Trace Id is missing
Преминаване към основното съдържание
Участник в Insider за защита

Рансъмуерът като услуга: Новото лице на индустриализираната киберпрестъпност

Споделяне
Две стрелки, които се наслагват върху линия и сочат една към друга по различен път

 Най-новият бизнес модел на киберпрестъпността – атаките, управлявани от хора, окуражава престъпници с различни способности.

Рансъмуерът, една от най-устойчивите и широко разпространени киберзаплахи, продължава да се развива, а последната му форма представлява нова заплаха за организациите по света. Еволюцията на рансъмуера не включва нови постижения в технологиите. Вместо това тя включва нов бизнес модел: рансъмуерът като услуга (RaaS).

Рансъмуерът като услуга (RaaS) е споразумение между оператор, който разработва и поддържа инструментите за осъществяване на операции по изнудване, и партньор, който внедрява полезния товар на рансъмуера. Когато партньорът извърши успешна атака с рансъмуер и изнудване, и двете страни печелят.

Моделът RaaS намалява бариерата за навлизане на нападатели, които може да нямат уменията или техническите средства за разработване на собствени инструменти, но могат да използват готови инструменти за тестване за проникване и инструменти за системни администратори за извършване на атаки. Тези престъпници от по-ниско ниво могат също така просто да купят достъп до мрежата от по-сложна престъпна група, която вече е пробила периметъра.

Въпреки че свързаните с RaaS лица използват полезен товар на изнудвания, предоставен от по-сложни оператори, те не са част от същата „банда“ за изнудвания. По-скоро това са техни собствени отделни предприятия, които действат в общата киберпрестъпна икономика.

Усъвършенстване на възможностите на киберпрестъпниците и разрастване на цялостната киберпрестъпна икономика

Рансъмуерът като услуга улесни бързото усъвършенстване и индустриализиране на това, което по-малко способните престъпници могат да постигнат. В миналото тези по-малко опитни престъпници може да са използвали стоков злонамерен софтуер, който са създали или закупили, за да извършват ограничени по обхват атаки, но сега те могат да получат всичко, от което се нуждаят – от достъп до мрежи до платени товари с изнудвачески софтуер – от операторите на RaaS (срещу заплащане, разбира се). Много RaaS програми допълнително включват набор от предложения за поддръжка на изнудването, включително хостинг на сайт за изтичане на информация и интегриране в бележки за откуп, както и преговори за декриптиране, натиск за плащане и услуги за транзакции с криптовалути.

Това означава, че последиците от успешен рансъмуер и изнудване остават едни и същи, независимо от уменията на нападателя.

Откриване и използване на мрежови уязвимости... срещу заплащане

Един от начините, по които операторите на RaaS предоставят стойност на своите партньори, е като предоставят достъп до компрометирани мрежи. Брокерите на достъп сканират интернет за уязвими системи, които могат да компрометират и да запазят за последваща печалба.

За да бъдат успешни, нападателите се нуждаят от пълномощия. Компрометираните пълномощия са толкова важни за тези атаки, че когато киберпрестъпниците продават достъп до мрежата, в много случаи цената включва гарантиран администраторски акаунт.

Това, което престъпниците правят със своя достъп, след като той е постигнат, може да варира в широки граници в зависимост от групите и техните работни натоварвания или мотивации. Следователно времето от първоначалния достъп до практическото внедряване на клавиатурата може да варира от минути до дни и повече, но когато обстоятелствата го позволяват, щетите могат да бъдат нанесени с главоломна скорост. Всъщност е наблюдавано, че времето от първоначалния достъп до пълното откупуване (включително предаването от брокер на достъп към партньор на RaaS) отнема по-малко от час.

Поддържане на икономиката в движение - постоянни и скрити методи за достъп

След като получат достъп до мрежата, нападателите не желаят да я напускат – дори и след като са събрали откупа. Всъщност плащането на откупа може да не намали риска за засегнатата мрежа и потенциално служи само за финансиране на киберпрестъпниците, които ще продължат да се опитват да печелят от атаки с различен злонамерен софтуер или рансъмуер, докато не бъдат отстранени.

Предаването, което се осъществява между различните нападатели при прехода в икономиката на киберпрестъпността, означава, че в дадена среда могат да продължат да действат множество групи, които използват различни методи, различни от инструментите, използвани при рансъмуера. Например първоначалният достъп, получен от банков троянец, води до разгръщане на Cobalt Strike, но филиалът на RaaS, който е закупил достъпа, може да избере да използва инструмент за отдалечен достъп, като TeamViewer, за да проведе своята кампания.

