplace Disrupted in International Cyber Operation | United States Department of Justice).
Genesis je izdal več kot 80 milijonov poverilnic računov za storitve, kot so e-pošta, bančništvo in celo vladni sistemi (Office of Public Affairs | Criminal Marketplace Disrupted in International Cyber Operation | United States Department of Justice).V bistvu je deloval kot posrednik za začetni dostop (Initial Access Broker oz. IAB – Initial Access Broker) in je zagotavljal prijavne seje, ki so jih lahko kupile skupine, ki se ukvarjajo z izsiljevalsko programsko opremo, da bi se brez truda infiltrirale v sisteme žrtev (Office of Public Affairs | Criminal Marketplace Disrupted in International Cyber Operation | United States Department of Justice). Genesis je bil aprila 2023 zaprt po mednarodni operaciji kazenskega pregona, skupaj z drugimi forumi, kot sta Hydra in BreachForums, vendar številne druge tržnice še vedno delujejo, prav tako pa se tudi obstoječi pojavljajo zmeraj znova, morda pod drugim imenom (Office of Public Affairs | Criminal Marketplace Disrupted in International Cyber Operation | United States Department of Justice).
– Dnevniki zlonamerne programske opreme (Infostealer): Glavni vir poverilnic za te trge je zlonamerna programska oprema za krajo informacij, ki tiho okuži osebne računalnike in samodejno ukrade izpolnjena gesla, sejne piškotke in pritiske tipk. Po navedbah raziskovalcev SpyCloud so leta 2022 odkrili 721 milijonov ukradenih poverilnic iz kriminalnih virov, 48,5 % pa jih je prišlo zaradi okužb s krajami informacij na napravah žrtev (Key Takeaways from the Verizon 2023 Data Breach Investigations Report). Preprodajalci združujejo te zapise (pogosto imenovane dnevniki botov ali bot logs) in jih prodajajo na veliko. Na primer, tržnica 2easy je avtomatizirana platforma, kjer več prodajalcev ponuja podatke iz svojih botnetov.
Konec leta 2021 je 2easy oglaševal ukradene podatke iz skoraj 600.000 okuženih naprav; večina paketov žrtvinih shranjenih prijav in piškotkov je imela ceno pod 5 USD (2easy: Logs Marketplace on the Rise • KELA Cyber Threat Intelligence). Široka ponudba takšnih poceni paketov poverilnic, pripravljenih za uporabo, pomeni, da lahko celo nizko kvalificirani napadalci kupijo dostop do več sto računov ali končnih točk z minimalnim naporom.
– Posredniki za začetni dostop (Initial Access Brokers) in prodaja dostopa RDP/VPN: Vzpon izsiljevalske programske opreme kot storitve (Ransomware-as-a-service) je spodbudil kader posrednikov za začetni dostop, ki se osredotočajo na vdor v organizacije in nato prodajo to kot odskočno desko drugim. Ti posredniki pogosto oglašujejo poverilnice RDP, prijave VPN ali račune skrbnikov domene za prodajo na hekerskih forumih. Leta 2023 je večina seznamov nedovoljenega dostopa za ogrožene vsebovala poverilnice za protokol oddaljenega namizja (Remote Desktop Protocol Credentials) (več kot 60 % seznamov), vendar je do leta 2024 prodaja dostopa VPN močno narasla – prijave VPN so predstavljale približno 45 % vseh prodajanih vstopnih vektorjev, kar je po priljubljenosti skoraj prehitelo RDP (A Deep-Dive Into Initial Access Brokers: Trends, Statistics, Tactics and more). Ta premik odraža, kako se akterji prilagajajo – ciljajo na vse tehnologije oddaljenega dostopa (VPN, poverilnice v oblaku itd.). Poslovni model je jasen: napadalec, ki si pridobi nek začetni dostop do okolja (recimo z uporabo gesla, da najde šibko poverilnico ali z nakupom razkritega gesla zaposlenega), se lahko na tej točki ustavi in ta dostop v zameno za plačilo proda skupinam izsiljevalskih programov ali vohunskim akterjem. Varnostni analitiki so ugotovili, da je sama količina razkritih poverilnic in avtomatiziranih orodij za njihovo izkoriščanje tak način vdora naredila »stroškovno učinkovit« in razširljiv za napadalce (Ransomware attackers down shift to ‘Mid-Game’ hunting in Q3).
Forumi in odlagališča podatkov (Data Dumps): na temnem spletu se ne odvijejo vsa trgovanja z ukradenimi poverilnicami; nekatera se zgodijo na običajnih spletnih mestih ali platformah za komunikacijo. Repozitoriji podatkov o vdorih in hekerski forumi odkrito gostijo ukradene baze podatkov, ki vsebujejo milijone prijav uporabnikov. Ti pogosto izvirajo iz velikih vdorov in kraj podatkov podjetja in so zapakirani kot »kombinirani seznami« (seznami kombinacij e-pošte/gesla), ki jih lahko drugi kriminalci uporabijo za napade s t.i. »Credential Stuffing«. Poleg tega so kanali Telegram-a in skupnosti na platformi Discord postali priljubljeni za oglaševanje ali deljenje ukradenih potrdil, stran od temnega spleta, ki ga nadzorujejo organi pregona. Kljub zatiranju večjih tržnic se trg preprosto razcepi na manjše tržnice – dobava gesel zaradi nenehnih vdorov in kampanj zlonamerne programske opreme zagotavlja, da v kriminalni ekosistem nenehno vstopajo nove poverilnice.
