Pencuri informasi modern telah memperluas pencurian kredensial jauh melampaui nama pengguna dan kata sandi. Selama setahun terakhir, kampanye telah meningkat pesat, menargetkan pengguna dengan sedikit perbedaan antara karyawan perusahaan dan individu di perangkat pribadi.
Infeksi ini secara rutin mengumpulkan kredensial bersama dengan data sesi dan aktivitas pengguna yang lebih luas. Kumpulan data yang dihasilkan dikumpulkan dan dijual oleh broker akses awal, kemudian digunakan kembali untuk seluruh serangan yang menargetkan lingkungan pribadi dan perusahaan.
Untuk lebih memahami ruang lingkup dan implikasi kegiatan ini, Peneliti Specops menganalisis lebih dari 90.000 kebocoran infostealer, yang terdiri dari lebih dari 800 juta baris data yang dikumpulkan selama infeksi aktif.
Kumpulan data tersebut mencakup kredensial, cookie browser, riwayat penelusuran, dan file tingkat sistem yang disimpan secara lokal di mesin yang disusupi.
Apa yang muncul adalah gambaran jelas tentang bagaimana infostealer dumps memungkinkan penyerang mengaitkan data teknis dengan pengguna, organisasi, dan pengguna sebenarnya. pola perilakumenjadikan satu infeksi berharga lama setelah kompromi awal.
Ketika kredensial yang dicuri menjadi data identitas
Risiko terbesarnya adalah betapa mudahnya pencuri data mengaitkan banyak akun dan perilaku ke satu orang sungguhan. Tempat pembuangan sampah ini secara rutin terekspos akun yang digunakan kembali nama di seluruh layanan, nama pengguna Windows, file yang disimpan di direktori pengguna, data sesi aktif, dan catatan detail aktivitas di seluruh lingkungan.
Jika digabungkan, sinyal-sinyal ini memungkinkan penyerang berpindah dari satu sinyal kredensial yang dikompromikan untuk mengidentifikasi individu, pemberi kerja, dan kemungkinan peran mereka dalam suatu organisasi.
Konvergensi ini meruntuhkan batas antara identitas pribadi dan profesional yang masih dianggap ada oleh banyak model keamanan. Apa yang mungkin dimulai sebagai kompromi pada perangkat pribadi dapat dengan cepat terjadi meningkat menjadi risiko tingkat perusahaan.
Kebijakan Kata Sandi Specops membantu organisasi memutus tautan ini dengan terus memindai Direktori Aktif terhadap database yang berisi lebih dari 5,4 miliar kredensial yang diketahui telah disusupi, dibandingkan hanya memeriksa kata sandi saat pembuatan atau pengaturan ulang.
Kredensial yang sudah terekspos akan diblokir agar tidak disetel atau digunakan kembali, meskipun secara teknis mematuhi kebijakan, sehingga mengurangi risiko penggunaan kembali kata sandi yang disusupi di akun pribadi dan perusahaan.
Lokasi pencuri informasi mendapatkan data Anda dan cara mereka menyalahgunakannya
Kumpulan data tersebut berisi kredensial dan data sesi yang terkait dengan wide jangkauan layananyang menggambarkan bagaimana data infostealer mengungkap identitas dan akses.
Layanan profesional dan terkait dengan perusahaan
LinkedIn, GitHub, Microsoft Teams, Outlook, dan domain perusahaan sering muncul di kumpulan data. LinkedIn sendiri menyumbang hampir 900.000 catatan, menyediakan jalur langsung dari data yang dicuri ke nama asli, jabatan, dan afiliasi organisasi.
Bagi pelaku ancaman, informasi ini memungkinkan phishing yang ditargetkan, rekayasa sosialdan prioritas akses yang dapat mengarah lebih jauh ke lingkungan perusahaan, terutama jika ada penggunaan ulang kata sandi.
Identitas pribadi dan platform sosial
YouTube, Facebook, dan sejenisnya platform media sosial juga membuat penampilan bervolume tinggi. Layanan ini sering kali berisi nama asli, foto, dan koneksi sosial, sehingga memudahkan untuk memvalidasi identitas pengguna yang disusupi dan menautkannya ke akun lain.
