Trace Id is missing

Nelegāla ekonomiskā darbība

Lejupielādēt
Kopīgot
Balts labirints ar krāsainiem apļiem un punktiem

Kibersignālu 2. izdevums: izspiedējprogrammatūras jaunais biznesa modelis

Lai gan izspiedējprogrammatūra joprojām ir populāra ziņu virsrakstu tēma, tomēr šo kibernoziegumu ekonomikas nozari virza relatīvi neliela, savienota dalībnieku ekosistēma. Kibernoziegumu ekonomikas specializācija un konsolidācija ir veicinājusi izspiedējprogrammatūras kā pakalpojuma (RaaS) kļūšanu par dominējošo biznesa modeli, kas sniedz iespēju plašam noziedznieku lokam izvietot izspiedējprogrammatūru neatkarīgi no viņu tehniskajām zināšanām.
Izplatītākās konfigurācijas kļūdas programmatūrā un ierīcēs ir iemesls vairāk nekā 80% izspiedējprogrammatūras uzbrukumu.1

Noskatieties Kibersignālu digitālo kopsavilkumu, kurā Microsoft drošības korporatīvā viceprezidente Vasu Jakkala (Vasu Jakkal) intervē labākos draudu informācijas ekspertus par izspiedējprogrammatūras ekonomiku un to, kā organizācijas var palīdzēt aizsargāt sevi.

Digitāls kopsavilkums: pašaizsardzība pret izspiedējprogrammatūras ekonomiku

Jaunais biznesa modelis piedāvā jaunus ieskatus aizsargātājiem.

Tāpat kā daudzas nozares ir sākušas izmantot pagaidu darbiniekus efektivitātes uzlabošanai, kibernoziedznieki iznomā vai pārdod izspiedējprogrammatūras rīkus, pieprasot daļu peļņas, nevis paši veic uzbrukumus.

Izspiedējprogrammatūra kā pakalpojums sniedz iespēju kibernoziedzniekiem iegādāties piekļuvi izspiedējprogrammatūras vērtumam un datu noplūdei, kā arī maksājumu infrastruktūrai. Izspiedējprogrammatūras “bandas” patiesībā ir RaaS programmas, piemēram, Conti vai REvil, ko izmanto daudzi izpildītāji, kas pārmaiņus izmanto dažādas RaaS programmas un vērtumus.

RaaS mazina šķēršļus uzsākt izspiešanu un maskē aiz tās stāvošo uzbrucēju identitāti. Dažām programmām ir vairāk par 50 ”biedriem” (tā viņi sauc sava pakalpojuma lietotājus) ar dažādiem rīkiem, prasmēm un mērķiem. Tāpat kā ikviens, kam ir mašīna, var piedāvāt kopīgus braucienus, ikviens ar klēpjdatoru, kredītkarti un vēlmi tumšajā tīmeklī meklēt ielaušanās testu rīkus vai gatavu ļaunprogrammatūru var pievienoties šai ekonomikai.

Šāda kibernoziegumu industrializēšana ir radījusi īpašas lomas, piemēram, piekļuves brokerus, kas pārdod piekļuvi tīkliem. Viena apdraudējuma dažādos ielaušanās posmos bieži vien ir iesaistīti vairāki kibernoziedznieki.

RaaS komplektus var viegli sameklēt melnajā tīmeklī, un tie tiek reklamēti tāpat kā preces internetā.

RaaS komplektā var ietilpt klientu atbalsts, piedāvājumu komplekti, lietotāju atsauksmes, forumi un citi līdzekļi. Kibernoziedznieki var maksāt noteiktu cenu par RaaS komplektu, savukārt citas grupas, kas pārdod RaaS biedru modelī, pieprasa noteiktus procentus no peļņas.

Izspiedējprogrammatūras uzbrukumi ietver lēmumus, kas pieņemti, pamatojoties uz tīklu konfigurācijām, un ir atšķirīgi katram upurim pat tad, ja izspiedējprogrammatūras vērtums ir vienāds. Izspiedējprogrammatūras kulminācija ir uzbrukums, kas var ietvert datu eksfiltrāciju un citu ietekmi. Kibernoziedznieku ekonomisko darbību savstarpējās sasaistes dēļ šķietami nesaistīti iebrukumi var tikt veidoti viens pēc otra. Pret informācijas zagšanas ļaunprogrammatūru, kas zog paroles un sīkfailus, vairs neizturas tik stingri, bet kibernoziedznieki pārdod šīs paroles, lai iespējotu citus uzbrukumus.

