Trace Id is missing
Pereiti prie pagrindinio turinio
Sauga iš vidinės perspektyvos

Išpirkos reikalaujančios programos kaip paslauga: naujasis industrializuotų kibernetinių nusikaltimų veidas

Bendrinti
Dvi rodyklės, uždėtos ant linijos ir nukreiptos viena į kitą skirtingais keliais

 Naujausias kibernetinių nusikaltimų modelis – žmogaus valdomos atakos – skatina įvairių gebėjimų nusikaltėlius.

Išpirkos reikalaujanti programinė įranga, viena nuolatinių ir labiausiai paplitusių kibernetinių grėsmių, nuolat tobulėja, o naujausia jos forma kelia naują grėsmę organizacijoms visame pasaulyje. Išpirkos reikalaujančių virusų evoliucija nėra susijusi su naujomis technologijomis. Vietoj to, ji apima naują verslo modelį: išpirkos reikalaujančią programinę įrangą kaip paslaugą (RaaS).

Išpirkos reikalaujanti programinė įranga kaip paslauga (RaaS) yra susitarimas tarp operatoriaus, kuris kuria ir prižiūri prievartavimo operacijų įrankius, ir partnerio, kuris naudoja išpirkos reikalaujančios programinė įrangos paketo turinį. Kai partneris atlieka sėkmingą išpirkos reikalaujančios programinės įrangos ir turto prievartavimo išpuolį, abi šalys gauna pelną.

RaaS modelis sumažina patekimo barjerą užpuolikams, kurie gali neturėti įgūdžių ar techninių galimybių kurti savo įrankius, bet gali valdyti paruoštus skverbties bandymus ir sistemos administratoriaus įrankius atakoms atlikti. Šie žemesnio lygio nusikaltėliai taip pat gali tiesiog nusipirkti prieigą prie tinklo iš sudėtingesnės nusikalstamos grupės, kuri jau peržengė perimetrą.

Nors RaaS partneriai naudoja sudėtingesnių operatorių teikiamą išpirkos reikalaujančią programinę įrangą, jie nėra tos pačios išpirkos reikalaujančios programinės įrangos „gaujos“ dalis. Tai veikiau jų pačių atskiros veiklos, veikiančios bendroje kibernetinių nusikaltėlių ekonomikoje.

Kibernetinių nusikaltėlių gebėjimų tobulinimas ir bendros kibernetinių nusikaltėlių ekonomikos augimas

Išpirkos reikalaujančios programinės įrangos kaip paslaugos modelis padėjo greitai patobulinti ir industrializuoti tai, ką gali pasiekti mažiau pajėgūs nusikaltėliai. Anksčiau šie mažiau įmantrūs nusikaltėliai galėjo naudoti bendrąją kenkėjišką programinę įrangą, kurią jie sukūrė arba įsigijo, kad atliktų ribotos apimties išpuolius, tačiau dabar jie gali gauti viską, ko reikia – nuo prieigos prie tinklų iki išpirkos reikalaujančių programų paketo turinio – iš savo RaaS operatorių (žinoma, už tam tikrą kainą). Daugelis RaaS programų taip pat apima paramos dėl turto prievartavimo pasiūlymų rinkinį, įskaitant prieglobą nutekinimo vietose ir integravimą į išpirkos raštus, taip pat derybas dėl iššifravimo, mokėjimo spaudimą ir kriptovaliutų operacijų paslaugas.

Tai reiškia, kad sėkmingo išpirkos reikalaujančio viruso ir turto prievartavimo išpuolio poveikis išlieka toks pat, nepriklausomai nuo užpuoliko įgūdžių.

Tinklo pažeidžiamumo aptikimas ir išnaudojimas... už tam tikrą kainą

Vienas iš būdų, kaip RaaS operatoriai suteikia vertę savo partneriams, yra suteikti prieigą prie pažeistų tinklų. Prieigos brokeriai internete ieško pažeidžiamų sistemų, kurias jie gali pažeisti ir rezervuoti vėlesniam pelnui.

Kad užpuolikai pasiektų sėkmę, jiems reikia kredencialų. Pažeisti kredencialai yra tokie svarbūs šioms atakoms, kad kai kibernetiniai nusikaltėliai parduoda prieigą prie tinklo, daugeliu atvejų į kainą įskaičiuota garantuota administratoriaus paskyra.

