Trace Id is missing
Преминаване към основното съдържание
Security Insider

Икономика на изнудването

Бял лабиринт с цветни кръгове и точки

Cyber Signals, издание 2: Новият бизнес модел на рансъмуера

Въпреки че рансъмуерът продължава да бъде тема, която е в центъра на вниманието, в крайна сметка има сравнително малка, свързана екосистема от играчи, които движат този сектор от икономиката на киберпрестъпността. Специализацията и консолидирането на икономиката на киберпрестъпността подхранва превръщането на рансъмуера като услуга (RaaS) в доминиращ бизнес модел, позволявайки на по-широк кръг от престъпници, независимо от техния технически опит, да разполагат рансъмуер.
Над 80 процента от атаките с рансъмуер могат да бъдат проследени до често срещани грешки в конфигурацията на софтуера и устройствата.1

Гледайте цифровия брифинг за Cyber Signals, където Васу Джакал, корпоративен вицепрезидент на Microsoft Security, интервюира водещи експерти по разузнаване за заплахи относно икономиката на рансъмуера и как организациите могат да се защитят.

Цифров брифинг: как да се защитите от икономиката на рансъмуера

Новият бизнес модел предлага свежи прозрения за защитниците

Точно както много индустрии се насочиха към независими изпълнители за ефективност, киберпрестъпниците предоставят под наем или продават своите инструменти за рансъмуер за част от печалбите, вместо да извършват сами атаките.

Рансъмуерът като услуга позволява на киберпрестъпниците да купуват достъп до полезни обеми и изтичане на данни, свързани с рансъмуер, както и инфраструктура за плащания. Рансъмуер „бандите“ в действителност са RaaS програми като Conti или REvil, използвани от много различни действащи лица, които превключват между RaaS програми и полезни обеми.

RaaS смъква бариерата за влизане и прикрива самоличността на атакуващите, които стоят зад изнудването. Някои програми имат над 50 „съдружници“, както наричат потребителите на тяхната услуга, с различни инструменти, умения за неразкриване и цели. Точно както всеки с кола може да шофира за услуга за споделено пътуване, всеки с лаптоп и кредитна карта, желаещ да търси в тъмната мрежа инструменти за тестване за проникване или готов зловреден софтуер, може да се присъедини към тази икономика.

Тази индустриализация на киберпрестъпността създаде специализирани роли, като брокери на достъп, които продават достъп до мрежи. Едно компрометиране често включва множество киберпрестъпници на различни етапи от проникването.

Наборите на RaaS са лесни за намиране в тъмната мрежа и се рекламират по същия начин, по който стоките се рекламират в интернет.

Наборът на RaaS може да включва поддръжка за обслужване на клиенти, пакетни предложения, потребителски отзиви, форуми и други функции. Киберпрестъпниците могат да платят определена цена за набор на RaaS, докато други групи, продаващи RaaS по модела на съдружниците, вземат процент от печалбата.

Атаките с рансъмуер включват решения, базирани на конфигурации на мрежи, и се различават за всяка жертва дори ако полезният обем на рансъмуера е един и същ. Рансъмуерът завършва с атака, която може да включва ексфилтриране на данни и друго въздействие. Поради взаимосвързания характер на киберпрестъпната икономика, на пръв поглед несвързани прониквания могат да се надграждат едно върху друго. Злонамереният софтуер Infostealer, който краде пароли и бисквитки, се третира по-малко строго, но киберпрестъпниците продават тези пароли, за да активират други атаки.

Тези атаки следват шаблон на първоначален достъп чрез заразяване със злонамерен софтуер или използване на уязвимост, след което кражба на идентификационни данни за повишаване на привилегиите и странично преместване. Индустриализацията позволява ефективни и въздействащи атаки с рансъмуер да се извършват от атакуващи без сложност или напреднали умения. След спирането на Conti наблюдаваме промени в пейзажа на рансъмуера. Някои съдружници, които разполагаха Conti, преминаха към полезни обеми от установени екосистеми за RaaS като LockBit и Hive, докато други едновременно внедряват полезни обеми от множество екосистеми за RaaS.

