Trace Id is missing

Zsarolóvírus-szolgáltatás: Az iparosodott kiberbűnözés új arca

Két nyíl helyezkedik el egy vonalon, miközben különböző elérési útvonalon mutatnak egymásra

 A kiberbűncselekmények legújabb üzleti modellje, az ember által irányított támadások különböző képességű bűnözőket bátorítanak cselekvésre.

Az egyik leggyakoribb és legártalmasabb kiberfenyegetés, a zsarolóprogram folyamatosan fejlődik, és a legújabb formája világszerte új veszélyt jelent a szervezetek számára. A zsarolóprogram fejlődésével nem jár együtt a technológia fejlődése. Sokkal inkább jelent egy új üzleti modellt: zsarolóvírus-szolgáltatás (RaaS).

A zsarolóvírus-szolgáltatás (RaaS) egy megállapodás a működést biztosító eszközöket fejlesztő és karbantartó operátor, valamint a zsarolóprogram kártékony kódját használó partner között. Ha a partner sikeresen helyezi el a zsarolóprogramot, és hajtja végre a támadást, mindkét fél jól jár.

Az RaaS-modell gyengíti azon támadók behatolásával szembeni védelmet, akik esetleg nem rendelkeznek megfelelő tudással vagy technikával a saját eszközeik kifejlesztéséhez, viszont a kész behatolásvizsgáló és rendszergazdai eszközök segítségével képesek végrehajtani a támadásokat. Ezek az alacsonyabb szintet képviselő bűnözők hálózati hozzáférést vásárolhatnak azoktól a magasabb szintű bűnözői csoportoktól, akik már sikeresen végrehajtották a behatolást.

Habár az RaaS-partnerek magasabb szintű operátorok által biztosított kártékony zsarolóvírus-kódot használnak, nem tartoznak a zsarolóprogram „gengszterei” közé. Sokkal inkább saját vállalkozást működtetnek az általános kiberbűnözői gazdaságban.

A kiberbűnözők képességeinek fejlődése és az általános kiberbűnözői gazdaság növekedése

A zsarolóvírus-szolgáltatási modell elősegítette a gyors finomodását és iparosodását mindannak, amit a kevésbé tehetséges bűnözők képesek végrehajtani. Régen ezek a magasabb szintű bűnözők kereskedelmi kártevő szoftvereket használtak, amiket arra fejlesztettek ki vagy vásároltak, hogy korlátozott mértékű támadást hajtsanak végre. Mára ezek bármilyen szükséges dologra képesek, kezdve az RaaS-operátoroktól (természetesen díjazásért) kapott kártevő szoftverkódok elhelyezését célzó hálózati behatolásoktól. A legtöbb RaaS-program a támogatást ajánló alkalmazáscsomagban található, mint amilyen például az illegálisan szerzett adatok megjelenítése és a váltságdíj-követelések, visszafejtési tárgyalások, fizetésre kötelezés, valamint kriptovaluta-tranzakciós szolgáltatások.

Ez pedig azt jelenti, hogy a sikeres zsarolóprogram-elhelyezés és támadás hatása a támadó képességeitől függetlenül ugyanaz.

Egy hálózat sebezhetőségének felfedezése és kihasználása... pénzért

Az egyirányú RaaS-operátorok azzal teremtenek értéket a partnereik számára, hogy hozzáférést biztosítanak a feltört hálózatokhoz. A hozzáférés-közvetítők sebezhető hálózatok után kutatnak az interneten, amelyeket feltörhetnek, és a későbbi haszon érdekében megőrizhetnek.

A sikerhez a támadóknak szükségük van a bejelentkezési adatokra. A feltört bejelentkezési adatok annyira fontosak ezekhez a támadásokhoz, hogy amikor a kiberbűnözők eladják a hálózati hozzáférést, sok esetben az ár tartalmazza a garantált rendszergazdafiókot is.

A bűnözők nagyon változatos dolgokat csinálnak a megszerzett hozzáféréssel, és ez leginkább a csoportok, a tevékenységprofil vagy a motiváció függvénye. Ennek megfelelően rendkívül változó az az idő, hogy mikor férnek hozzá először a billentyűzettel; ez lehet néhány perc, vagy akár hosszabb idő is, de ha a körülmények engedik, pillanatok alatt kárt okozhatnak. Valójában az első hozzáférés és a váltságdíj megfizettetése között eltelt idő (beleértve azt, amikor a hozzáférés-közvetítő átadja az RaaS-partnernek) a megfigyelések szerint rövidebb egy óránál.

