Trace Id is missing

Ransomware as a service: Den industrialiserede cyberkriminalitets nye ansigt

Del
To pile overlejres på en linje og peger mod hinanden i forskellige retninger

 Cyberkriminalitetens nyeste forretningsmodel, menneskedrevne angreb, bestyrker kriminelle med varierende færdigheder.

Ransomware, en af de mest vedholdende og gennemgribende cybertrusler, fortsætter med at udvikle sig, og dens seneste form udgør en ny trussel mod organisationer verden over. Udviklingen af ransomware involverer ikke nye teknologiske fremskridt. I stedet involverer det en ny forretningsmodel: ransomware as a service (RaaS).

Ransomware as a service (RaaS) er en aftale mellem en operatør, der udvikler og vedligeholder værktøjerne til at drive afpresningshandlinger, og en partner, der udruller ransomware-nyttelasten. Når en partner udfører et vellykket ransomware- og afpresningsangreb, profiterer begge parter på det.

RaaS-modellen sænker adgangsbarrieren for personer med ondsindede hensigter, der måske ikke har evnerne eller de tekniske forudsætninger for at udvikle deres egne værktøjer, men som kan administrere færdige penetrationstest og systemadministrator-værktøjer til at udføre angreb. Disse kriminelle på lavere niveau kan også bare købe netværksadgang fra en mere sofistikeret kriminel gruppe, der allerede har brudt ind i et område.

Selvom RaaS-partnere bruger ransomware-nyttelast fra mere sofistikerede operatører, er de ikke en del af den samme ransomware-"bande". Det er snarere deres egne særskilte virksomheder, der opererer i den overordnede cyberkriminelle økonomi.

Fremme af cyberkriminelles evner og vækst i den samlede cyberkriminelle økonomi

Ransomware som en servicemodel har muliggjort en hurtig finindstilling og industrialisering af, hvad mindre dygtige kriminelle kan udrette. Tidligere har disse mindre sofistikerede kriminelle måske brugt almindelig malware, som de enten har bygget eller købt, til at udføre angreb, der er begrænsede i omfang, men nu kan de få alt, hvad de har brug for - fra adgang til netværk til ransomware-nyttelast - fra deres RaaS-operatører (mod en pris, selvfølgelig). Mange RaaS-programmer indeholder desuden en række supporttilbud til afpresning, herunder hosting af sider til lækage og integration i løsesumsnotater, samt dekrypteringsforhandlinger, betalingspres og kryptovaluta-transaktionstjenester.

Det betyder, at virkningen af et vellykket ransomware- og afpresningsangreb forbliver den samme, uanset angriberens færdigheder.

Opdagelse og udnyttelse af netværkssårbarheder... for en pris

En måde, hvorpå RaaS-operatører giver værdi til deres partnere, er ved at give adgang til kompromitterede netværk. Access brokers (adgangsmæglere) scanner internettet for sårbare systemer, som de kan kompromittere og reservere til senere profit.

For at få succes har angriberne brug for legitimationsoplysninger. Kompromitterede legitimationsoplysninger er så vigtige for disse angreb, at når cyberkriminelle sælger netværksadgang, inkluderer prisen i mange tilfælde en garanteret administratorkonto.

Hvad de kriminelle gør med deres adgang, når den er opnået, kan variere meget afhængigt af grupperne og deres arbejdsbyrde eller motivation. Tiden mellem den første adgang til en praktisk tastatur-udrulning kan derfor variere fra minutter til dage eller længere, men når omstændighederne tillader det, kan skaden ske i et hæsblæsende tempo. Faktisk har man observeret, at tiden fra den første adgang til den fulde løsesum (inklusive overdragelse fra en adgangsmægler til en RaaS-partner) tager mindre end en time.

At holde økonomien i gang – vedholdende og snedige adgangsmetoder

Når personer med ondsindede hensigter først har fået adgang til et netværk, er de ikke meget for at forlade det – selv efter at have fået deres løsesum. Faktisk er det ikke sikkert, at betaling af løsepenge reducerer risikoen for et berørt netværk, og det tjener potentielt kun til at finansiere cyberkriminelle, som vil fortsætte med at forsøge at tjene penge på angreb med forskellige malware- eller ransomware-nyttelaster, indtil de bliver smidt ud.

Den overlevering, der sker mellem forskellige angribere, når der sker overgange i den cyberkriminelle økonomi, betyder, at flere aktivitetsgrupper kan fortsætte i et miljø ved hjælp af forskellige metoder, der er forskellige fra de værktøjer, der bruges i et ransomware-angreb. For eksempel fører den første adgang, der er opnået med en banktrojaner, til en Cobalt Strike-udrulning, men RaaS-partneren, der købte adgangen, kan vælge at bruge et fjernadgangsværktøj som TeamViewer til at køre sin kampagne.

