Компания Telus Digital, предоставляющая услуги BPO, подверглась кибератаке группы ShinyHunters, специализирующейся на краже данных из Salesforce и SaaS-сервисов, а также использующей голосовой фишинг. — csoonline.com
Компания Telus Digital, предоставляющая услуги аутсорсинга бизнес-процессов (BPO) широкому кругу организаций по всему миру, подверглась масштабной кибератаке со стороны группы вымогателей ShinyHunters.
Группа, действующая с 2020 года, специализируется на краже данных из Salesforce и других SaaS-провайдеров, а также недавно проводила атаки с использованием голосового фишинга (vishing), выдавая себя за сотрудников IT-отдела, чтобы убедить работников вводить свои учетные данные на вредоносных сайтах, которые их собирают.
В заявлении, сделанном в четверг для CSO, Telus Digital сообщила, что «расследует инцидент в области кибербезопасности, связанный с несанкционированным доступом к ограниченному числу наших систем. После обнаружения мы приняли немедленные меры для устранения несанкционированной активности и защиты наших систем от дальнейшего вторжения. Мы активно управляем ситуацией и продолжаем внимательно следить за ней».
В заявлении далее говорилось: «Все бизнес-операции в Telus Digital остаются полностью работоспособными, и нет никаких свидетельств нарушения связи или услуг для клиентов. В рамках нашего реагирования мы привлекли ведущих экспертов по киберкриминалистике для поддержки нашего расследования и сотрудничаем с правоохранительными органами».
Компания добавила, что внедрила дополнительные меры безопасности «для дальнейшей защиты наших систем и среды. По мере развития нашего расследования мы соответствующим образом уведомляем любых пострадавших клиентов. Безопасность информации наших клиентов по-прежнему остается нашим главным приоритетом».
В одном из опубликованных отчетов утверждалось, что ShinyHunters заявляет о краже более одного петабайта данных как у самой компании, так и у ее клиентов, многие из которых используют Telus Digital в качестве BPO-провайдера для своих операций по поддержке клиентов.
Представителя компании попросили подтвердить это число, но он отказался от комментариев.
Злоумышленники стали «лучше вызывать доверие»
Фриц Жан-Луи, главный консультант по кибербезопасности в Info-Tech Research Group, заявил, что инцидент не является сбоем периметра, хотя «когда происходят сбои такого масштаба, инстинкт часто заключается в том, чтобы спросить, какая уязвимость была использована и какое вредоносное ПО проникло».
Он добавил, что кража данных Telus Digital «все больше указывает на другую проблему: злоумышленникам больше не нужно «взламывать», если они могут замаскироваться. Признаки этого взлома, такие как многомесячное время пребывания, огромные объемы данных и задержка обнаружения, предполагают злоупотребление законным доступом, а не явную техническую эксплуатацию».
Другими словами, отметил он, системы, вероятно, доверяли злоумышленнику, отметив, что, исходя из общедоступных сведений, этот инцидент соответствует растущему классу операций по краже данных, которые включают:
- Долгосрочное сохранение присутствия с использованием действительных учетных данных или доверенных путей
- Боковое перемещение по внутренним системам после проникновения
- Медленная, контролируемая подготовка данных во избежание срабатывания оповещений
- Масштабная эксфильтрация, замаскированная под обычный зашифрованный трафик
- Публичное раскрытие информации или вымогательство после обеспечения безопасности данных.
По словам Жан-Луи, «это не вымогательство со взломом. Это стратегический, дисциплинированный подход, оптимизированный для максимального рычага воздействия. [Атака] на самом деле выявляет слепое пятно, которое все еще есть у многих организаций: [они] хорошо обнаруживают «плохое поведение», но не аномальное доверенное поведение».
Приоритеты для смягчения последствий
Этот инцидент, указал он, подтверждает важность нескольких приоритетов для организаций, в том числе:
- Рассматривать личность как новый периметр. Если учетные данные скомпрометированы, все последующее находится под угрозой.
- Внедрить MFA везде, особенно для администраторов и сторонних поставщиков.
- Мониторинг, ориентированный на данные, является обязательным, если организации должны знать, когда данные получают доступ, агрегируются и перемещаются.
- Настраивать оповещения о массовых шаблонах доступа, а не только о загрузках, и устанавливать разумные пороговые значения для перемещения данных в зависимости от роли.
Плоские сети, сказал он, способствуют крупным взломам, и как только злоумышленники перемещаются вбок, масштаб становится их преимуществом.
Его совет CISO заключается в том, чтобы агрессивно сегментировать среды, изолировать хранилища данных высокой ценности от общего доступа, инвестировать в поведенческую аналитику и охоту за угрозами, а также искать тонкие аномалии в течение недель, а не только всплески в течение минут.
Стратегический урок этого взлома заключается в том, что организации должны готовиться к краже данных, а не только к программам-вымогателям, сказал он. «Многие планы реагирования на инциденты по-прежнему предполагают, что шифрование равносильно воздействию, и разрабатывают сценарии для скрытой эксфильтрации данных».
Самый большой риск сегодня, по словам Жан-Луи, заключается не в том, что злоумышленники становятся лучше во взломе, а в том, что они лучше вызывают доверие. Организации, которые продолжают уделять основное внимание защите периметра и предотвращению вредоносного ПО, останутся уязвимыми для этого класса атак».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Paul Barker