Използването на легитимни инструменти и настройки, за да се запази срещу имплантирането на злонамерен софтуер като Cobalt Strike, е популярна техника сред атакуващите с рансъмуер, за да избегнат откриване и да останат по-дълго време в мрежата.

Друга популярна техника на нападателите е да създават нови потребителски акаунти със задна врата, независимо дали са локални или в Active Directory, които след това могат да бъдат добавени към инструменти за отдалечен достъп, като например виртуална частна мрежа (VPN) или Отдалечен работен плот. Наблюдавани са също така нападатели с рансъмуер, които редактират настройките на системите, за да активират Отдалечен работен плот, да намалят сигурността на протокола и да добавят нови потребители към групата потребители на Отдалечен работен плот.

Поточна диаграма, обясняваща как се планират и осъществяват атаките RaaS

Изправяне пред най-неуловимите и хитри противници в света

Едно от качествата на RaaS, които правят заплахата толкова обезпокоителна, е как тя разчита на човешки нападатели, които могат да вземат информирани и изчислени решения и да променят моделите на атаки въз основа на това, което намират в мрежите, в които попадат, като гарантират, че ще постигнат целите си.

Microsoft измисли термина рансъмуер, управляван от хора, за да определи тази категория атаки като верига от дейности, които завършват с полезен обем на рансъмуер, а не като набор от зловреден софтуер, който трябва да бъде блокиран.

Макар че повечето кампании за първоначален достъп разчитат на автоматизирано разузнаване, след като атаката премине към фазата „ръка на клавиатурата“, нападателите ще използват своите знания и умения, за да се опитат да преодолеят продуктите за сигурност в средата.

Атакуващите с рансъмуер са мотивирани от лесни печалби, така че увеличаването на техните разходи чрез подсилване на защитата е от ключово значение за нарушаването на киберпрестъпната икономика. Този човешки процес на вземане на решения означава, че дори ако продуктите за защита откриват определени етапи на атаката, самите нападатели не се изселват напълно; те се опитват да продължат, ако не са блокирани от контрола за сигурност. В много случаи, ако даден инструмент или полезен товар е открит и блокиран от антивирусен продукт, нападателите просто вземат друг инструмент или променят полезния си товар.

Атакуващите също така са наясно с времето за реакция на центъра за операции по сигурността (SOC) и с възможностите и ограниченията на инструментите за откриване. В момента, в който атаката достигне до етапа на изтриване на резервни копия или копия в сянка, до внедряването на рансъмуер ще останат броени минути. Противникът вероятно вече ще е извършил вредни действия като ексфилтрация на данни. Това знание е от ключово значение за SOC, които реагират на рансъмуер: разследването на открития като Cobalt Strike преди етапа на разгръщане на рансъмуер и извършването на бързи коригиращи действия и процедури за реагиране при инциденти (IR) са от решаващо значение за овладяването на човешкия противник.

Укрепване на сигурността срещу заплахи, като същевременно се избягва умората от предупрежденията

Една трайна стратегия за сигурност срещу решителни човешки противници трябва да включва цели за откриване и намаляване на заплахите. Не е достатъчно да се разчита само на откриването, защото 1) някои събития на проникване са практически неоткриваеми (те изглеждат като множество невинни действия) и 2) не е необичайно атаките с рансъмуер да бъдат пренебрегвани поради умора от предупрежденията, причинена от множество, разнородни предупреждения на продукти за сигурност.

Тъй като нападателите разполагат с множество начини да заобикалят и деактивират продукти за сигурност и са способни да имитират доброкачествено поведение на администратора, за да се слеят максимално, екипите по ИТ сигурност и SOC трябва да подкрепят усилията си за откриване с мерки за укрепване на сигурността.

Атакуващите с рансъмуер са мотивирани от лесни печалби, така че увеличаването на техните разходи чрез подсилване на защитата е от ключово значение за нарушаването на киберпрестъпната икономика.