Če povzamemo, so ukradene poverilnice široko dostopne in se z njimi aktivno trguje. Na spletu je mogoče kupiti vse, od gesla za storitev pretakanja vsebine posameznika do VPN računa podjetja s seznama Fortune 500. Akterji lahko kupijo poverilnice v velikem obsegu po nizkih cenah ali plačajo premijo za račune z višjimi privilegiji in dostopi do omrežja. Te poverilnice nato izkoristijo za izvedbo sekundarnih napadov – na primer z uporabo e-poštnih prijav za ogrožanje poslovne e-pošte, z uporabo dostopa RDP/VPN za uvedbo izsiljevalske programske opreme ali z uporabo poverilnic računa družbenih medijev za goljufije in dezinformacije. Trend na podzemnem trgu gre v smeri večje komoditizacije: poverilnice so zapakirane kot izdelek. Dokler se organizacije še naprej zanašajo na gesla in vdori še naprej povzročajo uhajanje velikega števila poverilnic, bo ta podzemna dobavna veriga spodbujala številne kibernetske napade, ki smo jim priča.
Odkrivanje in ublažitev groženj na podlagi poverilnic
Glede na to, da so ukradene poverilnice v središču številnih vdorov, je za organizacije ključnega pomena, da okrepijo svoje politike overjanja in kompleksnost poverilnic ter spremljajo morebitno uhajanje poverilnic. Naša MDR storitev dodatno ponuja opcijo, kot je zaščita blagovne znamke in odkrivanja uhajanja podatkov (Brand Protection and Data Leak detection), ki takšno vrsto aktivnosti spremlja in zazna. Z nenehnim brskanjem po temnih spletnih tržnicah, mestih za lepljenje in drugih virih uhajanja lahko omenjena storitev opozori organizacijo v primeru, ko se poverilnice zaposlenih ali strank pojavijo na forumih ali se ponujajo v prodajo. Eksfiltracija poverilnic in njihova prodaja se odvijeta zelo hitro. Tudi če na časovnici ni veliko prostora, imajo organizacije še vedno dovolj časa, da odkrijejo ukradene poverilnice in popravijo situacijo – če imajo zmožnosti, da le-te hitro odkrijejo.
Zgodnje odkrivanje pomeni, da lahko podjetje hitro ponastavi ta gesla/aktivne seje, onemogoči račune ali poveča nadzor nad tarčnimi uporabniki, preden napadalci uporabijo podatke. Na primer, če je na spletu najden nabor ukradenih poverilnic, lahko varnostna ekipa vsili spremembo gesla in s tem prepreči vse poskuse nepooblaščenega dostopa. V ekipi Conscia SOC smo prepoznali to kot priložnost, da zamotimo napadalce v njihovi verigi napadov, zato kot del storitve MDR ponujamo tudi zaščito blagovne znamke in odkrivanja uhajanja podatkov, ki poleg odkrivanja uhajanja poverilnic vključuje še veliko več zmogljivosti, kot so poskusi lažnega predstavljanja blagovne znamke, zaznavanje zlorabe domene, uhajanja podatkov in drugo.
Ko je proaktivno odkrivanje uhajanja združeno z 24/7 upravljanim odkrivanjem in odzivom (MDR), organizacije pridobijo popolno zaščito pred napadi, ki temeljijo na poverilnicah. MDR storitev podjetja Conscia nenehno spremlja sumljive prijave v okolju in dogajanje v omrežju, kar pomaga pri odkrivanju znakov uporabe ukradenih poverilnic – kot so neobičajni časi/lokacije prijave, več neuspešnih prijav, ki jim sledi uspešna ali prijave v občutljive sisteme z računi, ki običajno ne bi dostopali do njih. Če napadalcu uspe uporabiti ukradeno geslo, lahko ekipa MDR hitro odkrije in zadrži vdor (na primer tako, da opazi napadalčeve poskuse stopnjevanja privilegijev ali namestitve stranskih vrat – t.i. Backdoor). Poleg tega lahko v določenih okoljih avtomatiziramo procese, kot je ponastavitev gesel in sej. Takšen hiter odziv lahko nevtralizira vdor, preden ta povzroči resno škodo.
Obramba pred grožnjami, ki temeljijo na poverilnicah zahteva tako varnostno-obveščevalne podatke kot pazljivost. Obveščevalni podatki oziroma znanje izhaja iz naše zaščite blagovne znamke in odkrivanja uhajanja podatkov, ki je opcijski paket naše storitve MDR in spremlja podzemne trge – z zgodnjim opozorilom, ko so poverilnice vaše organizacije v rokah kriminalcev. S to rešitvijo lahko podjetja občutno zmanjšajo tveganje, da se bo ukradeno geslo spremenilo v razlog za naslednji večji vdor. Kot kažejo dokazi, je lahko kraja poverilnic danes razlog številka 1, toda s pravimi zaščitnimi ukrepi je mogoče ublažiti celo to najpogostejšo grožnjo, preden se sprevrže v poslovno katastrofo.