Tai, ką nusikaltėliai daro gavę prieigą gali labai skirtis priklausomai nuo grupių ir jų darbo krūvio ar siekių. Todėl laikas tarp pradinės prieigos prie rankinio klaviatūros diegimo gali svyruoti nuo kelių minučių iki dienų ar ilgiau, bet, jei aplinkybės leidžia, žala gali būti padaryta neįtikėtinu greičiu. Tiesą sakant, pastebėta, kad laikas nuo pradinės prieigos iki visos išpirkos (įskaitant perdavimą iš prieigos brokerio RaaS filialui) trunka mažiau nei valandą.

Išlaikyti ekonomiką judančią – nuolatiniai ir nepastebimi prieigos būdai

Užpuolikams gavus prieigą prie tinklo, jie vengia išeiti – net ir gavę išpirką. Tiesą sakant, išpirkos sumokėjimas gali nesumažinti rizikos paveiktam tinklui; išpirkos gali būti panaudotos kibernetiniams nusikaltėliams, kurie ir toliau bandys gauti pajamų iš išpuolių su įvairiomis kenkėjiškomis programomis ar išpirkos reikalaujančiomis programomis, kol jie bus iškeldinti, finansuoti.

Keičiantis kibernetinių nusikaltėlių ekonomikai, tarp skirtingų užpuolikų vyksta perdavimai, taigi aplinkoje gali veikti kelios veiklos grupės, naudojančios įvairius metodus, kurie skiriasi nuo išpirkos reikalaujančios programinės įrangos atakos metu naudojamų priemonių. Pavyzdžiui, pradinė prieiga, kurią gauna banko Trojos arklys, lemia „Cobalt Strike“ diegimą, tačiau prieigą įsigijęs RaaS partneris gali pasirinkti naudoti nuotolinės prieigos įrankį, pvz., „TeamViewer“, savo kampanijai valdyti.

Teisėtų įrankių ir nustatymų naudojimas, kad išliktų, palyginti su kenkėjiškų programų implantais, pvz., „Cobalt Strike“, yra populiarus išpirkos reikalaujančios programinės įrangos užpuolikų metodas, siekiant išvengti aptikimo ir ilgiau likti tinkle.

Kitas populiarus užpuoliko metodas yra sukurti naujas vietines ar „Active Directory“ galines vartotojų paskyras, kurias vėliau galima pridėti prie nuotolinės prieigos įrankių, tokių kaip virtualus privatus tinklas (VPN) arba nuotolinis darbalaukis. Taip pat pastebėta, kad išpirkos reikalaujančios programinės įrangos įsilaužėliai redaguoja sistemų nustatymus, kad įgalintų nuotolinį darbalaukį, sumažintų protokolo saugumą ir įtrauktų naujus vartotojus į nuotolinio darbalaukio vartotojų grupę.

Srauto diagrama, paaiškinanti, kaip planuojamos ir įgyvendinamos RaaS atakos

Susidūrimas su pačiais sunkiausiais ir gudriausiais priešininkais pasaulyje

Viena iš RaaS savybių, dėl kurios kyla tokia grėsmė, yra tai, kaip ji priklauso nuo žmonių užpuolikų, kurie gali priimti pagrįstus ir apskaičiuotus sprendimus ir keisti išpuolių modelius, remdamiesi tuo, ką jie randa tinkluose, į kuriuos jie patenka, užtikrindami, kad jie pasiektų savo tikslus.

„Microsoft“ sukūrė terminą žmogaus valdoma išpirkos reikalaujanti programinė įranga, kad apibrėžtų šią atakų kategoriją kaip veiklos grandinę, kurios kulminacija yra išpirkos reikalaujanti programinė įranga, o ne kaip kenkėjiškų programų, kurias reikia užblokuoti, rinkinį.

Nors dauguma pradinių prieigos kampanijų remiasi automatine žvalgyba, kai ataka pereina į praktinę fazę, užpuolikai pasinaudos savo žiniomis ir įgūdžiais, kad bandytų nugalėti aplinkoje esančius saugumo produktus.

Išpirkos reikalaujančių programų įsilaužėliai yra motyvuoti lengvu pelnu, todėl jų išlaidų didinimas sustiprinant saugą yra labai svarbus siekiant sutrikdyti kibernetinių nusikaltėlių ekonomiką. Toks žmogiškasis sprendimų priėmimas reiškia, kad net jei saugos produktai aptinka tam tikrus atakos etapus, patys užpuolikai nėra visiškai pašalinami; jie bando tęsti ataką, jei jos nesustabdo saugos kontrolė. Daugeliu atvejų, jei antivirusinis produktas aptinka ir užblokuoja įrankį ar naudingąją apkrovą, užpuolikai tiesiog paima kitą įrankį arba pakeičia savo paketo turinį.