Ето някои стъпки, които организациите могат да предприемат, за да се защитят:

 

  • Изградете хигиена на идентификационните данни: Разработете логическо сегментиране на мрежата въз основа на привилегиите, което може да се приложи заедно със сегментирането на мрежата, за да се ограничи страничното движение.
  • Проверявайте разкриването на идентификационни данни: Одитирането на излагането на пълномощия е от решаващо значение за предотвратяване на атаки с рансъмуер и киберпрестъпления като цяло. Екипите за ИТ сигурност и SOC могат да работят заедно за намаляване на административните привилегии и да разберат нивото, на което са изложени техните пълномощия.
  • Заздравяване на облака: Тъй като нападателите се насочват към облачните ресурси, е важно да се защитят облачните ресурси и идентичности, както и локалните акаунти. Екипите по защитата трябва да се съсредоточат върху укрепването на инфраструктурата за защита на самоличностите, налагането на многофакторно удостоверяване (MFA) на всички акаунти и третирането на администраторите на облаци/администраторите на наематели със същото ниво на сигурност и хигиена на удостоверенията като администраторите на домейни.
  • Затваряне на „слепите петна“ в защитата: Организациите трябва да проверят дали техните инструменти за сигурност работят в оптимална конфигурация и да извършват редовно сканиране на мрежата, за да гарантират, че продуктът за сигурност защитава всички системи.
  • Намаляване на повърхността на атаката: Създайте правила за намаляване на повърхността на атаката, за да предотвратите обичайните техники за атака, използвани при атаките с рансъмуер. При наблюдаваните атаки от няколко групи дейности, свързани с рансъмуер, организациите с ясно дефинирани правила са успели да намалят атаките в началните им етапи, като същевременно са предотвратили дейността на ръцете на клавиатурата.
  • Оценка на периметъра: Организациите трябва да идентифицират и защитят системите на периметъра, които нападателите могат да използват за достъп до мрежата. Публичните интерфейси за сканиране, като например , могат да се използват за допълване на данните.
  • Заздравяване на активите, насочени към интернет: Атакуващите с рансъмуер и брокерите на достъп използват непоправени уязвимости, независимо дали са вече разкрити или са от нулевия ден, особено в началния етап на достъп. Те също така бързо адаптират нови уязвимости. За да намалят допълнително излагането на риск, организациите могат да използват възможностите за управление на заплахи и уязвимости в продуктите за откриване и реагиране на крайни точки, за да откриват, приоритизират и отстраняват уязвимости и неправилни конфигурации.
  • Пригответе се за възстановяване: Най-добрата защита срещу рансъмуер трябва да включва планове за бързо възстановяване в случай на атака. Възстановяването след атака ще струва по-малко, отколкото плащането на откуп, затова не забравяйте да извършвате редовно архивиране на критичните си системи и да защитите тези архиви от умишлено изтриване и криптиране. Ако е възможно, съхранявайте резервни копия в непроменливо онлайн хранилище или изцяло офлайн или извън сайта.
  • Допълнителна защита срещу рансъмуер атаки: Многостранната заплаха на новата икономика на рансъмуера и неуловимият характер на атаките с рансъмуер, управлявани от хора, изискват организациите да възприемат цялостен подход към сигурността.

Стъпките, които посочихме по-горе, помагат за защита от често срещани модели на атаки и ще допринесат в голяма степен за предотвратяване на атаки с рансъмуер. За да заздравите допълнително защитата срещу традиционния и управлявания от хора рансъмуер и други заплахи, използвайте инструменти за сигурност, които могат да осигурят дълбока видимост между отделните области и единни възможности за разследване.

За допълнителен преглед на рансъмуер, допълнен със съвети и най-добри практики за превенция, откриване и отстраняване, вижте Защитете организацията си от рансъмуер, а за още по-задълбочена информация за рансъмуер, управляван от хора, прочетете Рансомуер като услуга на старши изследователя по сигурността Джесика Пейн: Разбиране на икономиката на киберпрестъпността и как да се защитите.

Сродни статии

Cyber Signals Издание 2: Икономика на изнудването

Научете от експертите на първа линия за развитието на рансъмуера като услуга. От програми и полезен обем до достъп до брокери и съдружници, научете за инструментите, тактиките и целите, които киберпрестъпниците предпочитат, и получете указания, които ще ви помогнат да защитите организацията си.
Научете повече

Профил на експерта: Ник Кар

Ник Кар, ръководител на екипа за разузнаване на киберпрестъпленията в Центъра за набор от ресурси на Microsoft срещу заплахи, обсъжда тенденциите в рансъмуера, обяснява какво прави Microsoft, за да защити клиентите от рансъмуер, и описва какво могат да направят организациите, ако са били засегнати от него.
Научете повече

Защита на вашата организация от рансъмуер

Запознайте се с криминалните играчи, които действат в подземната икономика на рансъмуера. Ще ви помогнем да разберете мотивите и механиката на рансъмуера атаките и ще ви предоставим най-добрите практики за защита, както и за архивиране и възстановяване.
Научете повече