Нови RaaS като QuantumLocker и Black Basta запълват вакуума, оставен от спирането на Conti. Тъй като повечето информация за рансъмуера се фокусира върху полезните обеми, а не върху действащите лица, това превключване на полезни обеми вероятно ще обърка правителствата, правоприлагащите органи, медиите, изследователите на защитата и защитниците относно това кой стои зад атаките.

Докладването на рансъмуера може да изглежда като безкраен проблем с мащабирането; реалността обаче е краен набор от действащи лица, използващи набор от техники.

Препоръки:

  • Изградете хигиена на идентификационните данни: Разработете логическо сегментиране на мрежата въз основа на привилегиите, което може да се приложи заедно със сегментирането на мрежата, за да се ограничи страничното движение.
  • Проверявайте нивото на уязвимост на идентификационните данни Проверката на нивото на уязвимост на пълномощия е от решаващо значение за предотвратяване на атаки с рансъмуер и киберпрестъпления като цяло. Екипите за ИТ защита и SOC могат да работят заедно за намаляване на привилегиите на администратор и за разбиране на нивото на уязвимост на своите идентификационни данни.
  • Намалете повърхността на атака: Създайте правила за намаляване на повърхността на атака, за да предотвратите обичайните техники за атака, използвани при атаките с рансъмуер. При наблюдаваните атаки от няколко групи дейности, свързани с рансъмуер, организациите с ясно дефинирани правила са успели да намалят атаките в началните им етапи, като същевременно са предотвратили дейността, която се извършва с клавиатурата.

Киберпрестъпниците добавят двойно изнудване към стратегията за атака

Рансъмуерът съществува, за да изнудва жертва да плати. Повечето настоящи програми за RaaS също така разкриват откраднатите данни, което е известно като двойно изнудване. Тъй като прекъсванията в работата предизвикват обратна реакция и пробивите на държавните органи сред операторите на рансъмуер се увеличават, някои групи се отказват от рансъмуера и преследват изнудване за данни.

Две групи, фокусирани върху изнудването, са DEV-0537 (известен още като LAPSUS$) и DEV-0390 (бивш съдружник на Conti). Проникванията на DEV-0390 започват от злонамерен софтуер, но използват легитимни инструменти за ексфилтриране на данни и изнудване за плащане. Те разполагат инструменти за тестване за проникване като Cobalt Strike, Brute Ratel C4 и легитимната помощна програма за дистанционно управление Atera, за да поддържат достъп до жертва. DEV-0390 ще ескалира привилегиите чрез кражба на идентификационни данни, ще намери чувствителните данни (често на корпоративни архивни и файлови сървъри) и ще изпрати данните до сайт за споделяне на файлове в облака с помощта на помощна програма за архивиране на файлове.

DEV-0537 използва много различна стратегия и умения за неразкриване. Първоначалният достъп се получава чрез закупуване на идентификационни данни в престъпния свят или от служители в набелязани като цел организации.