At bruge legitime værktøjer og indstillinger til at overleve malware-implantater som Cobalt Strike er en populær teknik blandt ransomware-angribere til at undgå at blive opdaget og forblive i et netværk i længere tid.

En anden populær angrebsteknik er at oprette nye bagdørsbrugerkonti, enten lokalt eller i Active Directory, som derefter kan føjes til fjernadgangsværktøjer såsom et virtuelt privat netværk (VPN) eller Remote Desktop. Ransomware-angribere er også blevet set redigere indstillingerne på systemer for at aktivere Remote Desktop, reducere protokollens sikkerhed og tilføje nye brugere til Remote Desktop Users-gruppen.

Flowdiagram, der forklarer, hvordan RaaS-angreb planlægges og implementeres

I kamp mod de mest snedige og udspekulerede fjender i verden

En af de kvaliteter ved RaaS, der gør truslen så bekymrende, er, hvordan den er afhængig af menneskelige angribere, der kan træffe informerede og beregnede beslutninger og variere angrebsmønstre baseret på, hvad de finder i de netværk, hvor de lander, hvilket sikrer, at de når deres mål.

Microsoft opfandt udtrykket menneskestyret ransomware for at definere denne kategori af angreb som en kæde af aktiviteter, der kulminerer i en ransomware-nyttelast, ikke som et sæt af malware-nyttelaster, der skal blokeres.

Mens de fleste indledende adgangskampagner er afhængige af automatiseret rekognoscering, vil personer med ondsindede hensigter, hvis angrebet skifter til den praktiske tastaturfase, bruge deres viden og færdigheder til at forsøge at overvinde sikkerhedsprodukterne i miljøet.

Ransomwarekriminelle er motiveret af let og stor fortjeneste, og derfor er nøglen til at bekæmpe deres cyberkriminelle økonomi at øge deres omkostninger via sikkerhedshærdning. Denne menneskelige beslutningstagning betyder, at selv om sikkerhedsprodukter opdager specifikke angrebsstadier, bliver angriberne ikke helt smidt ud; de forsøger at fortsætte, hvis de ikke blokeres af en sikkerhedskontrol. I mange tilfælde, hvis et værktøj eller en nyttelast opdages og blokeres af et antivirusprodukt, bruger personerne med ondsindede hensigter bare et andet værktøj eller ændrer deres nyttelast.

Personer med ondsindede hensigter er også opmærksomme på responstider for sikkerhedsoperationscentre (SOC) og funktioner og begrænsninger værktøjer til registrering. Når angrebet når så langt som til at slette sikkerhedskopier eller skyggekopier, er der kun få minutter til, at ransomware bliver udrullet. Modstanderen ville sandsynligvis allerede have udført skadelige handlinger som udtrækning af data. Denne viden er afgørende for SOC'er, der reagerer på ransomware: At undersøge registreringer som Cobalt Strike, før ransomware bliver udrullet, og at udføre hurtige afhjælpningsforanstaltninger og svar på hændelser er afgørende for at inddæmme en menneskelig modstander.

Styrkelse af sikkerheden mod trusler, mens man undgår træthed af underretninger

En holdbar sikkerhedsstrategi mod målrettede menneskelige modstandere skal omfatte mål for registrering og reduktion. Det er ikke nok kun at stole på registrering, fordi 1) nogle infiltrationshændelser er praktisk talt umulige at opdage (de ligner flere uskyldige handlinger), og 2) det er ikke ualmindeligt, at ransomware-angreb bliver overset på grund af træthed af underretninger, som er forårsaget af flere, forskellige underretninger fra sikkerhedsprodukter.

Fordi personer med ondsindede hensigter har flere måder at omgå og deaktivere sikkerhedsprodukter på og er i stand til at efterligne godartet administratoradfærd for at skjule sig så meget som muligt, bør it-sikkerhedsteams og SOC'er supplere deres registreringsindsats med sikkerhedsforstærkende foranstaltninger.

Ransomwarekriminelle er motiveret af let og stor fortjeneste, og derfor er nøglen til at bekæmpe deres cyberkriminelle økonomi at øge deres omkostninger via sikkerhedshærdning.

