Trace Id is missing

Programmatūra kā pakalpojums: Industriālā kibernozieguma jaunā seja

Divas bultas, kas uzliktas uz līnijas un vērstas viena pret otru dažādos virzienos

 Kibernoziegumu jaunākais biznesa modelis — cilvēku vadīti uzbrukumi — iedrošina dažādu iespēju noziedzniekus.

Izspiedējprogrammatūra, viens no noturīgākajiem un izplatītākajiem kiberdraudiem, turpina attīstīties, un tās jaunākā forma rada jaunu draudu organizācijām visā pasaulē. Izspiedējprogrammatūru attīstība nav saistīta ar jauniem tehnoloģiju sasniegumiem. Tā vietā tiek piedāvāts jauns biznesa modelis:izspiedējprogrammatūra kā pakalpojums (RaaS).

Izspiedējprogrammatūra kā pakalpojums (RaaS) ir vienošanās starp operatoru, kas izstrādā un uztur izspiešanas operāciju rīkus, un sadarbības partneri, kas izplata izspiedējprogrammatūras vērtumu. Ja sadarbības partneris veic veiksmīgu izspiedējprogrammatūras un izspiešanas uzbrukumu, peļņu gūst abas puses.

RaaS modelis samazina ievades barjeru uzbrucējiem, kuriem, iespējams, nav prasmju vai tehnisko līdzekļu, lai izstrādātu savus rīkus, bet kuri var izmantot gatavu ielaušanās testēšanu un sistēmas administratora rīkus, lai veiktu uzbrukumus. Šie zemāka līmeņa noziedznieki var arī vienkārši nopirkt piekļuvi tīklam no zinošākas noziedznieku grupas, kas jau ir pārkāpusi perimetru.

Lai gan RaaS sadarbības partneri izmanto izspiedējprogrammatūras vērtumus, ko nodrošina zinoši operatori, tie nepieder vienai izspiedējprogrammatūras “bandai”. Drīzāk tie ir atsevišķi uzņēmumi, kas darbojas kopējā kibernoziedznieku ekonomikā.

Kibernoziedznieku iespēju uzlabošana un kopējās kibernoziedznieku ekonomikas pieaugums

Izspiedējprogrammatūras kā pakalpojuma modelis ir veicinājis to, ko var paveikt mazāk spējīgi noziedznieki,— strauju precizēšanu un industrializāciju. Agrāk šie mazāk zinošie noziedznieki, iespējams, izmantoja pašu radītu vai iegādātu ļaunprogrammatūru, lai tvērumā veiktu ierobežotas darbības, taču tagad viņi var iegūt visu nepieciešamo — no piekļuves tīkliem līdz izspiedējprogrammatūras vērtumiem — no saviem RaaS operatoriem (protams, par noteiktu samaksu). Daudzās RaaS programmās ir iekļauts arī turpmāks izspiešanas atbalsta piedāvājumu komplekts, tostarp noplūdes vietnes viesošana un integrācija izpirkuma piezīmēs, kā arī atšifrēšanas saskaņošana, maksājuma spiediens un kriptovalūtas transakcijas pakalpojumi.

Tas nozīmē, ka izspiedējprogrammatūras un izspiešanas veiksmīga uzbrukuma ietekme ir vienāda neatkarīgi no uzbrucēja prasmēm.

Tīkla ievainojamību atklāšana un izmantošana... par samaksu

Viens no veidiem, kā RaaS operatori nodrošina vērtību saviem sadarbības partneriem, ir nodrošināt piekļuvi apdraudētiem tīkliem. Piekļuves starpnieki skenē internetu, meklējot ievainojamas sistēmas, kuras viņi var apdraudēt un rezervēt vēlākai peļņai.

Lai uzbrucēji gūtu panākumus, tiem ir nepieciešami akreditācijas dati. Šajos uzbrukumos apdraudētie akreditācijas dati ir tik svarīgi, ka daudzos gadījumos, kad kibernoziedznieki pārdod piekļuvi tīklam, cenā ir iekļauts garantēts administratora konts.

Tas, ko noziedznieki darīs ar iegūto piekļuvi, var ļoti atšķirties atkarībā no grupām un to darba slodzes vai motivācijas. Tāpēc starpposms no sākotnējās piekļuves līdz praktiskai klaviatūras izvietošanai var ilgt no dažām minūtēm līdz dažām dienām vai ilgāk, bet, ja apstākļi to atļauj, bojājumus var nodarīt ļoti ātri. Patiesībā ir novērots, ka vajag mazāk nekā stundu, lai iegūtu pilnu izpirkumu (ieskaitot nodošanu no piekļuves starpnieka RaaS sadarbības partnerim).