Šie uzbrukumi notiek tāpat kā sākotnējā piekļuve, izmantojot ļaunprogrammatūras infekciju vai ievainojamību, pēc tam tiek nozagti akreditācijas dati, lai paaugstinātu atļaujas un izplatītos laterāli. Pateicoties industrializācijai, produktīvus un iespaidīgus izspiedējprogrammatūras uzbrukumus var veikt uzbrucēji bez īpašām vai augsta līmeņa prasmēm. Kopš Conti aizvēršanas ir novērotas pārmaiņas izspiedējprogrammatūras vidē. Daži biedri, kas izvietoja Conti, sāka izmantot vērtumus no izveidotām RaaS sistēmām, piemēram, LockBit un Hive, savukārt citi vienlaicīgi izmanto vērtumus no vairākām RaaS ekosistēmām.

Jaunie RaaS, piemēram, QuantumLocker un Black Basta, aizpilda tukšumu, kas radās pēc Conti slēgšanas. Tā kā lielākā daļa izspiedējprogrammatūras pārklājuma koncentrējas uz vērtumiem, nevis izpildītājiem, šī vērtumu maiņa varētu radīt valsts iestāžu, tiesībsargājošo iestāžu, plašsaziņas līdzekļu, drošības pētnieku un aizsargātāju apjukumu par to, kas ir uzbrukumu veicēji.

Pārskati par izspiedējprogrammatūru var šķist kā bezgalīga mēroga problēma, taču realitātē darbojas noteikta izpildītāju grupa, kas izmanto paņēmienu kopumus.

Ieteikumi:

  • Akreditācijas datu higiēnas nodrošināšana. Izstrādājiet loģisku tīkla segmentāciju, pamatojoties uz atļaujām, ko var ieviest kopā ar tīkla segmentāciju, lai ierobežotu laterālo kustību.
  • Akreditācijas datu riska auditēšana. Lai kopumā novērstu izspiedējprogrammatūras uzbrukumus un kibernoziegumus, ir ļoti svarīgi veikt akreditācijas datu auditu. IT drošības komandas un SOC var sadarboties, lai samazinātu administrēšanas tiesības un izprastu, cik lielā mērā viņu akreditācijas dati ir pakļauti riskam.
  • Uzbrukuma tvēruma samazināšana. Izveidojiet uzbrukumu tvēruma samazināšanas kārtulas, lai novērstu izplatītākās uzbrukumu metodes, kas tiek izmantotas izspiedējprogrammatūras uzbrukumos. Novērotajos vairāku ar izspiedējprogrammatūru saistītu aktivitāšu grupu uzbrukumos organizācijas ar skaidri definētām kārtulām ir spējušas mazināt uzbrukumus to sākumposmā, vienlaikus novēršot manuālas darbības ar tastatūru.

Kibernoziedznieki uzbrukuma stratēģijai pievieno divkāršu izspiešanu

Izspiedējprogrammatūra ir paredzēta, lai no upura izspiestu maksu. Jaunākās RaaS programmas nopludina arī nozagtos datus. To dēvē par divkāršu izspiešanu. Tā kā dīkstāves izraisa negatīvu reakciju un valdībām arvien vairāk izdodas apturēt izspiedējprogrammatūras operatorus, dažas grupas atsakās no izspiedējprogrammatūras un turpina izspiešanu, izmantojot datus.

DEV-0537 (arī LAPSUS$) un DEV-0390 (iepriekš saistīta ar Conti) ir divas izspiedēju grupas. DEV-0390 uzbrukumi sākas no ļaunprogrammatūras, bet tajos tiek izmantoti leģitīmi rīki, lai eksfiltrētu datus un izspiestu maksu. Grupa izvieto ielaušanās iespēju testēšanas rīkus, piemēram, Cobalt Strike, Brute Ratel C4 un leģitīmu Atera attālās vadības utilītprogrammu, lai saglabātu piekļuvi upuriem. DEV-0390 eskalē tiesības, nozogot akreditācijas datus, nosaka sensitīvu datu atrašanās vietu (bieži uzņēmumu dublējumu un failu serveros) un nosūta datus uz mākoņfailu, kopīgojot vietni ar failu dublējuma utilītprogrammas palīdzību.