Her er nogle trin, som organisationer kan tage for at beskytte sig selv:

 

  • Opbyg legitimationshygiejne: Udvikl en logisk netværkssegmentering baseret på privilegier, der kan implementeres sammen med netværkssegmentering for at begrænse lateral bevægelse.
  • Overvåg legitimationseksponering: Overvågning af legitimationseksponering er afgørende for at forhindre ransomware-angreb og cyberkriminalitet generelt. It-sikkerhedsteams og SOC'er kan arbejde sammen om at reducere administratorrettigheder og forstå det niveau, hvor deres legitimationsoplysninger er eksponeret.
  • Hærd skyen: Efterhånden som personer med ondsindede hensigter bevæger sig mod cloudressourcer, er det vigtigt at sikre disse cloudressourcer og identiteter såvel som konti i det lokale miljø. Sikkerhedsteams bør fokusere på at hærde infrastrukturen for sikkerhedsidentiteter, håndhæve mulitfaktorgodkendelse på alle konti og behandle cloudadministratorer/lejeradministratorer med samme niveau af sikkerhed og legitimationshygiejne som domæneadministratorer.
  • Luk blinde vinkler i sikkerheden: Organisationer bør kontrollere, at deres sikkerhedsværktøjer kører i optimal konfiguration, og udføre regelmæssige netværksscanninger for at sikre, at et sikkerhedsprodukt beskytter alle systemer.
  • Reducer angrebsoverfladen: Etabler regler for reduktion af angrebsoverfladen for at forhindre almindelige angrebsteknikker, der bruges i ransomware-angreb. I observerede angreb fra flere ransomware-relaterede aktivitetsgrupper har organisationer med klart definerede regler været i stand til at afbøde angreb i deres indledende faser og samtidig forhindre hænder på tastaturaktivitet.
  • Evaluer den ydre grænse: Organisationer skal identificere og sikre systemer på den ydre grænse, som personer med ondsindede hensigter kan bruge til at få adgang til netværket. Offentlige scanningsgrænseflader, såsom , kan bruges til at udvide data.
  • Styrk internetvendte aktiver: Ransomware-angribere og adgangsmæglere bruger sårbarheder, der ikke er opdateret, uanset om de allerede er afsløret eller zero-day-sårbarheder, især i den indledende adgangsfase. De adopterer også hurtigt nye sårbarheder. For yderligere at reducere eksponeringen kan organisationer bruge funktionerne til håndtering af trusler og sikkerhedsrisici i produkter med slutpunktsregistrering og -svar til at finde, prioritere og udbedre sårbarheder og fejlkonfigurationer.
  • Forberedelse på genoprettelse: Det bedste ransomware-forsvar bør omfatte planer for hurtig genopretning i tilfælde af et angreb. Det vil koste mindre at komme sig efter et angreb end at betale løsepenge, så sørg for at tage regelmæssige sikkerhedskopier af dine kritiske systemer, og beskyt dem mod bevidst sletning og kryptering. Hvis det er muligt, skal sikkerhedskopier gemmes i online lager, der ikke kan ændres, eller helt offline eller off-site.
  • Yderligere forsvar mod ransomware-angreb: Den mangefacetterede trussel fra den nye ransomware-økonomi og den undvigende karakter af menneskestyrede ransomware-angreb, kræver, at organisationer har en omfattende tilgang til sikkerhed.

De trin, vi har skitseret ovenfor, hjælper med at forsvare mod almindelige angrebsmønstre og vil i høj grad forebygge ransomware-angreb. For yderligere at styrke forsvaret mod traditionel og menneskeskabt ransomware og andre trusler skal du bruge sikkerhedsværktøjer, der kan give dyb synlighed på tværs af domæner og forenede undersøgelsesfunktioner.

For en yderligere oversigt over ransomware med tips og bedste praksis til forebyggelse, registrering og afhjælpning, se Beskyt din organisation mod ransomware, og for endnu mere dybdegående information om menneskeskabt ransomware, læs Senior Security Researcher Jessica Paynes Ransomware-as-a-service: Forstå cyberkriminalitetens økonomi, og hvordan du beskytter dig selv.

Relaterede artikler

Cyber Signals Problem 2: Extortion Economics

Hør fra frontlinjeeksperter om udviklingen af ransomware som en service. Fra programmer og nyttedata til adgangsmæglere og samarbejdspartnere – lær om de værktøjer, taktikker og mål, som cyberkriminelle foretrækker, og få hjælp til at beskytte din organisation.
Få mere at vide

Ekspertprofil: Nick Carr

Nick Carr, Cybercrime Intelligence Team Lead hos Microsoft Threat Intelligence Center, taler om ransomware-trusler, forklarer, hvad Microsoft gør for at beskytte kunder mod ransomware, og beskriver, hvad organisationer kan gøre, hvis de bliver påvirket af det.
Få mere at vide

Beskyt din organisation mod ransomware

Få et indblik i den kriminelle spiller, der opererer inden for undergrundens ransomware-økonomi. Vi vil hjælpe dig med at forstå ransomware-angriberes motivation og mekanismer og give dig bedste praksisser for beskyttelse samt sikkerhedskopiering og genoprettelse.
Få mere at vide