A gazdaság mozgásban tartása - állandó és alkalmai hozzáférési módszerek

Ha a támadók hozzáférnek egy hálózathoz, még akkor sem távoznak, ha már megkapták a váltságdíjat. Valójában a váltságdíj megfizetése nem csökkenti az érintett hálózat kockázatait, és leginkább a kiberbűnözők pénzgyűjtését szolgálja, mert különböző kártevő szoftverekkel vagy kártékony zsarolókódokkal megpróbálnak mindaddig bevételhez jutni a támadásokból, amíg meg nem szabadulnak tőlük.

A különböző támadók közötti átadás – ami átmenetként szerepel a kiberbűnözői gazdaságban – azt jelenti, hogy több tevékenységi csoport is előfordulhat a környezetben, akik a zsarolóvírus-támadás során használt eszközöktől eltérő módszereket alkalmaznak. Például egy banki trójai faló által biztosított elsődleges hozzáférés a Cobalt Strike üzembe helyezését eredményezheti, de a hozzáférést megvásárló RaaS-partner a saját tevékenységéhez a távoli hozzáférést biztosító eszköz, például a TeamViewer használatát is választhatja.

A kártevő szoftverek, pl. a Cobalt Strike elhelyezésével szemben a törvényes eszközök és beállítások használata igen népszerű technika a zsarolóvírusokkal támadók körében, mert így elkerülhetik a felfedezést, és hosszabb ideig maradhatnak a hálózatban.

A támadók egy másik kedvenc technikája egy új hátsóajtóprogram felhasználói fiók létrehozása helyben vagy az Active Directory tartományban, ami virtuális magánhálózatként (VPN) vagy távoli asztalként hozzárendelhető a távoli hozzáférést biztosító eszközhöz. Azt is megfigyelték, hogy a zsarolóvírussal támadók szerkesztik a rendszerbeállításokat, hogy engedélyezzék a távoli asztal használatát, csökkentsék a protokoll biztonságosságát, és új felhasználót adjanak a távoli asztal felhasználói csoportjához.

A folyamatábra megmutatja, hogy miként tervezik meg és hajtják végre az RaaS-támadásokat

Találkozás a világ legravaszabb és legfortélyosabb ellenségeivel

Az RaaS-fenyegetést az teszi aggasztóvá, hogy mennyire támaszkodik azokra az emberi támadókra, akik képesek tájékozott és kiszámított döntéseket hozni, és a céljaik eléréséért annak alapján változtatni a támadási mintákat, hogy mit találnak a hálózatban.

A Microsoft megalkotta az ember által üzemeltetett zsarolóvírus fogalmát, hogy ezt a támadási kategóriát olyan tevékenység-sorozatként határozza meg, amely a zsarolóvírusok kártékony kódjaként és nem pedig blokkolandó kártevő szoftver kártékony kódjaként jelenik meg.

Míg az elsődleges hozzáférési akciók többsége automatizált biztonsági rés keresésére épít, amint a támadás billentyűzetes kézi fázisba vált, a támadók a tudásuk és képességük használatával próbálják legyőzni a környezetben található biztonsági termékeket.

A zsarolóvírussal támadókat a könnyű nyereség motiválja, ezért a kiberbűnözői gazdaság feltartóztatásában kulcsfontosságú, hogy a biztonság megerősítésével növeljük a költségeiket. Ez az emberi döntés azt jelenti, hogy még ha a biztonsági termékek érzékelik is az adott támadást, a támadók teljes egészében nem távolíthatók el, és amennyiben a biztonsági ellenőrzés nem blokkolja őket, folytatni próbálják a tevékenységüket. Sok esetben ha a vírusirtó termék le is tiltja az eszközt vagy a kártékony kódot, a támadó egyszerűen fog egy másik eszközt, vagy módosítja a kártékony kódot.

