Trace Id is missing

A zsarolási iparág

Letöltés
Megosztás
Fehér labirintus színes körökkel és pöttyökkel

Cyber Signals, 2. szám: A zsarolóvírusok új üzleti modellje

Miközben a zsarolóvírusok továbbra is a figyelem középpontjában állnak, valójában viszonylag kicsi azoknak a szereplőknek a csoportja, akik a kiberbűnözési gazdaságnak ezt a szektorát működtetik. A kiberbűnözési gazdaság specializálódásának és megszilárdulásának köszönhetően a szolgáltatott zsarolóvírus (RaaS) domináns üzleti modellé vált, ami a bűnözők szélesebb körének adott lehetőséget zsarolóvírusok alkalmazására, műszaki szaktudástól függetlenül.
A zsarolóvírusos támadások több mint 80 százaléka a szoftverekben és eszközökön megtalálható gyakori konfigurációs hibákhoz vezethető vissza.1

Nézze meg a Cyber Signals digitális összefoglalóját, amelyben Vasu Jakkal, a Microsoft Biztonság vállalati alelnöke a veszélyforrás-intelligencia legkiválóbb szakértőinek véleményét kéri ki a zsarolóvírusok gazdaságáról és a szervezetek védekezési lehetőségeiről.

Digitális összefoglaló: Védekezés a zsarolóvírus-gazdaság ellen

Az új üzleti modell friss ismeretekkel látja el a védelmi munkatársakat

Ahogyan számos iparágban áttérnek a szabadúszók alkalmazására a hatékonyság érdekében, a kiberbűnözők is bérbe adják vagy értékesítik a zsarolóvírusos támadásokhoz használt eszközeiket a nyereség egy részéért cserébe, ahelyett, hogy saját maguk hajtanák végre a támadásokat.

A szolgáltatott zsarolóvírussal a kiberbűnözők a zsarolóvírusos támadáshoz használható hasznos adatokhoz és kiszivárgott adatokhoz, valamint fizetési infrastruktúrákhoz vásárolhatnak hozzáférést. A zsarolóvírusokkal foglalkozó „bandák” valójában olyan RaaS-programok, mint például a Conti vagy a REvil, amelyeket számos, a RaaS-támadásokhoz használható programok és hasznos adatok között váltó szereplő igénybe vesz.

A RaaS megkönnyíti a behatolást, és elrejti a zsarolás mögött álló támadók identitását. Egyes programoknak 50-nél is több – ahogyan ők nevezik a szolgáltatásaikat igénybe vevő felhasználókat – „tagjuk” van, amelyek különféle eszközökkel, kereskedelmi megoldásokkal és célpontokkal rendelkeznek. Ahogyan bárki, akinek van autója, nyújthat telekocsi szolgáltatást, bárki, akinek van laptopja és hitelkártyája, és szeretne a dark weben behatolástesztelő eszközöket vagy azonnal felhasználható kártevőket keresni, csatlakozhat ehhez a gazdasághoz.

A kiberbűnözésnek ez az iparosodása speciális szerepköröket teremtett. Ilyen például a hozzáférés-közvetítők szerepköre, akik hálózatokhoz való hozzáférések értékesítésével foglalkoznak. Egyetlen incidens mögött gyakran több kiberbűnöző áll, akik a behatolás különböző szakaszaiért felelősek.

A RaaS-készletek egyszerűen fellelhetők a dark weben, és ugyanúgy hirdetik őket, mint más árukat az interneten.

A RaaS-készleteknek ügyfélszolgálati támogatás, csomagajánlatok, felhasználói értékelések, fórumok és más funkciók is részét képezhetik. A kiberbűnözők fizethetnek egy megadott árat a RaaS-készletekért, de olyan, a RaaS értékesítésével a társulási modell szerint foglalkozó csoportok is léteznek, amelyek a nyereség egy bizonyos százalékát kérik.

A hálózati konfigurációkon alapuló döntések meghozatalát igénylő zsarolóvírusos támadások minden áldozat esetében eltérnek, még akkor is, ha a zsarolóvírussal nyerhető hasznos adatok értéke megegyezik. A zsarolóvírusok olyan támadásban csúcsosodnak ki, amely során adatkiszivárgás és más incidensek is történhetnek. A kiberbűnözői gazdaság összekapcsolt természete miatt a látszólag nem összefüggő behatolások valójában egymásra épülhetnek. Az információkat, például jelszavakat és cookie-kat eltulajdonító kártevőket kisebb szigorúsággal kezelik, a kiberbűnözők azonban ezeket a jelszavakat értékesítik, hogy további támadásokat tegyenek lehetővé.