DEV-0537 izmanto ļoti atšķirīgu stratēģiju un paņēmienu. Sākotnējā piekļuve tiek iegūta, nopērkot akreditācijas datus noziedzīgajā tirgū vai no mērķa organizācijas darbiniekiem.

Problēmas

  • Zagtas paroles un neaizsargātas identitātes
    Papildus ļaunprogrammatūrai uzbrucējiem ir nepieciešami arī akreditācijas dati, lai sekmīgi darbotos. Gandrīz visos sekmīgajos izspiedējprogrammatūras izvietošanas gadījumos uzbrucēji iegūst piekļuvi priviliģētiem, administratoru līmeņa kontiem, kas nodrošina plašu piekļuvi organizācijas tīklam.
  • Drošības produktu trūkums vai atspējošana
    Gandrīz katrā novērotajā izspiedējprogrammatūras incidentā vismaz vienā uzbrukumā izmantotajā sistēmā nebija drošības produktu vai tie bija nepareizi konfigurēti. Tas ļāva iebrucējiem sabojāt vai atspējot noteiktus aizsardzības līdzekļus.
  • Nepareizi konfigurētas vai nepareizi lietotas programmas
    Populāru programmu var izmantot vienam mērķim, bet tas nenozīmē, ka noziedznieki to nevar ļaunprātīgi izmantot kādas citam mērķim. Pārāk bieži “mantotās” konfigurācijas nozīmē to, ka programma ir noklusējuma stāvoklī, kas nodrošina jebkuram lietotājam plašu piekļuvi visā organizācijā. Nenovērtējiet par zemu šo risku un nevilcinieties mainīt programmas iestatījumus, baidoties no darbības pārtraukšanas.
  • Kavēšanās ar pielabošanu
    Tā ir klišeja tāpat kā atgādinājums ēst dārzeņus. Taču tā ir kritiski svarīga. Labākais programmatūras stiprināšanas pasākums ir tās atjaunināšana. Dažas mākonī izvietotas programmas tiek atjauninātas bez lietotāja līdzdalības, taču citu piegādātāju ielāpi uzņēmumiem ir jāuzliek nekavējoties. 2022. gadā Microsoft novēroja, ka galvenais uzbrukuma veicinātājs joprojām bija vecākas ievainojamības.
  • Zagtas paroles un neaizsargātas identitātes
    Papildus ļaunprogrammatūrai uzbrucējiem ir nepieciešami arī akreditācijas dati, lai sekmīgi darbotos. Gandrīz visos sekmīgajos izspiedējprogrammatūras izvietošanas gadījumos uzbrucēji iegūst piekļuvi priviliģētiem, administratoru līmeņa kontiem, kas nodrošina plašu piekļuvi organizācijas tīklam.
  • Drošības produktu trūkums vai atspējošana
    Gandrīz katrā novērotajā izspiedējprogrammatūras incidentā vismaz vienā uzbrukumā izmantotajā sistēmā nebija drošības produktu vai tie bija nepareizi konfigurēti. Tas ļāva iebrucējiem sabojāt vai atspējot noteiktus aizsardzības līdzekļus.
  • Nepareizi konfigurētas vai nepareizi lietotas programmas
    Populāru programmu var izmantot vienam mērķim, bet tas nenozīmē, ka noziedznieki to nevar ļaunprātīgi izmantot kādas citam mērķim. Pārāk bieži “mantotās” konfigurācijas nozīmē to, ka programma ir noklusējuma stāvoklī, kas nodrošina jebkuram lietotājam plašu piekļuvi visā organizācijā. Nenovērtējiet par zemu šo risku un nevilcinieties mainīt programmas iestatījumus, baidoties no darbības pārtraukšanas.
  • Kavēšanās ar pielabošanu
    Tā ir klišeja tāpat kā atgādinājums ēst dārzeņus. Taču tā ir kritiski svarīga. Labākais programmatūras stiprināšanas pasākums ir tās atjaunināšana. Dažas mākonī izvietotas programmas tiek atjauninātas bez lietotāja līdzdalības, taču citu piegādātāju ielāpi uzņēmumiem ir jāuzliek nekavējoties. 2022. gadā Microsoft novēroja, ka galvenais uzbrukuma veicinātājs joprojām bija vecākas ievainojamības.

