Știința extorcării
Urmăriți informarea digitală Semnale cibernetice în care Vasu Jakkal, vicepreședinte corporativ Microsoft Security, intervievează experți de top în investigarea amenințărilor despre industria ransomware și cum pot organizațiile să se protejeze.
Informare digitală: Cum vă puteți proteja împotriva industriei ransomware
Noul model de business oferă detalii proaspete apărătorilor
Așa cum multe industrii s-au orientat către lucrătorii independenți pentru un plus de eficiență, așa și infractorii cibernetici preferă să-și închirieze sau să-și vândă instrumentele ransomware pentru o parte din profit, în loc să efectueze chiar ei atacurile respective.
RaaS coboară bariera de intrare și ascunde identitatea atacatorilor din spatele cererii de răscumpărare. Unele programe au peste 50 de „afiliați”, așa cum aleg să-și numească utilizatorii serviciilor, cu diverse instrumente, metode și obiective. Așa cum oricine are o mașină poate să conducă pentru un serviciu de tip ridesharing, așa și oricine are un laptop, o carte de credit și dorința de a căuta pe dark web instrumente pentru teste de penetrare sau malware gata făcut se poate alătura acestei industrii.
Această industrializare a infracțiunii cibernetice a creat roluri specializate, cum ar fi agenții de acces care vând accesul la rețele. De obicei, o singură compromitere implică mai mulți infractori cibernetici în etape diferite ale intruziunii.
Kiturile RaaS sunt ușor de găsit pe dark web și sunt promovate în același mod în care se face publicitate diverselor bunuri pe internet.
Un kit RaaS poate să includă asistență pentru clienți, oferte la pachet, recenzii ale utilizatorilor, forumuri și alte caracteristici. Infractorii cibernetici pot plăti un preț fix pentru un kit RaaS, în timp ce alte grupuri care vând RaaS folosind modelul afilierii pot încasa un procent din profit.
Atacurile ransomware implică decizii pe baza configurațiilor rețelelor și diferă pentru fiecare victimă, chiar dacă sarcina ransomware este aceeași. Ransomware-ul culminează cu un atac ce poate include furtul de date și alte acțiuni de impact. Natura interconectată a industriei infractorilor cibernetici poate face ca intruziuni ce nu au aparent nicio legătură să se dezvolte valorificându-se reciproc. Malware-ul de tip infostealer, care fură parole și module cookie, este tratat ca fiind mai puțin grav, dar infractorii cibernetici vând aceste parole pentru a permite alte atacuri.
Aceste atacuri urmează un șablon pentru accesul inițial prin intermediul unei infecții cu malware sau exploatarea unei vulnerabilități, urmată de furtul acreditărilor pentru a spori privilegiul și a permite mișcarea laterală. Industrializarea permite efectuarea de atacuri ransomware prolifice și de impact de către atacatori nesofisticați, care nu au competențe avansate. De la încetarea activității Conti, am observat schimbări în peisajul ransomware. Unii afiliați care implementau Conti au trecut la sarcini din ecosisteme RaaS cunoscute, precum LockBit și Hive, în timp ce alții implementează simultan sarcini din mai multe ecosisteme RaaS.
Noile oferte RaaS, cum ar fi QuantumLocker și Black Basta, umplu golul lăsat de încetarea activității Conti. Întrucât majoritatea relatărilor despre ransomware se axează pe sarcini în loc de actori, această schimbare a sarcinii poate crea confuzie printre instituțiile guvernamentale, forțele de ordine, instituțiile de presă, cercetătorii în materie de securitate și apărători în legătură cu cine anume se află în spatele atacurilor.
Raportările despre ransomware par să descrie o problemă care crește la nesfârșit. În realitate, este vorba despre un set finit de actori care folosesc un set de tehnici.
Recomandări:
- Creați o igienă a informațiilor de conectare: Dezvoltați o segmentare a rețelei logice în funcție de privilegii, care poate fi implementată împreună cu segmentarea rețelei pentru a limita mișcarea laterală.
- Auditați expunerea informațiilor de conectare: Auditarea expunerii informațiilor de conectare este esențială pentru prevenirea atacurilor ransomware și a infracțiunilor cibernetice în general. Echipele de securitate IT și centrele de operațiuni de securitate lucrează împreună pentru a reduce privilegiile de admin și a înțelege nivelul la care le sunt expuse informațiile de conectare.
- Reduceți suprafața de atac: Stabiliți reguli pentru reducerea suprafeței de atac, pentru a împiedica tehnicile de atac comune folosite în atacurile ransomware. În atacurile observate ale mai multor grupuri cu activități asociate ransomware-ului, organizațiile care aveau reguli clar definite au putut atenua atacurile în etapele inițiale, împiedicând activitatea manuală de la tastatură.
Infractorii cibernetici adaugă extorcarea dublă la strategia de atac
Ransomware-ul există pentru a stoarce bani de la victime. În plus, majoritatea programelor RaaS actuale scurg datele furate, adică recurg la extorcare dublă. Întrucât întreruperile au reacții adverse și guvernele perturbă tot mai mult activitatea operatorilor de ransomware, unele grupuri renunță la ransomware și urmăresc extorcarea datelor.