Ezek a támadások azt a sémát követik, hogy először kártevőfertőzés, illetve egy biztonsági rés kihasználása útján hozzáférnek a rendszerhez, majd hitelesítő adatokat tulajdonítanak el a jogosultsági szint megemelése és az oldalirányú mozgás érdekében. Az iparosodásnak köszönhetően a támadók kifinomult vagy speciális készségek nélkül is képesek burjánzó és hatásos zsarolóvírusos támadásokat indítani. A Conti lekapcsolása óta elmozdulásokat észleltünk a zsarolóvírusok világában. A korábban a Contit alkalmazó tagok némelyike áttért a megalapozott RaaS-ökoszisztémákból, például a LockBit és a Hive rendszeréből származó hasznos adatokra, míg mások egy időben több Raas-ökoszisztémából vetnek be hasznos adatokat.

A Conti lekapcsolásával megmaradó űrt új szolgáltatott zsarolóvírusok (például QuantumLocker vagy Black Basta) töltik ki. Mivel a zsarolóvírusok elleni védelem a legtöbb esetben nem a szereplőkre, hanem a hasznos adatokra fókuszál, ez a hasznos adatokat érintő váltás valószínűleg összezavarja a kormányzatokat, a bűnüldöző hatóságokat, a médiát, a biztonsági kutatókat és a védelmi munkatársakat a tekintetben, hogy ki áll a támadások mögött.

Úgy tűnhet, hogy a zsarolóvírusok bejelentése végtelen méretezési problémát jelent, a valóság azonban az, hogy a módszerek adott készletét szereplők egy jól behatárolható csoportja használja.

Javaslatok:

  • Gondoskodjon a hitelesítő adatok higiéniájáról: Logikus hálózati szegmentálást alakítson ki olyan engedélyek alapján, amelyek a hálózat szegmentálásával együtt vezethetők be, az oldalirányú mozgás korlátozása érdekében.
  • Naplózza a hitelesítő adatok kitettségét: A hitelesítő adatok kitettségének naplózása kritikus szerepet játszik a zsarolóvírusos támadások és általában a kiberbűncselekmények megelőzésében. Az informatikai biztonságért felelős csapatok és a biztonsági üzemeltetési központok közös munkával elérhetik, hogy csökkenjen a rendszergazdai jogosultságok száma, és megismerhetik azt a szintet, amelyen a hitelesítő adatok veszélynek vannak kitéve.
  • Csökkentse a támadási felületet: Támadásifelület-csökkentő szabályokat létrehozva meggátolhatja a zsarolóvírusos támadások során használt gyakori támadási módszerek sikerességét. Számos olyan megfigyelt támadás során, amelyet valamilyen, zsarolóvírusokkal összefüggésbe hozható tevékenységet folytató csoport indított, azok a szervezetek, amelyek világosan meghatározott szabályokkal rendelkeztek, már a kezdeti szakaszban képesek voltak enyhíteni a támadás következményeit, és meg tudták előzni a kézi vezérléses tevékenységeket.

A kiberbűnözők kettős zsarolással egészítik ki a támadási stratégiájukat

A zsarolóvírusok célja, hogy pénzt zsaroljanak ki az áldozatoktól. A legtöbb RaaS-program ezenkívül ellopott adatokat is kiszivárogtat – ezt hívják kettős zsarolásnak. Mivel az üzemkimaradások visszaesést okoznak, a zsarolóvírusok üzemeltetőit pedig egyre nagyobb mértékben érintik a kormányzati elhárítási lépések, egyes csoportok lemondanak a zsarolóvírusok alkalmazásáról, és inkább az adatokkal való zsarolást választják.

A DEV-0537 (más néven LAPSUS$) és a DEV-0390 (korábbi Conti-tag) két, főként zsarolással foglalkozó csoport. A DEV-0390 behatolásai kártevőből indulnak ugyan, de a csoport ezután legitim eszközöket használ az adatok kiszivárogtatására és a pénz kizsarolására. Behatolástesztelő eszközökkel, például a Cobalt Strike vagy a Brute Ratel C4 segítségével, valamint az Altera nevű legitim távfelügyeleti segédprogrammal szereznek hozzáférést a kiszemelt áldozat rendszeréhez. A DEV-0390 hitelesítő adatok eltulajdonításával magasabb szintű jogosultságokra tesz szert, meghatározza a (gyakran vállalati biztonsági mentési és fájlkiszolgálókon található) bizalmas adatok helyét, és egy fájlok biztonsági mentésére szolgáló segédprogrammal elküldi az adatokat egy felhőbeli fájlmegosztó webhelyre.

