Zsarolóvírus-szolgáltatás: Az iparosodott kiberbűnözés új arca

A zsarolóvírus-szolgáltatási modell elősegítette a gyors finomodását és iparosodását mindannak, amit a kevésbé tehetséges bűnözők képesek végrehajtani. Régen ezek a magasabb szintű bűnözők kereskedelmi kártevő szoftvereket használtak, amiket arra fejlesztettek ki vagy vásároltak, hogy korlátozott mértékű támadást hajtsanak végre. Mára ezek bármilyen szükséges dologra képesek, kezdve az RaaS-operátoroktól (természetesen díjazásért) kapott kártevő szoftverkódok elhelyezését célzó hálózati behatolásoktól. A legtöbb RaaS-program a támogatást ajánló alkalmazáscsomagban található, mint amilyen például az illegálisan szerzett adatok megjelenítése és a váltságdíj-követelések, visszafejtési tárgyalások, fizetésre kötelezés, valamint kriptovaluta-tranzakciós szolgáltatások.

Ez pedig azt jelenti, hogy a sikeres zsarolóprogram-elhelyezés és támadás hatása a támadó képességeitől függetlenül ugyanaz.

Az egyirányú RaaS-operátorok azzal teremtenek értéket a partnereik számára, hogy hozzáférést biztosítanak a feltört hálózatokhoz. A hozzáférés-közvetítők sebezhető hálózatok után kutatnak az interneten, amelyeket feltörhetnek, és a későbbi haszon érdekében megőrizhetnek.

A sikerhez a támadóknak szükségük van a bejelentkezési adatokra. A feltört bejelentkezési adatok annyira fontosak ezekhez a támadásokhoz, hogy amikor a kiberbűnözők eladják a hálózati hozzáférést, sok esetben az ár tartalmazza a garantált rendszergazdafiókot is.

A bűnözők nagyon változatos dolgokat csinálnak a megszerzett hozzáféréssel, és ez leginkább a csoportok, a tevékenységprofil vagy a motiváció függvénye. Ennek megfelelően rendkívül változó az az idő, hogy mikor férnek hozzá először a billentyűzettel; ez lehet néhány perc, vagy akár hosszabb idő is, de ha a körülmények engedik, pillanatok alatt kárt okozhatnak. Valójában az első hozzáférés és a váltságdíj megfizettetése között eltelt idő (beleértve azt, amikor a hozzáférés-közvetítő átadja az RaaS-partnernek) a megfigyelések szerint rövidebb egy óránál.

Ha a támadók hozzáférnek egy hálózathoz, még akkor sem távoznak, ha már megkapták a váltságdíjat. Valójában a váltságdíj megfizetése nem csökkenti az érintett hálózat kockázatait, és leginkább a kiberbűnözők pénzgyűjtését szolgálja, mert különböző kártevő szoftverekkel vagy kártékony zsarolókódokkal megpróbálnak mindaddig bevételhez jutni a támadásokból, amíg meg nem szabadulnak tőlük.

A különböző támadók közötti átadás – ami átmenetként szerepel a kiberbűnözői gazdaságban – azt jelenti, hogy több tevékenységi csoport is előfordulhat a környezetben, akik a zsarolóvírus-támadás során használt eszközöktől eltérő módszereket alkalmaznak. Például egy banki trójai faló által biztosított elsődleges hozzáférés a Cobalt Strike üzembe helyezését eredményezheti, de a hozzáférést megvásárló RaaS-partner a saját tevékenységéhez a távoli hozzáférést biztosító eszköz, például a TeamViewer használatát is választhatja.

A kártevő szoftverek, pl. a Cobalt Strike elhelyezésével szemben a törvényes eszközök és beállítások használata igen népszerű technika a zsarolóvírusokkal támadók körében, mert így elkerülhetik a felfedezést, és hosszabb ideig maradhatnak a hálózatban.

A támadók egy másik kedvenc technikája egy új hátsóajtóprogram felhasználói fiók létrehozása helyben vagy az Active Directory tartományban, ami virtuális magánhálózatként (VPN) vagy távoli asztalként hozzárendelhető a távoli hozzáférést biztosító eszközhöz. Azt is megfigyelték, hogy a zsarolóvírussal támadók szerkesztik a rendszerbeállításokat, hogy engedélyezzék a távoli asztal használatát, csökkentsék a protokoll biztonságosságát, és új felhasználót adjanak a távoli asztal felhasználói csoportjához.

Az RaaS-fenyegetést az teszi aggasztóvá, hogy mennyire támaszkodik azokra az emberi támadókra, akik képesek tájékozott és kiszámított döntéseket hozni, és a céljaik eléréséért annak alapján változtatni a támadási mintákat, hogy mit találnak a hálózatban.

A Microsoft megalkotta az ember által üzemeltetett zsarolóvírus fogalmát, hogy ezt a támadási kategóriát olyan tevékenység-sorozatként határozza meg, amely a zsarolóvírusok kártékony kódjaként és nem pedig blokkolandó kártevő szoftver kártékony kódjaként jelenik meg.

Míg az elsődleges hozzáférési akciók többsége automatizált biztonsági rés keresésére épít, amint a támadás billentyűzetes kézi fázisba vált, a támadók a tudásuk és képességük használatával próbálják legyőzni a környezetben található biztonsági termékeket.

A zsarolóvírussal támadókat a könnyű nyereség motiválja, ezért a kiberbűnözői gazdaság feltartóztatásában kulcsfontosságú, hogy a biztonság megerősítésével növeljük a költségeiket. Ez az emberi döntés azt jelenti, hogy még ha a biztonsági termékek érzékelik is az adott támadást, a támadók teljes egészében nem távolíthatók el, és amennyiben a biztonsági ellenőrzés nem blokkolja őket, folytatni próbálják a tevékenységüket. Sok esetben ha a vírusirtó termék le is tiltja az eszközt vagy a kártékony kódot, a támadó egyszerűen fog egy másik eszközt, vagy módosítja a kártékony kódot.

A támadók ismerik a biztonsági üzemeltetési központ (SOC) reakcióidejét, valamint az érzékelő eszközök képességeit és korlátait. Mire a támadás eléri a biztonsági másolatok vagy árnyékmásolatok törlési szakaszát, a zsarolóvírusok telepítésétől értékes percek telhetnek el. A támadó már nagy valószínűséggel végrehajtott olyan káros műveleteket, mint például az adatok kiszivárogtatása. Ez a tudás elengedhetetlen a SOC számára, hogy reagáljon a zsarolóvírusokra: felismerje, például a Cobalt Strike, programot még a telepítés előtt és végrehajtsa azokat a gyors javításokat és esemény elhárítási műveleteket (IR), amelyek emberi támadás esetén kritikus fontosságúak.