Ekonomikas kustība — pastāvīgas un viltīgas piekļuves metodes

Kad uzbrucēji ir ieguvuši piekļuvi tīklam, viņi nevēlas to pamest — pat pēc izpirkuma saņemšanas. Patiesībā izpirkuma maksa var nesamazināt skartā tīkla risku un, iespējams, tikai finansē kibernoziedzniekus, kuri turpinās pelnīt no uzbrukumiem, izmantojot dažādus ļaunprogrammatūras vai izspiedējprogrammatūras vērtumus, līdz upuri tiek iznīcināti.

Nodošana, kas notiek starp dažādiem uzbrucējiem, kad kibernoziedznieku ekonomikā notiek pārejas, nozīmē, ka vidē var pastāvēt vairākas darbības grupas, kuras izmanto dažādas metodes, kas atšķiras no ļaunprogrammatūras uzbrukuma rīkiem. Piemēram, sākotnējā piekļuve, kas iegūta ar bankas Trojas zirgu, noved pie Cobalt Strike izvietošanas, bet RaaS sadarbības partneris, kas iegādājusies piekļuvi, var izvēlēties izmantot attālās piekļuves rīku, piemēram, TeamViewer, lai veiktu savu kampaņu.

Likumīgu rīku un iestatījumu izmantošana, lai turpinātu darbu, salīdzinot ar ļaunprogrammatūras implantiem, piemēram, Cobalt Strike, ir populāra metode ļaunprogrammatūras uzbrucēju vidū, lai izvairītos no atklāšanas un ilgāk uzturētos tīklā.

Vēl viens populārs uzbrucēju paņēmiens ir izveidot jaunus lūkas lietotāja kontus (vietējos vai Active Directory), kurus pēc tam var pievienot attālās piekļuves rīkiem, piemēram, virtuālajam privātajam tīklam (VPN) vai attālajai darbvirsmai. Ir novēroti arī gadījumi, kad izspiedējprogrammatūras uzbrucēji rediģē sistēmu iestatījumus, lai iespējotu attālo darbvirsmu, samazinātu protokola drošību un pievienotu jaunus lietotājus attālās darbvirsmas lietotāju grupai.

Plūsmas shēma, kurā paskaidrots, kā tiek plānoti un īstenoti RaaS uzbrukumi

Saskarsme ar nesasniedzamākajiem un viltīgākajiem kaitniekiem pasaulē

Viena no RaaS apdraudējuma būtiskākajām īpašībām — to vada cilvēki, kuri var pieņemt apzinātus un aprēķinātus lēmumus un mainīt uzbrukuma shēmas, pamatojoties uz tīklos, kuros tie nonāk, atrasto, tādējādi nodrošinot savu mērķu sasniegšanu.

Microsoft ir izveidojis terminu cilvēka darbināta izspiedējprogrammatūra, lai definētu šo uzbrukumu kategoriju kā darbību ķēdi, kuras kulminācija ir izspiedējprogrammatūras vērtums, nevis bloķētu ļaunprogrammatūras vērtumu komplekts.

Lai gan lielākā daļa sākotnējās piekļuves kampaņu ir balstītas uz automatizētu izlūkošanu, tiklīdz uzbrukums pāriet uz praktisko klaviatūras fāzi, uzbrucēji izmanto savas zināšanas un prasmes, lai mēģinātu pārvarēt vidē esošos drošības produktus.

Izspiedējprogrammatūras uzbrucējus motivē viegla peļņa, tāpēc to izmaksu palielināšana, pastiprinot drošību, ir galvenais veids, kā sagraut kibernoziedznieku ekonomiku. Šie cilvēku pieņemtie lēmumi nozīmē, ka pat tad, ja drošības produkti atklāj konkrētus uzbrukuma posmus, paši uzbrucēji netiek pilnībā iznīcināti; viņi mēģina turpināt uzbrukumu, ja drošības kontrole to nav bloķējusi. Daudzos gadījumos, ja pretvīrusu programmas produkts atklāj un bloķē rīku vai vērtumu, uzbrucēji vienkārši izmanto citu rīku vai izmaina vērtumu.