A DEV-0537 teljesen más stratégiát és kereskedelmi megoldást alkalmaz. A kezdeti hozzáférést úgy szerzi meg, hogy hitelesítő adatokat vásárol az alvilágtól vagy a kiszemelt szervezetek alkalmazottaitól.

Problémák

  • Ellopott jelszavak és védelem nélküli identitások
    A támadóknak nem is kártevőkre, hanem sokkal inkább hitelesítő adatokra van szükségük a sikerhez. Szinte minden sikeres zsarolóvírusos támadás esetében a támadók az emelt szintű, rendszergazdai fiókokhoz hozzáférve szereznek széles körű elérést a szervezetek hálózatához.
  • Hiányzó vagy letiltott biztonsági termékek
    Szinte minden megfigyelt zsarolóvírusos incidens esetében a támadásban kihasznált rendszerek legalább egyikében hiányoztak vagy helytelenül voltak konfigurálva a biztonsági termékek, aminek következtében a behatolók illetéktelenül módosíthattak vagy letilthattak bizonyos védelmi beállításokat.
  • Helytelenül konfigurált vagy rossz célra használt alkalmazások
    Lehet, hogy Ön egy adott célra használ egy népszerű alkalmazást, de ez nem jelenti azt, hogy a bűnözők nem használhatják fel fegyverként egy másik cél elérése érdekében. A „régi” konfigurációk sokszor azt jelentik, hogy egy alkalmazás az alapértelmezett állapotában van, azaz a szervezet minden felhasználójának széles körű hozzáférést biztosít. Ne feledkezzen meg erről a kockázatról, és ne habozzon az üzemkimaradástól félve, ha módosítania kell az alkalmazás beállításait.
  • Lassú javítás
    „Ki mint vet, úgy arat” – közhely ugyan, de mégis igaz: A legjobban úgy lehet megerősíteni a szoftverek védelmét, ha rendszeresen frissítjük őket. Egyes felhőalapú alkalmazások felhasználói beavatkozás nélkül frissülnek, más szállítói javításokat pedig a vállalatoknak kell azonnal telepíteniük. 2022-ben a Microsoft azt tapasztalja, hogy a régebbi biztonsági rések továbbra is elsődleges hajtóerőt jelentenek a támadások során.
  • Ellopott jelszavak és védelem nélküli identitások
    A támadóknak nem is kártevőkre, hanem sokkal inkább hitelesítő adatokra van szükségük a sikerhez. Szinte minden sikeres zsarolóvírusos támadás esetében a támadók az emelt szintű, rendszergazdai fiókokhoz hozzáférve szereznek széles körű elérést a szervezetek hálózatához.
  • Hiányzó vagy letiltott biztonsági termékek
    Szinte minden megfigyelt zsarolóvírusos incidens esetében a támadásban kihasznált rendszerek legalább egyikében hiányoztak vagy helytelenül voltak konfigurálva a biztonsági termékek, aminek következtében a behatolók illetéktelenül módosíthattak vagy letilthattak bizonyos védelmi beállításokat.
  • Helytelenül konfigurált vagy rossz célra használt alkalmazások
    Lehet, hogy Ön egy adott célra használ egy népszerű alkalmazást, de ez nem jelenti azt, hogy a bűnözők nem használhatják fel fegyverként egy másik cél elérése érdekében. A „régi” konfigurációk sokszor azt jelentik, hogy egy alkalmazás az alapértelmezett állapotában van, azaz a szervezet minden felhasználójának széles körű hozzáférést biztosít. Ne feledkezzen meg erről a kockázatról, és ne habozzon az üzemkimaradástól félve, ha módosítania kell az alkalmazás beállításait.
  • Lassú javítás
    „Ki mint vet, úgy arat” – közhely ugyan, de mégis igaz: A legjobban úgy lehet megerősíteni a szoftverek védelmét, ha rendszeresen frissítjük őket. Egyes felhőalapú alkalmazások felhasználói beavatkozás nélkül frissülnek, más szállítói javításokat pedig a vállalatoknak kell azonnal telepíteniük. 2022-ben a Microsoft azt tapasztalja, hogy a régebbi biztonsági rések továbbra is elsődleges hajtóerőt jelentenek a támadások során.

