Suuri palkanlaskennan tarjoaja, jota käyttävät tuhannet yritykset Yhdysvalloissa, mukaan lukien valtion virastot, raportoi, että se odottaa olevansa poissa "viikkoja" tuhoisan kiristysohjelmahyökkäyksen vuoksi.
Kronos, jonka tiedetään käyttäneen useissa tuhansissa yrityksissä Teslasta National Public Radioon (NPR), Private Cloud -palvelu poistui käytöstä maanantaina. Tämä elementti on keskeinen sen UKG Workforce Central-, UKG TeleStaff- ja Banking Scheduling Solutions -palveluissa, joita käytetään työntekijöiden tuntien seurantaan ja palkanmaksujen käsittelyyn. Yritys vahvisti, että se oli havainnut meneillään olevan kiristysohjelmahyökkäyksen 11. joulukuuta ja poistanut Kronos Private Cloudissa isännöidyt palvelut offline-tilaan osana lieventäviä toimia. Kronos ei antanut toipumisaikataulua, mutta sanoi, että sen odotetaan kestävän ainakin useita päiviä, ellei viikkoja, ennen kuin palvelut ovat taas täysin verkossa.
Vaikka sitä ei ole vahvistettu, on olemassa spekulaatioita, että pahamaineinen Log4Shell-haavoittuvuus liittyi siihen, koska Kronos-pilvipalvelujen tiedetään olevan suurelta osin rakennettu Javalle.
Lunnasohjelmahyökkäys katkaisee suuren palkanlaskennan palveluntarjoajan ennen joulua
Lunnasohjelmahyökkäys ilmeisesti teki niin paljon vahinkoa, että Kronos uskoo, että kestää useita päiviä, ennen kuin edes jonkinlainen palvelutaso palautuu. Koska täydellinen toipuminen voi kestää viikkoja, yhtiö on kehottanut asiakkaita etsimään muita palkanlaskennan tarjoajia täytettäväksi toistaiseksi.
Ei tiedetä, mikä haittaohjelma liittyi kiristysohjelmahyökkäykseen tai miten se sai alkunsa, mutta jostain syystä Kronos päätti julkaista näkyvän ilmoituksen siitä, että se oli tietoinen äskettäin löydetystä Log4J-haavoittuvuudesta ja sen jatkuvasta korjausyrityksestä. sen järjestelmät suojatakseen sitä vastaan. Vaikka se ei muodostanut suoraa yhteyttä tämän ja kiristysohjelmahyökkäyksen välillä, tämä sekä se tosiasia, että Kronos-pilvipalvelut on rakennettu suurella määrällä Javaa, on johtanut spekulaatioihin, että paljon julkisuutta saanut Log4Shell-hyödyntäminen on saattanut olla mukana.
Riippumatta haavoittuvuuden lähteestä Erich Kron (KnowBe4:n turvallisuustietoisuuden puolestapuhuja) huomauttaa, että monien yritysten lomalomakausi on silloin, kun kyberrikollisten voidaan odottaa tekevän kaksinkertaisen vuorokauden: "Lunnasohjelmajengit ajoittavat usein hyökkäyksiä, kun organisaatiot ovat lyhyitä työntekijöitä lomien vuoksi tai kun he ovat erittäin kiireisiä, toivoen, että hyökkäyksen havaitseminen kestää kauemmin ja vasteajat ovat paljon hitaampia. Lisäksi paine asiakkaiden palvelemiseen voi näinä kriittisinä aikoina olla erittäin suuri, jolloin on todennäköisempää, että uhri maksaa lunnaat saadakseen toiminnan takaisin nopeasti... Valitettavasti Grinch on vaikuttanut jouluun paljon KPC-palveluita käyttävistä ihmisistä. Toivottavasti tämä ei johda "Jelly of the Month Clubin" tilaamiseen vuosibonusten sijaan."
Log4j-hyökkäykset lisääntyvät haavoittuvuuden paljastamisen jälkeen
Log4J-haavoittuvuus oli pommi mahdollisten uhrien (lähinnä minkä tahansa Java-verkkopalvelimen) ja hyökkääjän helppokäyttöisyyden vuoksi. Se julkistettiin 9. joulukuuta, ja seuraavan viikonlopun loppuun mennessä tutkijat olivat jo havainneet satoja tuhansia hyökkäyksiä ympäri maailmaa.