A támadók ismerik a biztonsági üzemeltetési központ (SOC) reakcióidejét, valamint az érzékelő eszközök képességeit és korlátait. Mire a támadás eléri a biztonsági másolatok vagy árnyékmásolatok törlési szakaszát, a zsarolóvírusok telepítésétől értékes percek telhetnek el. A támadó már nagy valószínűséggel végrehajtott olyan káros műveleteket, mint például az adatok kiszivárogtatása. Ez a tudás elengedhetetlen a SOC számára, hogy reagáljon a zsarolóvírusokra: felismerje, például a Cobalt Strike, programot még a telepítés előtt és végrehajtsa azokat a gyors javításokat és esemény elhárítási műveleteket (IR), amelyek emberi támadás esetén kritikus fontosságúak.

A fenyegetésekkel szembeni biztonság növelése a hibás riasztások elkerülésével

Az adott emberi támadásokkal szembeni tartós védelmi stratégiának tartalmazni kell az észlelési és kockázatcsökkentési célokat. Nem elég csak az észlelésre alapozni, hiszen 1) néhány behatolási esemény gyakorlatilag észlelhetetlen (ártatlan műveletként néznek ki), és 2) az sem ismeretlen a zsarolóvírusok támadása esetén, hogy a többszöri és különböző biztonsági termékek riasztásai miatt hamis riasztásként elkerüli a figyelmet.

Mivel a támadóknak több lehetőségük is van a biztonsági termékek megkerülésére és kikapcsolására, illetve képesek utánozni a megbízható rendszergazda viselkedését, annak érdekében, hogy azzal minél jobban azonosulhassanak, az IT biztonsági és SOC-csoportoknak a biztonságot erősítő intézkedésekkel biztonsági másolatot kell készíteni az észleléseikről.

A zsarolóvírussal támadókat a könnyű nyereség motiválja, ezért a kiberbűnözői gazdaság feltartóztatásában kulcsfontosságú, hogy a biztonság megerősítésével növeljük a költségeiket.

A szervezetek az alábbi néhány intézkedést tehetik meg a saját védelmükben:

 

  • A hitelesítő adatok higiéniájának biztosítása: Alakítson ki logikai hálózati szegmentálást olyan engedélyek alapján, amelyek a hálózat szegmentálásával együtt vezethetők be az oldalirányú mozgás korlátozásáért.
  • Auditálja a hitelesítő adatok kitettségét: A hitelesítő adatok kitettségének naplózása kritikus szerepet játszik a zsarolóvírusos támadások és általában a kiberbűncselekmények megelőzésében. Az informatikai biztonságért felelős csapatok és a biztonsági üzemeltetési központok közös munkával elérhetik, hogy csökkenjen a rendszergazdai jogosultságok száma, és megismerhetik azt a szintet, amelyen a hitelesítő adatok veszélynek vannak kitéve.
  • A felhő védelmének megerősítése: Mivel a támadók egyre inkább a felhőbeli erőforrásokat veszik célba, fontos a felhőbeli erőforrások és identitások, valamint a helyszíni fiókok védelme. A biztonsági csapatoknak érdemes megerősíteniük a biztonsági identitások infrastruktúrájának védelmét, minden fiókban többtényezős hitelesítést (multifactor authentication – MFA) kényszeríteni, és a felhőbeli rendszergazdákat/bérlői rendszergazdákat a tartományi rendszergazdákéval megegyező szintű biztonsággal és hitelesítőadat-higiéniával kezelni.
  • A biztonsági vakfoltok megszüntetése: A szervezeteknek célszerű ellenőrizniük, hogy a biztonsági eszközeik az optimális konfigurációban futnak-e, és tanácsos rendszeres hálózati vizsgálatokkal gondoskodniuk arról, hogy a biztonsági termékek az összes rendszer védelmét ellássák.
  • A támadási felület csökkentése: Támadási felület-csökkentő szabályokat létrehozva meggátolhatja a zsarolóvírusos támadások során használt gyakori támadási módszerek sikerességét. Számos olyan megfigyelt támadás során, amelyet valamilyen, zsarolóvírusokkal összefüggésbe hozható tevékenységet folytató csoport indított, azok a szervezetek, amelyek világosan meghatározott szabályokkal rendelkeztek, már a kezdeti szakaszban képesek voltak enyhíteni a támadás következményeit, és meg tudták előzni a kézi vezérléses tevékenységeket.
  • A szegélyhálózatot értékelése: A szervezetek számára elengedhetetlen azonosítani és biztosítani azokat a periféria-rendszereket, amelyeket a támadók felhasználhatnak a hálózathoz való hozzáféréshez. A nyilvános leolvasó interfészek önmagukban is alkalmasak az adatok bővítésére.
  • Az internetkapcsolattal rendelkező eszközök védelmének megerősítése: A zsarolóvírusos támadók és hozzáférés-közvetítők különösen a behatolás kezdeti szakaszában kihasználják a ki nem javított biztonsági réseket, legyenek azok már felfedezett vagy nulladik napi biztonsági rések. Rendkívül gyorsan alkalmazkodnak az új biztonsági résekhez. A veszélynek való kitettség további csökkentéséhez a szervezetek a végponti észlelési és reagálási termékekben használhatják a veszélyforrás- és biztonságirés-kezelés lehetőségeit, hogy észleljék, fontossági sorrendbe állítsák és kijavítsák a biztonsági réseket és a hibás konfigurációkat.
  • Készüljön fel a helyreállításra: A zsarolóvírusokkal szembeni legjobb védelem tartalmazza a támadások esetén használatos gyors helyreállítási tervet. Jóval kevesebbe kerül egy támadás utáni helyreállítás, mint a váltságdíj összege, tehát rendszeresen készítsen biztonsági másolatokat, és óvja azokat a szándékos törléstől és titkosítástól. A biztonsági másolatokat lehetőség szerint tárolja online nem elérhető helyen, teljes egészében offline vagy a telephelyen kívül.
  • További védelem a zsarolóprogram-támadások ellen: Az új zsarolóvírus gazdaság többarcú fenyegetése, valamint az emberek által működtetett zsarolóvírusos támadások ravasz természete megköveteli a szervezetektől, hogy megfelelő módon igazítsák a biztonság átfogó megközelítését.