Užpuolikai taip pat žino apie saugumo operacijų centro (SOC) reagavimo laiką ir aptikimo priemonių galimybes bei apribojimus. Kol ataka pasieks atsarginių kopijų ar šešėlinių kopijų ištrynimo stadiją, iki išpirkos programos įdiegimo turėtų praeiti kelios minutės. Priešininkas tikriausiai jau būtų atlikęs žalingus veiksmus, tokius kaip duomenų perdavimas. Šios žinios yra labai svarbios SOC, reaguojančioms į išpirkos reikalaujančias programas: norint suvaldyti žmogiškąjį priešininką, labai svarbu ištirti tokius aptikimo atvejus, kaip „Cobalt Strike“, prieš pradedant išpirkos reikalaujančios programos diegimo etapą, greitai atlikti taisomuosius veiksmus ir reagavimo į incidentus (IR) procedūras.

Apsaugos nuo grėsmių stiprinimas išvengiant nuovargio dėl įspėjimų

Ilgalaikė saugos strategija prieš ryžtingus žmogiškuosius priešus turi apimti aptikimo ir poveikio mažinimo tikslus. Vien aptikti nepakanka, nes 1) kai kurių įsiskverbimo atvejų praktiškai neįmanoma aptikti (jie atrodo kaip keli nekalti veiksmai) ir 2) neretai išpirkos reikalaujančios programinės įrangos atakų nepastebima dėl nuovargio, kurį sukelia daugybė skirtingų saugumo produktų įspėjimų.

Kadangi įsilaužėliai turi daugybę būdų, kaip apeiti ir išjungti saugumo produktus, ir gali imituoti geranorišką administratoriaus elgesį, kad kuo geriau įsiterptų į aplinką, IT saugumo komandos ir SOC turėtų savo aptikimo pastangas paremti saugumo stiprinimo priemonėmis.

Išpirkos reikalaujančių programų įsilaužėliai yra motyvuoti lengvu pelnu, todėl jų išlaidų didinimas sustiprinant saugą yra labai svarbus siekiant sutrikdyti kibernetinių nusikaltėlių ekonomiką.

Štai keletas veiksmų, kurių organizacijos gali imtis, kad apsisaugotų:

 

  • Sukurkite kredencialų higieną. Logiškai suskirstykite tinklą pagal teises, kurias galima suteikti atitinkamiems tinklo segmentams, kad būtų sunkiau judėti horizontaliai.
  • Atskleiskite audito kredencialus. Kredencialų atskleidimo tikrinimas yra būtinas, siekiant apsisaugoti nuo išpirkos reikalaujančių programų atakų ir bendrai nuo kibernetinių nusikaltimų. IT saugos komandos ir SOC gali bendromis jėgomis sumažinti administravimo teises ir išsiaiškinti, kuriame lygmenyje atskleidžiami jų kredencialai.
  • Debesies grūdinimas. Įsibrovėliams kėsinantis į debesies išteklius, labai svarbu saugoti debesies išteklius ir tapatybes kaip ir vietines paskyras. Saugos komandoms vertėtų susitelkti į saugos identifikatorių infrastruktūros stiprinimą, taikant kelių dalių autentifikavimą (MFA) visose paskyrose ir taikant debesies administratoriams / nuomotojų administratoriams tokį pat saugos lygį ir kredencialų higieną kaip ir domenų administratoriams.
  • Uždarykite akląsias saugos zonas. Organizacijoms būtina patikrinti, ar jų saugos įrankiai veikia su optimaliomis konfigūracijomis, ir reguliariai tikrinti tinklą, kad saugos produktai garantuotai saugotų visas sistemas.
  • Sumažinkite atakos pažeidžiamą sritį. Nustatykite atakos pažeidžiamos srities mažinimo taisykles, kad užkirstumėte kelią dažniausiems įsilaužimo metodams, naudojamiems išpirkos reikalaujančių programų atakose. Stebėdami skirtingų grupuočių išpirkos reikalaujančių programų atakas, matome, kad aiškiai apibrėžtas taisykles taikančios organizacijos sugeba sumažinti atakų žalą pradiniuose etapuose ir užkerta kelią naudotis klaviatūra.
  • Įvertinkite perimetrą. Organizacijos privalo nustatyti ir apsaugoti perimetro sistemas, kuriomis užpuolikai gali pasinaudoti norėdami patekti į tinklą. Duomenims papildyti galima naudoti viešąsias nuskaitymo sąsajas, pvz.
  • Sustiprinkite prie interneto prijungto turto apsaugą. Išpirkos reikalaujančios programinės įrangos įsilaužėliai ir prieigos tarpininkai naudojasi neištaisytomis pažeidžiamomis vietomis, nesvarbu, ar jos jau atskleistos, ar „nulinės dienos“, ypač pradiniame prieigos etape. Jie taip pat greitai perima naujus pažeidžiamumus. Norėdamos dar labiau sumažinti pažeidžiamumą, organizacijos gali naudoti grėsmių ir pažeidžiamumų valdymo galinių punktų aptikimo ir reagavimo produktų funkcijas, kad aptiktų, nustatytų prioritetus ir ištaisytų pažeidžiamumus bei klaidingas konfigūracijas.
  • Pasiruoškite atkūrimui. Geriausia apsauga nuo išpirkos reikalaujančios programinės įrangos turėtų apimti greito atkūrimo atakos atveju planus. Atsigauti po atakos kainuos pigiau nei mokėti išpirką, todėl reguliariai darykite svarbiausių sistemų atsargines kopijas ir saugokite šias atsargines kopijas nuo tyčinio ištrynimo ir užšifravimo. Jei įmanoma, atsargines kopijas saugokite internetinėje nekeičiamoje saugykloje arba visiškai neprijungtas prie interneto ar kitoje vietoje.
  • Tolesnė apsauga nuo išpirkos reikalaujančių programų atakų. Dėl daugialypės naujosios išpirkos reikalaujančių programų ekonomikos grėsmės ir žmogaus valdomų išpirkos reikalaujančių programų atakų neapčiuopiamumo organizacijos turi laikytis visapusiško požiūrio į saugumą.