Darbības

  • Identitāšu autentificēšana Nosakiet daudzfaktoru autentifikāciju (MFA) visiem kontiem, prioritizējiet administratora un citas sensitīvas lomas. Vienmēr un visur pieprasiet MFA lietošanu visām hibrīdā darbaspēka iekārtām. Iespējojiet bezparoles autentifikāciju, piemēram, FIDO atslēgas vai Microsoft Authenticator, programmām, kas to atbalsta.
  • Drošības aklo zonu aizvēršana
    Drošības produktiem tāpat kā dūmu detektoriem ir jābūt uzstādītiem atbilstošās vietās, un tie ir regulāri jāpārbauda. Pārbaudiet, vai drošības rīki darbojas drošākajā konfigurācijā un vai visas tīkla daļas ir aizsargātas.
  • Internetam pievienoto resursu stiprināšana
    Apsveriet programmu dublikātu vai nelietoto programmu dzēšanu, lai izbeigtu riskantus, neizmantotus pakalpojumus. Pārdomāti izmantojiet attālās palīdzības programmas, piemēram, TeamViewer. Tās ir bēdīgi slavenas kā draudu izpildītāju mērķis, lai iegūtu ātru piekļuvi portatīvajiem datoriem.
  • Sistēmu pastāvīga atjaunināšana
    Padariet programmatūras inventarizāciju par nepārtrauktu procesu. Sekojiet līdzi tam, ko izmantojat, un prioritizējiet atbalstu šiem produktiem. Izvērtējiet iespēju ātri un pārliecinoši veikt pielabošanu, lai noteiktu, kad būtu labāk pāriet uz mākonī izvietotu pakalpojumu lietošanu.

Izprotot identitāšu un uzticamu attiecību savstarpējo saistību modernās tehnoloģiskajās ekosistēmās, uzbrukumi tiek veikti telekomunikācijām, tehnoloģijām, IT pakalpojumiem un atbalsta uzņēmumiem, lai izmantotu piekļuvi no vienas organizācijas iekļūšanai tās partnera vai piegādātāja tīklos. Uzbrukumi, kas saistīti tikai ar izspiešanu, rāda, ka tīkla aizsargātājiem ir jāskatās tālāk par vienkāršu izspiedējprogrammatūras uzbrukumu un uzmanīgi jāvēro, vai nenotiek datu eksfiltrācija un laterāla virzība.

Ja draudu izpildītājs plāno veikt izspiešanu organizācijā, piedraudot ar datu izpaušanu, izspiedējprogrammatūras vērtums ir visnenozīmīgākā un nevērtīgākā uzbrukuma stratēģijas daļa. Galu galā operators izvēlas, ko izvietot, un izspiedējprogrammatūra ne vienmēr ir laimīgā loze, kuru meklē katrs draudu izpildītājs.

Lai arī izspiedējprogrammatūra un dubultā izspiešana var šķist neizbēgams tāda uzbrukuma rezultāts, ko veic gudrs uzbrucējs, no izspiedējprogrammatūras var izvairīties. Tā kā uzbrucēji izmanto drošības vājās vietas, ieguldījumiem kiberhigiēnā ir liela nozīme.

Microsoft unikālā redzamība nodrošina iespēju ieskatīties draudu izpildītāja darbībās. Mūsu drošības komanda nepaļaujas uz publikācijām forumos vai tērzēšanā, bet pēta jaunas izspiedējprogrammatūras taktikas un izstrādā draudu informāciju, kas tiek ņemta vērā mūsu drošības risinājumos.

Pretdraudu aizsardzība, kas integrēta visās ierīcēs, identitātēs, programmās, e-pastā, datos un mākonī, palīdz mums identificēt uzbrukumus, kas tiktu uzskatīti par vairāku izpildītāju uzbrukumu, kaut gan faktiski to veic viena kibernoziedznieku grupa. Mūsu Digitālo noziegumu apkarošanas struktūrvienība, kurā darbojas tehniskie, juridiskie un uzņēmējdarbības eksperti, turpina sadarboties ar tiesībaizsardzības iestādēm, lai pārtrauktu kibernoziegumus.

