Významný poskytovatel mezd, který využívají tisíce firem ve Spojených státech, včetně vládních agentur, hlásí, že očekává, že bude „týdny“ mimo provoz kvůli ničivému útoku ransomwaru.
Kronos, o kterém je známo, že jej používá několik tisíc společností od Tesly po National Public Radio (NPR), v pondělí přešel do režimu offline služby Private Cloud. Tento prvek je ústředním prvkem jejích služeb UKG Workforce Central, UKG TeleStaff a Banking Scheduling Solutions, které se používají ke sledování hodin zaměstnanců a zpracování výplat. Společnost potvrdila, že 11. prosince objevila probíhající útok ransomwaru a v rámci opatření ke zmírnění převedla služby hostované v soukromém cloudu Kronos offline. Společnost Kronos neuvedla harmonogram obnovy, ale uvedla, že očekává, že to bude trvat alespoň několik dní, ne-li týdnů, než budou služby opět plně online.
Ačkoli to nebylo potvrzeno, existují spekulace, že se jednalo o notoricky známou zranitelnost Log4Shell, protože je známo, že cloudové služby Kronos jsou do značné míry postaveny na Javě.
Útok ransomwaru narušil před Vánoci hlavního poskytovatele mezd
Útok ransomwaru zjevně napáchal tolik škod, že společnost Kronos očekává, že bude trvat několik dní, než bude obnovena byť jen určitá úroveň služeb. Vzhledem k tomu, že úplné zotavení může trvat týdny, společnost vyzvala zákazníky, aby si prozatím hledali jiné poskytovatele mzdové agendy.
Není známo, jaký malware byl zapojen do ransomwarového útoku nebo jak to začalo, ale z nějakého důvodu se společnost Kronos rozhodla vydat prominentní oznámení o své informovanosti o nedávno objevené zranitelnosti Log4J ao svých pokračujících snahách o nápravu. jeho systémy, aby se proti němu zajistily. I když to nevytvářelo přímé spojení mezi tím a ransomwarovým útokem, to plus skutečnost, že cloudové služby Kronos jsou postaveny s velkým množstvím Javy, vedlo ke spekulacím, že se mohlo jednat o vysoce propagovaný exploit Log4Shell.
Ať už je zdroj zranitelnosti jakýkoli, Erich Kron (obhájce povědomí o bezpečnosti v KnowBe4) poznamenává, že v období prázdnin pro mnoho společností lze očekávat, že počítačoví zločinci budou pracovat na dvou směnách: „Gangy ransomwaru často načasují útoky, aby proběhly v době, kdy jsou organizace málo personálu kvůli svátkům nebo když jsou extrémně zaneprázdněni, s nadějí, že odhalení útoku bude trvat déle a doba odezvy bude mnohem pomalejší. Kromě toho může být tlak na poskytování služeb zákazníkům v těchto klíčových časech velmi vysoký, takže je pravděpodobnější, že oběť zaplatí výkupné ve snaze rychle obnovit provoz... Grinch bohužel hodně ovlivnil Vánoce lidí využívajících služby KPC. Doufejme, že to nepovede k předplatnému ‚Jelly of the Month Club‘ namísto ročních bonusů.“
Útoky Log4j po odhalení zranitelnosti prudce vzrostly
Zranitelnost Log4J byla bombová kvůli rozsahu možných obětí (v podstatě jakékoli webové servery s Javou) a snadnosti, s jakou ji útočník mohl použít. Veřejnosti to bylo odhaleno 9. prosince a do konce následujícího víkendu výzkumníci již odhalili stovky tisíc útoků zahájených po celém světě.
Běžně používaný diagnostický nástroj pro aplikace Java, Log4J, je tak všudypřítomný, že je součástí několika velkých softwarových balíčků s otevřeným zdrojovým kódem. Exploit umožňuje útočníkovi otevřít dveře jednoduše odesláním řetězce základních příkazů, což poskytuje vstupní bod pro boční pohyb v podnikové síti prostřednictvím pokročilých oprávnění, která má aplikace. Chyba zabezpečení byla opravena vydavatelem Apache, ale vyžaduje, aby správci upgradovali na nové verze softwaru.
Bezpečnostní tým společnosti Microsoft oznámil, že útoky ransomwaru se po těchto narušeních přinejmenším v několika případech již rozvíjejí. Není známo, zda poskytovatel mzdové agendy opravil zranitelnost v Log4J před vlastním útokem ransomwaru, ale je pravděpodobné, že některým správcům bude trvat týdny, než se k ní dostanou; to by mohlo být umocněno přistáním v období vánočních svátků, ve kterých si lidé začínají brát volno v práci a společnosti obecně uvolňují své pozice, dokud se nezačne valit nový rok.
Zákazníci zůstali v nepořádku a před prázdninami hledají nové poskytovatele mezd
Zákazníci Kronos nejsou jen poskytovatelem mezd před jednou z nejrušnějších sezón v několika odvětvích (a společným časem pro distribuci roční bonusy), ale také si kladou otázku, zda nepřišli o řadu citlivých dat. Poskytovatelé mzdové agendy mají přístup k firemním i individuálním finančním informacím, které lze snadno použít ke krádežím a podvodům, a ransomwarové útoky nyní často začínají exfiltrací dat, jako je tato, a hrozbami, že je zveřejní na temném webu, pokud nebudou provedeny platby.
V době psaní tohoto článku nemá Kronos pro tyto zákazníky žádné nové aktualizace (kromě jejich přesměrování na jiné poskytovatele mzdové agendy). Tento problém zdůrazňuje potřebu pohotovostních plánů pro útoky ransomwaru, což bylo v tomto případě zjevně nedostatečné. I když to v tomto případě z velké části dopadá na Kronos, Nick Tausek (architekt bezpečnostních řešení ve Swimlane) bere na vědomí některé prvky, které by měly všechny organizace zvážit při přípravě na (velmi pravděpodobné) budoucí útoky ransomwaru: „Aby se snížila šance na útoky, jako je tento. V budoucnu by společnosti měly zvážit implementaci jedné všezahrnující platformy, která centralizuje detekční, reakční a vyšetřovací protokoly do jediného úsilí a pomáhá bezpečnostním týmům automatizovat určité úkoly. Využitím výkonu automatizace zabezpečení s nízkým kódem mohou společnosti reagovat na více výstrah za kratší dobu, čímž se výrazně sníží riziko cíleného útoku ransomwaru, aniž by se zvýšilo zatížení pracovníků bezpečnostních operací.“
Ačkoli to není potvrzeno, existují spekulace, že #zranitelnost Log4Shell byla zapojena do #ransomwarového útoku, protože je známo, že cloudové služby Kronos jsou postaveny na Javě. #cybersecurity #respectdataKlikněte pro tweetAmit Shaked, spoluzakladatel & Generální ředitel společnosti Laminar dodává: „Data již nejsou komoditou, jsou to měna – jak tento incident představuje. Informace v rámci sítě organizace jsou cenné jak pro firmy, tak pro útočníky. Vzhledem k tomu, že většina světových dat se nachází v cloudu, je nezbytné, aby se organizace při přemýšlení o ochraně dat staly cloudovými nativními. Řešení musí být zcela integrována s cloudem, aby bylo možné identifikovat potenciální rizika a lépe porozumět tomu, kde se data nacházejí. Pomocí duálního přístupu viditelnosti a ochrany mohou týmy pro ochranu dat s jistotou vědět, která datová úložiště jsou cennými cíli, a zajistit, aby byly zavedeny řádné kontroly, stejně jako toky zálohování a obnovy.“
TwitterFacebookLinkedIn