Uzbrucēji ir arī informēti par drošības operāciju centra (SOC) atbildes reakcijas laiku un atklāšanas rīku iespējas un ierobežojumus. Kad uzbrukums nonāk līdz dublējumu vai momentuzņēmumu dzēšanai, līdz izspiedējprogrammatūras izvietošanai būs palikušas tikai dažas minūtes. Kaitnieks, visticamāk, jau būtu veicis kaitīgas darbības, piemēram, datu izvilkšanu. Šīs zināšanas ir ļoti svarīgas SOC, kas reaģē uz izspiedējprogrammatūras gadījumiem: tādu atklājumu kā Cobalt Strike izmeklēšana pirms izspiedējprogrammatūras izvietošanas un tūlītējas koriģēšanas darbības un atbildes uz incidentu (IR) procedūras ir ļoti svarīgas, lai ierobežotu cilvēka vadītu kaitējumu.

Drošības pastiprināšana pret apdraudējumiem, vienlaikus izvairoties no brīdinājumu radīta noguruma

Noturīgai drošības stratēģijai pret apņēmīgu cilvēku vadītiem kaitējumiem jāietver atklāšanas un mazināšanas mērķi. Nepietiek paļauties tikai uz atklāšanu, jo 1) daži infiltrācijas gadījumi ir praktiski nenosakāmi (tie izskatās kā vairākas nevainīgas darbības), un 2) nav nekas neparasts, ka izspiedējprogrammatūras uzbrukumi netiek pamanīti noguruma dēļ, ko izraisa vairāki atšķirīgu drošības produktu brīdinājumi.

Tā kā uzbrucējiem ir vairāki veidi, kā apiet un atspējot drošības produktus, un viņi spēj imitēt labdabīgu administratora uzvedību, lai pēc iespējas labāk iekļautos sistēmā, IT drošības komandām un SOC ir jāpapildina atklāšanas centieni ar drošības pastiprināšanas pasākumiem.

Izspiedējprogrammatūras uzbrucējus motivē viegla peļņa, tāpēc to izmaksu palielināšana, pastiprinot drošību, ir galvenais veids, kā sagraut kibernoziedznieku ekonomiku.

Lūk, daži pasākumi, ko organizācijas var veikt, lai sevi aizsargātu:

 

  • Akreditācijas datu higiēnas veidošana: Izstrādājiet loģisku tīkla segmentāciju, pamatojoties uz privilēģijām, ko var ieviest kopā ar tīkla segmentāciju, lai ierobežotu laterālo kustību.
  • Akreditācijas datu atklāšanas audits: Lai novērstu izspiedējprogrammatūras uzbrukumus un kibernoziegumus kopumā, ir ļoti svarīgi veikt akreditācijas datu auditu. IT drošības komandas un SOC var sadarboties, lai samazinātu administratīvās privilēģijas un saprastu, cik lielā mērā viņu akreditācijas dati ir atklāti.
  • Mākoņa stiprināšana: Tā kā uzbrucēji pārvietojas uz mākoņa resursiem, ir svarīgi aizsargāt mākoņa resursus un identitātes, kā arī lokālos kontus. Drošības komandām ir jākoncentrējas uz drošības identitātes infrastruktūras pastiprināšanu, daudzfaktoru autentifikācijas (MFA) ieviešanu visos kontos un attiekšanos pret mākoņa administratoriem / nomnieka administratoriem ar tādu pašu drošības un akreditācijas datu higiēnas līmeni kā domēna administratoriem.
  • Drošības aklo zonu aizvēršana: Organizācijām jāpārbauda, vai to drošības rīki darbojas optimālā konfigurācijā, un regulāri jāveic tīkla skenēšana, lai nodrošinātu, ka drošības produkts aizsargā visas sistēmas.
  • Uzbrukuma tvēruma samazināšana: Izveidojiet uzbrukumu tvēruma samazināšanas kārtulas, lai novērstu izplatītākās uzbrukumu metodes, kas tiek izmantotas izspiedējprogrammatūras uzbrukumos. Novērotajos vairāku ar izspiedējprogrammatūru saistītu aktivitāšu grupu uzbrukumos organizācijas ar skaidri definētām kārtulām ir spējušas mazināt uzbrukumus to sākumposmā, vienlaikus novēršot praktiskās klaviatūras darbības.
  • Perimetra novērtēšana: Organizācijām ir jāidentificē un jāaizsargā perimetra sistēmas, kuras uzbrucēji varētu izmantot, lai piekļūtu tīklam. Datu papildināšanai var izmantot publiskās skenēšanas interfeisu.
  • Līdzekļu, kam tiek piekļūts no interneta, stiprināšana: Izspiedējprogrammatūras uzbrucēji un piekļuves starpnieki izmanto neielāpotas ievainojamības — gan jau atklātas, gan nulles dienas ievainojamības, jo īpaši sākotnējā piekļuves posmā. Tie arī ātri apgūst jaunas ievainojamības. Lai vēl vairāk samazinātu risku, organizācijas var izmantot draudu un ievainojamību pārvaldības iespējas galapunktu atklāšanas un reaģēšanas produktos, lai atklātu ievainojamības un nepareizas konfigurācijas, piešķirtu šīm problēmām prioritātes un novērstu tās.
  • Sagatavošanās atkopšanai: Labākā aizsardzība pret izspiedējprogrammatūru ietver plānus, kā ātri atkopties uzbrukuma gadījumā. Atkopties pēc uzbrukuma būs lētāk nekā maksāt izpirkumu, tāpēc pārliecinieties, ka regulāri veidojat svarīgāko sistēmu dublējumus un aizsargājiet šos dublējumus pret tīšu dzēšanu un šifrēšanu. Ja iespējams, uzglabājiet dublējumus nemainīgā krātuvē tiešsaistē vai pilnībā bezsaistē vai ārpus tās.
  • Turpmāka aizsardzība pret izspiedējprogrammatūras uzbrukumiem: Jaunās izspiedējprogrammatūras ekonomikas daudzšķautņainie apdraudējumi un cilvēku darbinātas izspiedējprogrammatūras uzbrukumu nenotveramais raksturs liek organizācijām pieņemt visaptverošu drošības pieeju.