Log4J on Java-sovelluksiin yleisesti käytetty diagnostiikkatyökalu, joka on niin yleinen, että se sisältyy useisiin suuriin avoimen lähdekoodin ohjelmistopaketteihin. Hyödynnyksen avulla hyökkääjä voi avata oven yksinkertaisesti lähettämällä sarjan peruskomentoja, jotka antavat sisääntulopisteen sivuttaisliikenteelle yrityksen verkossa sovelluksen lisäoikeuksilla. Julkaisija Apache on korjannut haavoittuvuuden, mutta se vaatii järjestelmänvalvojia päivittämään ohjelmiston uusiin versioihin.
Microsoftin tietoturvatiimi on raportoinut, että lunnasohjelmahyökkäyksiä on jo avautunut näiden loukkausten jälkeen ainakin useissa tapauksissa. Ei tiedetä, oliko palkanlaskennan tarjoaja korjannut Log4J:n haavoittuvuuden ennen omaa kiristysohjelmahyökkäystään, mutta on todennäköistä, että joillakin järjestelmänvalvojilla kestää viikkoja päästäkseen siihen; tätä voi pahentaa laskeutuminen joululomakauteen, jolloin ihmiset alkavat pitää lomaa töistään ja yritykset yleensä rentoutuvat asentoitaan uuden vuoden vaihteeseen saakka.
Asiakkaat jäivät sekaisin, etsivät uusia palkanlaskennan tarjoajia ennen lomia
Kronos-asiakkaat eivät ole vain palkanlaskennan tarjoajia ennen yhtä vilkkaimpia sesonkeja useilla toimialoilla (ja yhteisen ajan jakelussa vuosittaiset bonukset), mutta jäävät myös miettimään, ovatko he menettäneet useita arkaluonteisia tietoja. Palkanlaskennan tarjoajilla on pääsy sekä yritys- että henkilökohtaisiin taloustietoihin, joita voidaan helposti käyttää varkauksiin ja huijauksiin, ja kiristysohjelmahyökkäykset alkavat nykyään usein tämänkaltaisten tietojen suodattamisesta ja uhkailusta julkaista ne pimeässä verkossa, jos maksuja ei suoriteta.
Tätä kirjoitettaessa Kronosilla ei ole ollut uusia päivityksiä näille asiakkaille (paitsi ohjaamalla heidät muille palkanlaskennan tarjoajille). Ongelma korostaa valmiussuunnitelmien tarvetta lunnasohjelmahyökkäyksiä varten, mikä oli selvästi riittämätöntä tässä tapauksessa. Vaikka tämä koskee tässä tapauksessa suurelta osin Kronosta, Nick Tausek (Swimlanen turvallisuusratkaisujen arkkitehti) panee merkille joitain seikkoja, joita kaikkien organisaatioiden tulisi ottaa huomioon valmistautuessaan (erittäin todennäköisiin) tuleviin kiristysohjelmahyökkäuksiin: "Tällaisten hyökkäysten mahdollisuuden vähentämiseksi Tulevaisuudessa yritysten tulisi harkita yhden kaiken kattavan alustan käyttöönottoa, joka keskittää havaitsemis-, vastaus- ja tutkintaprotokollat yhdeksi toimenpiteeksi ja auttaa tietoturvatiimejä automatisoimaan tietyt tehtävät. Hyödyntämällä alhaisen koodin tietoturvaautomaation tehoa yritykset voivat vastata useampaan hälytykseen lyhyemmässä ajassa, mikä vähentää merkittävästi kohdistetun kiristysohjelmahyökkäyksen riskiä lisäämättä tietoturvahenkilöstön työtaakkaa."
Vaikka tätä ei ole vahvistettu, on olemassa spekulaatioita, että Log4Shell #haavoittuvuus liittyi #ransomware-hyökkäykseen, koska Kronos-pilvipalvelujen tiedetään rakennetun Javalle. #kyberturvallisuus #respectdataTwiittaa napsauttamallaAmit Shaked, perustaja & Laminarin toimitusjohtaja lisää: "Data ei ole enää hyödyke, se on valuutta - kuten tämä tapaus edustaa. Organisaation verkossa oleva tieto on arvokasta sekä yrityksille että hyökkääjille. Koska suurin osa maailman tiedoista on pilvessä, on välttämätöntä, että organisaatiot tulevat pilvipohjaisiksi, kun he ajattelevat tietosuojaa. Ratkaisut on integroitava täysin pilveen, jotta voidaan tunnistaa mahdolliset riskit ja ymmärtää paremmin, missä data sijaitsee. Näkyvyyden ja suojauksen kaksoislähestymistapaa käyttämällä tietosuojatiimit voivat varmasti tietää, mitkä tietovarastot ovat arvokkaita kohteita, ja varmistaa, että asianmukaiset tarkastukset sekä varmuuskopiointi- ja palautusvirrat ovat käytössä.
TwitterFacebookLinkedIn