Проблеми

  • Откраднати пароли и незащитени самоличности
    Освен от злонамерен софтуер, атакуващите се нуждаят от идентификационни данни, за да успеят. При почти всички успешни разполагания на рансъмуер атакуващите получават достъп до привилегировани акаунти на ниво администратор, предоставящи широк достъп до мрежата на организацията.
  • Липсващи или деактивирани продукти за защита
    В почти всеки наблюдаван инцидент с рансъмуер поне една система, използвана при атаката, е имала липсващи или неправилно конфигурирани продукти за защита, които са позволили на нарушителите да променят злонамерено данни или да забранят определени защити.
  • Неправилно конфигурирани или злонамерени приложения
    Възможно е да използвате популярно приложение за една цел, но това не означава, че престъпниците не могат да го превърнат в оръжие за друга цел. Твърде често „наследените“ конфигурации означават, че дадено приложение е в състоянието си по подразбиране, което позволява на всеки потребител широк достъп в целите организации. Не пренебрегвайте този риск и не се колебайте да промените настройките на приложението поради страх от прекъсване на работата.
  • Бавно коригиране на файловете
    Това е клише, като „Изяж си зеленчуците!“ – но това е критично важен факт: Най-добрият начин да укрепите софтуера е да го поддържате актуализиран. Докато някои базирани в облака приложения се актуализират без действие от страна на потребителя, компаниите трябва незабавно да приложат корекциите на други доставчици. През 2022 г. Microsoft отбелязва, че по-старите уязвимости все още са основен двигател на атаките.
  • Откраднати пароли и незащитени самоличности
    Освен от злонамерен софтуер, атакуващите се нуждаят от идентификационни данни, за да успеят. При почти всички успешни разполагания на рансъмуер атакуващите получават достъп до привилегировани акаунти на ниво администратор, предоставящи широк достъп до мрежата на организацията.
  • Липсващи или деактивирани продукти за защита
    В почти всеки наблюдаван инцидент с рансъмуер поне една система, използвана при атаката, е имала липсващи или неправилно конфигурирани продукти за защита, които са позволили на нарушителите да променят злонамерено данни или да забранят определени защити.
  • Неправилно конфигурирани или злонамерени приложения
    Възможно е да използвате популярно приложение за една цел, но това не означава, че престъпниците не могат да го превърнат в оръжие за друга цел. Твърде често „наследените“ конфигурации означават, че дадено приложение е в състоянието си по подразбиране, което позволява на всеки потребител широк достъп в целите организации. Не пренебрегвайте този риск и не се колебайте да промените настройките на приложението поради страх от прекъсване на работата.
  • Бавно коригиране на файловете
    Това е клише, като „Изяж си зеленчуците!“ – но това е критично важен факт: Най-добрият начин да укрепите софтуера е да го поддържате актуализиран. Докато някои базирани в облака приложения се актуализират без действие от страна на потребителя, компаниите трябва незабавно да приложат корекциите на други доставчици. През 2022 г. Microsoft отбелязва, че по-старите уязвимости все още са основен двигател на атаките.

Действия

  • Удостоверяване на самоличности Наложете многофакторно удостоверяване (MFA) на всички акаунти, приоритизирайте администраторските и други чувствителни роли. При хибридна работна сила изисквайте MFA на всички устройства, във всички местоположения, по всяко време. Активирайте удостоверяване без парола като FIDO ключове или Microsoft Authenticator за приложения, които го поддържат.
  • Обръщане на внимание на „слепите петна“ в защитата
    Подобно на алармите за дим, продуктите за защита трябва да се инсталират на правилните места и да се тестват често. Уверете се, че инструментите за защита работят в най-сигурната си конфигурация и че нито една част от мрежата не е незащитена.
  • Укрепване на активите, насочени към интернет
    Помислете за изтриване на дублиращи се или неизползвани приложения, за да елиминирате рискови, неизползвани услуги. Внимавайте къде разрешавате приложения за отдалечена помощ като TeamViewer. Те пословично са цел на извършителите, представляващи заплаха, за да получат експресен достъп до лаптопи.
  • Поддържайте системите актуални
    Направете инвентаризацията на софтуера непрекъснат процес. Следете какво използвате и дайте приоритет на поддръжката за тези продукти. Използвайте възможността си да правите корекции бързо и убедително, за да прецените къде е от полза преминаването към услуги, базирани в облака.

Разбирайки взаимосвързания характер на самоличностите и отношенията на доверие в съвременните технологични екосистеми, те си набелязват за цел телекомуникационни компании, технологични компании, компании за ИТ услуги и компании за поддръжка, за да използват достъпа от една организация, за да получат достъп до мрежи на партньори или доставчици. Атаките само с изнудване показват, че мрежовите защитници трябва да гледат отвъд крайния етап на рансъмуера и да следят отблизо експортирането на данни и страничното движение.

Ако извършител, представляващ заплаха, планира да изнуди организация да разкрие поверителните си данни, полезният обем на рансъмуера е най-малко значимата и най-малко ценната част от стратегията за атака. В крайна сметка операторът избира какво да разположи, а рансъмуерът не винаги е голямата печалба, която всеки извършител, представляващ заплаха, търси.