Iepriekš aprakstītie soļi palīdzēs aizsargāties pret izplatītākajiem uzbrukumu modeļiem un lielā mērā palīdzēs novērst izspiedējprogrammatūras uzbrukumus. Lai vēl vairāk pastiprinātu aizsardzību pret tradicionālo un cilvēka darbinātu izspiedējprogrammatūru un citiem apdraudējumiem, izmantojiet drošības rīkus, kas var nodrošināt labu starpdomēnu redzamību un vienotas izmeklēšanas iespējas.

Papildu pārskatu par izspiedējprogrammatūru, kā arī padomus un paraugpraksi par to novēršanu, atklāšanu un koriģēšanu skatiet sadaļā Aizsargājiet savu organizāciju no izspiedējprogrammatūras, bet padziļinātāku informāciju par cilvēka vadītu izspiedējprogrammatūru meklējiet vecākās drošības pētnieces Džesikas Peinas (Jessicas Payne) rakstā Izspiedējprogrammatūra kā pakalpojums: Izpratne par kibernoziedzības reižudarba ekonomiku un to, kā sevi aizsargāt.

Saistītie raksti

Kibersignālu 2. izdevums: Nelegāla ekonomiskā darbība

Iegūstiet informāciju no priekšlīnijas ekspertiem par izspiedējprogrammatūras kā pakalpojuma attīstību. No programmām un vērtuma līdz piekļuves brokeriem un partneriem – uzziniet par kibernoziedznieku biežāk izmantotajiem rīkiem, taktiku un mērķiem un iegūstiet vadlīnijas, kas palīdzēs aizsargāt jūsu organizāciju.

Eksperta profils: Niks Karrs (Nick Carr)

Niks Karrs (Nick Carr), Microsoft draudu informācijas centra Kibernoziegumu informācijas komandas vadītājs, stāsta par izspiedējprogrammatūras tendencēm, skaidro, ko dara Microsoft, lai aizsargātu klientus no izspiedējprogrammatūras, un informē, ko organizācijas var darīt, ja tās ir skāruši izspiedējprogrammatūras uzbrukumi.

Savas organizācijas aizsardzība pret izspiedējprogrammatūru

Gūstiet ieskatu par kriminālās pasaules pārstāvjiem, kas darbojas slēptajā izspiedējprogrammatūras ekonomikā. Mēs jums palīdzēsim izprast izspiedējprogrammatūras uzbrukumu motivāciju un shēmas, sniegsim informāciju par aizsardzības labo praksi, kā arī dublēšanu un atkopšanu.