Műveletek

  • Identitások hitelesítése Kényszerítsen többtényezős hitelesítést (MFA) az összes fiókban, és részesítse előnyben a rendszergazdai és más bizalmas szerepköröket. Hibrid munkaerő esetén követeljen meg többtényezős hitelesítést minden eszközön, minden helyszínen és minden időpontban. Engedélyezze a jelszó nélküli hitelesítést, például a FIDO-kulcsok vagy a Microsoft Authenticator használatát a jelszó nélküli hitelesítést támogató alkalmazásokban.
  • A biztonsági vakfoltok kezelése
    A füstriasztókhoz hasonlóan a biztonsági termékeket is a megfelelő helyre kell telepíteni, és gyakran kell tesztelni őket. Ellenőrizze, hogy a biztonsági eszközök a legbiztonságosabb konfigurációjukban működnek-e, és arról is győződjön meg, hogy a hálózatokban nincs védelem nélküli terület.
  • Az internetkapcsolattal rendelkező eszközök védelmének megerősítése
    Fontolja meg a megkettőzött vagy nem használt alkalmazások törlését, hogy megszabaduljon a kockázatos, használaton kívüli szolgáltatásoktól. Gondosan döntsön afelől, hogy hol engedélyezi a TeamViewerhez hasonló ügyfélszolgálati alkalmazásokat. Ezeket közismerten arra használják a fenyegető szereplők, hogy gyors hozzáférést szerezzenek a laptopokhoz.
  • A rendszerek naprakészen tartása
    A szoftverleltározást folyamatos eljárásként működtesse. Kövesse nyomon a futtatott szoftvereket, és részesítse előnyben ezeknek a termékeknek a támogatását. Gyors és hatásos javítással állapítsa meg, hogy hol lenne előnyös áttérni a felhőalapú szolgáltatások használatára.

Az identitások és bizalmi kapcsolatok modern technológiai ökoszisztémában tapasztalható összekapcsolt természetének ismeretében telekommunikációs, technológiai, IT-szolgáltatásokat nyújtó és ügyfélszolgálati cégeket vesznek célba, hogy az egyik szervezethez való hozzáféréssel behatolhassanak a partnerek vagy szállítók hálózataiba. A csak zsarolást magukban foglaló támadások rámutatnak arra, hogy a hálózat védelméért felelős munkatársaknak távolabbra kell tekinteniük a végstádiumú zsarolóvírusoknál, és folyamatosan nyomon kell követniük az adatkiszivárgásokat és az oldalirányú mozgásokat.

Ha egy fenyegető szereplő arra készül, hogy megzsaroljon egy szervezetet azzal, hogy nyilvánosságra hozza a privát adatait, a zsarolóvírus hasznos adatai a támadási stratégia legkevésbé jelentős és legkevésbé értékes részét képezik. Végső soron az üzemeltetők döntik el, hogy mit telepítenek, és a zsarolóvírusok nem mindig számítanak a legjövedelmezőbb célnak, amelyet minden fenyegető szereplő el szeretne érni.

Habár a zsarolóvírus vagy a kettős zsarolás szükségszerű következménynek tűnik egy kifinomult támadó által indított támadás esetén, a zsarolóvírus valójában elkerülhető katasztrófa. Az, hogy a támadók a biztonsági hiányosságokra hagyatkozhatnak, azt jelenti, hogy mindenképpen érdemes befektetni a kiberhigiéniába.

A Microsoft egyedülálló betekintést nyújt a fenyegető szereplők tevékenységeibe. Ahelyett, hogy fórumbejegyzésekre vagy kiszivárgott csevegésekre hagyatkoznánk, biztonsági szakértőkből álló csapatunk az új zsarolóvírusos taktikákat tanulmányozva olyan veszélyforrás-intelligenciát alakít ki, amely folyamatosan tájékoztatja a biztonsági megoldásainkat.

Az eszközökbe, identitásokba, alkalmazásokba, levelezésbe, adatokba és a felhőbe integrált, veszélyforrások elleni védelem segítségével képesek vagyunk azonosítani azokat a támadásokat, amelyeket több szereplőnek is lehetne tulajdonítani, de valójában kiberbűnözők egyetlen csoportjához köthetők. A műszaki, jogi és üzleti szakértőkből álló, digitális bűncselekményekkel foglalkozó részlegünk folyamatosan együtt dolgozik a bűnüldöző hatóságokkal a kiberbűnözés megfékezése érdekében.