Ieteikumi:

Mākoņa stiprināšana. Tā kā uzbrucēji pārvietojas uz mākoņa resursiem, ir svarīgi aizsargāt šos resursus un identitātes, kā arī lokālos kontus. Drošības komandām ir jākoncentrējas uz drošības identitātes infrastruktūras pastiprināšanu, daudzfaktoru autentifikācijas (MFA) ieviešanu visos kontos, kā arī mākoņa administratoriem/nomnieka administratoriem jāizmanto tāds pats drošības un akreditācijas datu higiēnas līmenis kā domēna administratoriem.
Sākotnējās piekļuves novēršana. Novērsiet koda izpildi, pārvaldot makro un skriptus un iespējojot uzbrukumu tvēruma samazināšanas kārtulas.
Drošības aklo zonu aizvēršana. Organizācijām jāpārbauda, vai to drošības rīki darbojas optimālā konfigurācijā, un regulāri jāveic tīkla pārbaude, lai nodrošinātu, ka drošības produkts aizsargā visas sistēmas.

Microsoft sniedz padziļinātus ieteikumus vietnē  https://go.microsoft.com/fwlink/?linkid=2262350.

Uzziniet, ko stāsta draudu informācijas analītiķe Emīlija Hakere (Emily Hacker) par to, kā viņas komanda seko līdzi izspiedējprogrammatūras kā pakalpojuma situācijas izmaiņām.

Microsoft Digitālo noziegumu apkarošanas struktūrvienība (DCU):
Laika posmā no 2021. gada jūlija līdz 2022. gada jūnijam vadīja vairāk nekā 531 000 unikālu pikšķerēšanas vietrāžu URL un 5400 pikšķerēšanas komplektu noņemšanu. Tādējādi tika identificēti un slēgti vairāk nekā 1400 ļaunprātīgi e-pasta konti, kas tika izmantoti, lai vāktu zagtus klientu akreditācijas datus.1
E-pasta draudi:
Mediānais laiks, kas uzbrucējam nepieciešams, lai piekļūtu jūsu privātajiem datiem, ja kļūstat par pikšķerēšanas e-pasta upuri, ir viena stunda un 12 minūtes.1
Galapunkta draudi:
Mediānais laiks, kas uzbrucējam nepieciešams, lai sāktu pārvietoties laterāli jūsu korporatīvajā tīklā, ja ierīce ir apdraudēta, ir viena stunda un 42 minūtes.1
  1. [1]

    Metodoloģija: Attiecībā uz momentuzņēmumu datiem Microsoft platformas Defender, Azure Active Directory un mūsu Digitālo noziegumu apkarošanas struktūrvienība sniedza anonīmus datus par draudu darbībām, piemēram, ļaunprātīgiem e-pasta kontiem, pikšķerēšanas e-pastiem un uzbrucēju pārvietošanos tīklos. Papildu informācija tiek iegūta no 43 triljoniem drošības signālu, kas katru dienu tiek iegūti visā korporācijā Microsoft, tostarp mākonī, galapunktos, viedajās robežierīcēs, kā arī mūsu apdraudējumu novēršanas drošības dienesta un atklāšanas un reaģēšanas komandās.

Kibersignāli Kibernoturība Izspiedējprogrammatūra Draudu izpildītāji

Eksperta profils: Emīlija Hakere

Draudu informācijas analītiķe Emīlija Hakere (Emily Hacker) stāsta par to, kā viņas komanda iegūst jaunāko informāciju par izspiedējprogrammatūras kā pakalpojuma izmaiņām un pasākumiem, ko veic komanda, lai palīdzētu notvert izpildītājus pirms izspiedējprogrammatūras darbības sākuma.
Papildinformācija

Kibersignāli: 3. izdevums. Pieaugošā IoT izmantošana un risks operatīvajām tehnoloģijām

Pieaugošā IoT izmantošana pakļauj OT riskam, radot virkni potenciālu ievainojamību un iespēju draudu izpildītājiem. Uzziniet, kā aizsargāt savu organizāciju
Papildinformācija

Kibersignāli: 1. izdevums

Identitāte ir jaunā cīņas vieta. Iegūstiet ieskatu par mainīgajiem kibernoziegumiem un to, kādas darbības jāveic, lai labāk aizsargātu savu organizāciju.
Papildinformācija

Sekot korporācijai Microsoft