A fent körvonalazott lépések segítik a támadási mintákkal szembeni védekezést, hosszú időn keresztül megakadályozzák a zsarolóvírusos támadásokat. A hagyományos és ember által működtetett zsarolóvírusos és egyéb fenyegetések elleni védelem fokozásához használja azokat a biztonsági eszközöket, amelyek biztosítják a mély tartományok közötti láthatóságot és az egységes vizsgálati funkciókat.

További, tippeket és elfogadott gyakorlatokat is tartalmazó áttekintést a zsarolóvírusokkal, a megelőzésükkel, az észlelésükkel és a javításukkal kapcsolatban lásd a  Védje meg a saját szervezetét a zsarolóvírusoktól című részben, illetve az ember által üzemeltetett zsarolóvírusokkal kapcsolatos még mélyebb információkért olvassa el Jessica Parker vezető biztonsági kutató Zsarolóvírus-szolgáltatás: A kiberbűnözés hatalmas gazdaságának megismerése, és hogyan védjük meg magunkat című anyagát.

Kapcsolódó cikkek

Cyber Signals, 2. szám: Extortion Economics (A zsarolási iparág)

Élvonalbeli szakértőktől tájékozódhat a zsarolóvírus-szolgáltatások fejlődéséről. A programokkal és kártékony kódokkal, illetve hozzáférés-közvetítőkkel és partnerekkel is foglalkozó jelentésben megismerheti a kiberbűnözők által előnyben részesített eszközöket, taktikákat és célpontokat, és a szervezete védelmét segítő útmutatást is kaphat.

Szakértői profil: Nick Carr

Nick Carr, a Microsoft veszélyforrás-intelligencia központjának kiberbűncselekmények felderítésével foglalkozó csapatának vezetője ismerteti a zsarolóvírusokkal kapcsolatos trendeket, elmondja, mit tesz a Microsoft, hogy megvédje az ügyfeleit a zsarolóvírusoktól, és arról is szót ejt, hogy a szervezetek mit tehetnek, ha ilyen támadás éri őket.

A szervezet zsarolóvírusok elleni védelme

Bepillantást nyerhet azon bűnözők munkálkodásába, akik az illegális zsarolóvírus-gazdaságban működnek. Segítünk megérteni a zsarolóvírusos támadások motivációit és működését, és ajánlott eljárásokat biztosítunk a védelemhez, valamint a biztonsági mentéshez és a helyreállításhoz.