Макар че рансъмуерът или двойното изнудване може да изглеждат неизбежен резултат от атака от опитен извършител, рансъмуерът е бедствие, което може да се избегне. Разчитането на уязвимости в защитата от страна на атакуващите означава, че инвестициите в киберхигиена ще бъдат много успешни.

Уникалната видимост на Microsoft ни дава поглед върху дейността на извършителите, представляващи заплаха. Вместо да разчитаме на публикации във форуми или изтичане на информация от чатове, нашият екип от експерти по защитата изучава нови тактики за рансъмуер и разработва разузнаване за заплахи, която информира нашите решения за защита.

Интегрираната защита от заплахи на различни устройства, самоличности, приложения, имейли, данни и облака ни помага да идентифицираме атаки, които биха били означени като „с множество действащи лица“, когато всъщност са с една група от киберпрестъпници. Нашият отдел за цифрови престъпления, съставен от технически, правни и бизнес експерти, продължава да работи с правоприлагащите органи за прекъсване на киберпрестъпленията

Препоръки:

Укрепване на облака: Тъй като нападателите се насочват към ресурсите в облака, е важно да се защитят тези ресурси и самоличности, както и локалните акаунти. Екипите по защитата трябва да се съсредоточат върху укрепването на инфраструктурата за защита на самоличностите, налагането на многофакторно удостоверяване (MFA) на всички акаунти и третирането на администраторите на облака/администраторите на клиенти със същото ниво на защита и хигиена на идентификационните данни като администраторите на домейни.
Предотвратяване на първоначалния достъп: Предотвратете изпълнението на код чрез управление на макроси и скриптове и активиране на правила за намаляване на повърхността на атака.
Отстраняване на пропуските в защитата: Организациите трябва да проверят дали техните инструменти за защита работят в оптимална конфигурация, и да извършват редовно сканиране на мрежата, за да гарантират, че продуктът за защита защитава всички системи.

Microsoft има задълбочени препоръки на  https://go.microsoft.com/fwlink/?linkid=2262350.

Разберете от анализатора от разузнаването за заплахи Емили Хакер за това как нейният екип остава в крак с променящия се пейзаж на рансъмуера като услуга.

Отдел за цифрови престъпления на Microsoft (DCU):
Ръководи премахването на повече от 531 000 уникални фишинг URL адреса и 5400 фишинг набора между юли 2021 г. и юни 2022 г., което доведе до идентифицирането и затварянето на над 1400 злонамерени имейл акаунта, използвани за събиране на откраднати идентификационни данни на клиенти.1
Имейл заплахи:
Средното време за достъп на атакуващ до вашите лични данни, ако станете жертва на фишинг имейл, е един час, 12 минути.1
Заплахи към крайни точки:
Средното време атакуващ да започне да се движи странично във вашата корпоративна мрежа, ако устройството е компрометирано, е един час, 42 минути.1
  1. [1]

    Методология: За данните от статични копия на данни, платформите на Microsoft, включително Defender и Azure Active Directory, и нашият отдел за цифрови престъпления предоставиха анонимни данни за дейността, свързана със заплахи, като например злонамерени имейл акаунти, фишинг имейли и движение на атакуващите в мрежите. Допълнителните прозрения са от 43 трилиона ежедневни сигнала за защита, получени в Microsoft, включително облака, крайните точки, интелигентните периферни устройства и нашите екипи за „Практика за възстановяване на защитата при компрометиране“ и „Откриване и реагиране“.

Профил на експерта: Емили Хакър

Анализаторът от разузнаването за заплахи Емили Хакър разказва как нейният екип следи променящия се пейзаж на рансъмуера като услуга и какви мерки предприема, за да улови извършителите в периода преди появата на рансъмуера.

Cyber Signals: Издание 3: Нарастващият IoT и рискът за OT

Все по-широкото разпространение на интернет на нещата излага на риск оперативните технологии с редица потенциални уязвимости и излагане на дейността на извършители, представляващи заплаха. Разберете как да защитите организацията си

Cyber Signals: Проблем 1

Самоличността е новото бойно поле. Получете прозрения за развиващите се киберзаплахи и какви стъпки да предприемете, за да защитите по-добре вашата организация.

Следвайте Microsoft Security