Pirmiau aprašyti veiksmai padės apsisaugoti nuo įprastų atakų modelių ir padės išvengti išpirkos reikalaujančios programinės įrangos atakų. Kad dar labiau sustiprintumėte apsaugą nuo tradicinių ir žmogaus valdomų išpirkos reikalaujančių programų ir kitų grėsmių, naudokite saugumo įrankius, galinčius užtikrinti išsamų matomumą tarp skirtingų sričių ir suvienodintas tyrimo galimybes.

Papildomą išpirkos reikalaujančių programų apžvalgą su patarimais ir geriausia prevencijos, aptikimo ir ištaisymo praktika rasite Apsaugokite savo organizaciją nuo išpirkos reikalaujančių programų, o dar išsamesnės informacijos apie žmonių valdomas išpirkos reikalaujančias programas rasite vyresniosios saugumo tyrėjos Jessicos Payne straipsnyje „Išpirkos reikalaujančios programos kaip paslauga“: Kibernetinių nusikaltimų ekonomikos supratimas ir kaip apsisaugoti.

Susiję straipsniai

„Cyber Signals“ Nr. 2: Reketo ekonomika

Iš ekspertų išgirskite apie išpirkos reikalaujančių programų kaip paslaugos plėtrą. Sužinokite apie kibernetinių nusikaltėlių naudojamus įrankius, taktiką ir taikinius – nuo programų ir paketų turinio iki prieigos tarpininkų ir partnerių – ir gaukite patarimų, kaip apsaugoti savo organizaciją.
Sužinokite daugiau

„Expert Profile“: Nick Carr

„Microsoft“ grėsmių žvalgybos centro kibernetinių nusikaltimų žvalgybos komandos vadovas Nickas Carras aptaria išpirkos reikalaujančių programų tendencijas, paaiškina, ką „Microsoft“ daro, kad apsaugotų klientus nuo išpirkos reikalaujančių programų, ir nurodo, ką organizacijos gali daryti, jei nuo jų nukentėjo.
Sužinokite daugiau

Apsaugokite savo organizaciją nuo išpirkos reikalaujančių programų

Pažvelkite į nusikaltėlius, veikiančius pogrindinėje išpirkos reikalaujančių programų ekonomikoje. Padėsime jums suprasti išpirkos reikalaujančių programų atakų motyvus bei mechanizmą ir pateiksime geriausias apsaugos, atsarginių kopijų darymo ir atkūrimo praktikas.
Sužinokite daugiau