Korelasi ini membuat eksploitasi yang ditargetkan menjadi jauh lebih mudah.
Layanan sensitif dan berisiko tinggi
Kumpulan data tersebut juga menyertakan kredensial dan cookie yang terkait dengan layanan sensitif, termasuk domain pemerintah dan pajak seperti IRS dan Badan Pendapatan Kanada, serta platform konten dewasa. Akses terhadap layanan ini menimbulkan risiko di luar pengambilalihan rekening secara tradisional.
Dalam insiden sebelumnya, pelaku ancaman telah menggunakan data dari platform dewasa sebagai alat pemerasan dan pemerasan. Ketika aktivitas tersebut dapat dikaitkan kembali dengan identitas asli seseorang dan pemberi kerja, potensi dampaknya akan meningkat dengan cepat.
Sadar akan keamanan namun masih terbuka
Domain seperti Shodan dan bahkan mil.gov muncul dalam kumpulan data, memperkuat kenyataan yang tidak menyenangkan: kesadaran teknis tidak sama dengan kekebalan.
Praktik aman diikuti di lingkungan perusahaan tidak selalu mencakup sistem pribadi, namun paparan terhadap sistem tersebut masih dapat menimbulkan risiko perusahaan.
Mengapa pencuri informasi tetap efektif
Paparan infostealer tidak didorong oleh kegagalan tunggal, namun oleh kombinasi dari beberapa kegagalan tersebut perilaku umum diulangi dalam skala besar. Pengguna menginstal aplikasi dari sumber terlarang, menggunakan kembali kata sandi di akun pribadi dan perusahaan, dan mengandalkan penyimpanan kredensial berbasis browser untuk kenyamanan.
Kredensial dan data pembayaran yang disimpan di browser sangat berharga bagi penyerang.
Ketika seorang pencuri informasi menyusupi suatu sistem, penyimpanan ini memberikan penyerang akses langsung ke informasi bernilai tinggi, sehingga secara signifikan meningkatkan dampak dari satu infeksi.
Mengurangi dampak setelah pencurian kredensial
Setelah data pencuri informasi dikumpulkan dan disebarkan, pencegahan bukan lagi satu-satunya tantangan. Pertanyaan sebenarnya adalah seberapa cepat pemain bertahan dapat menetralisirnya sebelum digunakan kembali untuk pergerakan lateral, pengambilalihan akunatau penyebaran ransomware.
Karena dump infostealer sering beredar selama berminggu-minggu atau berbulan-bulan sebelum terdeteksi, mitigasi yang efektif harus mengasumsikan bahwa beberapa kredensial sudah terekspos.
Penggunaan kembali kata sandi tetap menjadi salah satu cara paling andal bagi penyerang untuk mengoperasionalkan data pencuri informasi. Kredensial dipanen dari perangkat pribadi diuji secara rutin terhadap lingkungan perusahaan, layanan cloud, dan sistem akses jarak jauh, seringkali berhasil bahkan ketika kata sandi tersebut memenuhi persyaratan kompleksitas standar.
Mengganggu penggunaan kembali secara langsung mengurangi nilai operasional kumpulan data infostealer dan memperpendek masa eksploitasinya.
Dikombinasikan dengan kebijakan kata sandi yang lebih kuat mendukung frasa sandi yang lebih panjang dan penegakan yang berkelanjutan, kontrol ini mengalihkan keamanan kata sandi dari latihan konfigurasi statis ke tindakan penahanan aktif.
Eksposur identitas semakin banyak dimulai di luar batasan perusahaan, sehingga mengurangi penggunaan kembali dan dampak hilir dari kredensial yang dicuri tetap menjadi salah satu cara paling efektif untuk memutus rantai serangan yang didorong oleh pencuri informasi.
Untuk melihat bagaimana Kebijakan Kata Sandi Specops membantu memblokir kata sandi yang disusupi dan mengurangi penggunaan kembali kredensial di Direktori Aktif, minta demo langsung dari pakar Specops.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