Javaslatok:

A felhő védelmének megerősítése: Mivel a támadók egyre inkább a felhőbeli erőforrásokat veszik célba, a helyszíni fiókokhoz hasonlóan ezeknek az erőforrásoknak és identitásoknak a védelméről is fontos gondoskodni. A biztonsági csapatoknak érdemes megerősíteniük a biztonsági identitások infrastruktúrájának védelmét, minden fiókban többtényezős hitelesítést kényszeríteni, és a felhőbeli rendszergazdákat/bérlői rendszergazdákat a tartományi rendszergazdákéval megegyező szintű biztonsággal és hitelesítőadat-higiéniával kezelni.
A kezdeti hozzáférés megakadályozása: A kódvégrehajtást megelőzheti a makrók és szkriptek kezelésével, valamint a támadásifelület-csökkentő szabályok engedélyezésével.
A biztonsági vakfoltok megszüntetése: A szervezeteknek célszerű ellenőrizniük, hogy a biztonsági eszközeik az optimális konfigurációban futnak-e, és tanácsos rendszeres hálózati vizsgálatokkal gondoskodniuk arról, hogy a biztonsági termékek az összes rendszer védelmét ellássák.

A Microsoft részletes javaslatait itt találja:  https://go.microsoft.com/fwlink/?linkid=2262350.

Az intelligens veszélyforrás-felderítési elemző, Emily Hacker ismerteti, hogyan tud megbirkózni a csapata a szolgáltatott zsarolóvírusok folyton változó világának kihívásaival.

A Microsoft digitális bűncselekményekkel foglalkozó részlege (DCU):
2021 júliusa és 2022 júniusa között több mint 531 000 egyedi adathalász URL-cím és 5400 adathalászati készlet eltávolítását irányította, ami több mint 1400 olyan kártevő e-mail-fiók azonosításához és felszámolásához vezetett, amelyet eltulajdonított ügyfél-hitelesítő adatok gyűjtésére használtak.1
E-mailes veszélyforrások:
Ha adathalász e-mail áldozatává válik, a támadóknak átlagosan 1 óra 12 percre van szükségük ahhoz, hogy hozzáférjenek a privát adataihoz.1
Végpontokat érintő veszélyforrások:
Egy eszköz feltörése esetén a támadóknak átlagosan 1 óra 42 percbe telik, hogy oldalirányú mozgásba kezdjenek a vállalati hálózaton.1
  1. [1]

    Módszertan: A pillanatképadatokhoz a Microsoft platformjai, például a Defender és az Azure Active Directory, valamint a digitális bűncselekményekkel foglalkozó részlegünk szolgáltatott anonimizált adatokat a fenyegető tevékenységekről, például a kártevő e-mail-fiókokról, az adathalász e-mailekről és a támadók hálózaton belüli mozgásáról. További háttér-információt biztosít még az a napi 43 billió biztonsági jelzés, amelyet a Microsoft rendszerében, így a felhőben, a végpontokon, az intelligens peremhálózaton, valamint az incidensek utáni helyreállító biztonsági gyakorlatért felelős, illetve az észlelési és elhárítási csapat által gyűjtött adatokból nyerünk.

Cyber Signals Kiberrugalmasság Zsarolóvírusok Fenyegető szereplők

Szakértői profil: Emily Hacker

Az intelligens veszélyforrás-felderítési elemző, Emily Hacker elmondja, hogyan birkózik meg a csapata a zsarolóvírusok folyton változó világának kihívásaival, és arról is szót ejt, hogy milyen óvintézkedéseket tesznek a zsarolóvírusos támadások korai szakaszában megjelenő szereplők azonosítása érdekében.
További információ

Cyber Signals: 3. szám: Az IoT bővítése és az operatív technológiát érintő kockázat

Az eszközök internetes hálózatának (IoT) egyre nagyobb elterjedése kockázatnak teszi ki az operatív technológiát (OT), és számos potenciális sebezhetőséget és kitettséget jelent a fenyegető szereplőkkel szemben. Megtudhatja, hogyan gondoskodhat a szervezete folyamatos védelméről
További információ

Cyber Signals: 1. szám

A legújabb csatát az identitásokért vívják. Betekintést nyerhet a legújabb kiberfenyegetésekbe, és megtudhatja, milyen lépéseket kell tennie a szervezete hatékonyabb védelme érdekében.
További információ

A Microsoft Biztonság követése