Două grupuri axate pe extorcare sunt DEV-0537 (sau LAPSUS$) și DEV-0390 (fost afiliat Conti). Intruziunile DEV-0390 își au originea în malware, dar folosesc instrumente legitime pentru a fura date și a stoarce bani. Acest grup implementează instrumente pentru teste de penetrare precum Cobalt Strike, Brute Ratel C4 și utilitarul legitim de gestionare de la distanță Atera pentru a păstra accesul la victime. DEV-0390 escaladează privilegiile furând informații de conectare, localizează datele confidențiale (deseori, de pe serverele de fișiere și de backup ale firmei) și trimite datele către un site de distribuire a fișierelor din cloud, folosind un utilitar de backup pentru fișiere.
DEV-0537 folosește o strategie și metode foarte diferite. Accesul inițial este obținut prin achiziționarea informațiilor de conectare din rețeaua infracțională subterană sau de la angajați din organizațiile vizate.
Probleme
- Parole furate și identități neprotejate
Mai mult decât malware, atacatorii au nevoie de acreditări pentru a reuși. În aproape toate implementările de ransomware reușite, atacatorii obțin acces la conturi privilegiate, la nivel de administrator, care oferă acces larg la rețeaua unei organizații. - Produse de securitate dezactivate sau lipsă
Aproape în fiecare incident ransomware observat, cel puțin un sistem exploatat în atac avea produse de securitate lipsă sau configurate greșit, permițându-le intrușilor să modifice sau să dezactiveze anumite protecții. - Aplicații configurate greșit sau abuzate
Este posibil să folosiți o aplicație pentru un scop, dar asta nu înseamnă că infractorii nu o pot transforma în armă pentru un alt obiectiv. Prea des, configurațiile „moștenite” înseamnă că o aplicație se află în starea implicită, permițând oricărui utilizator acces larg la organizații întregi. Nu treceți cu vederea acest risc și nu ezitați să modificați setările aplicațiilor de teamă că vor exista întreruperi. - Aplicare lentă a corecțiilor
Este un clișeu, la fel ca „Pentru o viață sănătoasă, consumați zilnic minimum doi litri de lichide”, dar este un aspect esențial: Cea mai bună modalitate de a întări software-ul este să-l mențineți la zi. În timp ce unele aplicații în cloud se actualizează fără vreo acțiune din partea utilizatorului, firmele trebuie să aplice imediat corecțiile furnizorilor. În 2022, Microsoft observă că vulnerabilitățile vechi sunt în continuare un factor determinant în atacuri. - Parole furate și identități neprotejate
Mai mult decât malware, atacatorii au nevoie de acreditări pentru a reuși. În aproape toate implementările de ransomware reușite, atacatorii obțin acces la conturi privilegiate, la nivel de administrator, care oferă acces larg la rețeaua unei organizații. - Produse de securitate dezactivate sau lipsă
Aproape în fiecare incident ransomware observat, cel puțin un sistem exploatat în atac avea produse de securitate lipsă sau configurate greșit, permițându-le intrușilor să modifice sau să dezactiveze anumite protecții. - Aplicații configurate greșit sau abuzate
Este posibil să folosiți o aplicație pentru un scop, dar asta nu înseamnă că infractorii nu o pot transforma în armă pentru un alt obiectiv. Prea des, configurațiile „moștenite” înseamnă că o aplicație se află în starea implicită, permițând oricărui utilizator acces larg la organizații întregi. Nu treceți cu vederea acest risc și nu ezitați să modificați setările aplicațiilor de teamă că vor exista întreruperi. - Aplicare lentă a corecțiilor
Este un clișeu, la fel ca „Pentru o viață sănătoasă, consumați zilnic minimum doi litri de lichide”, dar este un aspect esențial: Cea mai bună modalitate de a întări software-ul este să-l mențineți la zi. În timp ce unele aplicații în cloud se actualizează fără vreo acțiune din partea utilizatorului, firmele trebuie să aplice imediat corecțiile furnizorilor. În 2022, Microsoft observă că vulnerabilitățile vechi sunt în continuare un factor determinant în atacuri.
Acțiuni
- Autentificați identitățile Impuneți autentificarea multifactor (MFA) pe toate conturile, cu prioritate pentru rolurile de administrator și alte roluri din sfera confidențialității. Dacă forța de muncă este hibridă, solicitați MFA pe toate dispozitivele, din toate locațiile și în orice moment. Activați autentificarea fără parolă, cum ar fi cheile FIDO sau Microsoft Authenticator, pentru aplicațiile care o acceptă.
- Adresați unghiurile moarte în materie de securitate
Asemenea alarmelor de incendiu, produsele de securitate trebuie instalate în spațiile corecte și trebuie testate frecvent. Verificați că instrumentele de securitate funcționează cu cea mai securizată configurație posibil și că nicio parte a rețelei nu este neprotejată. - Consolidați activele care intră în contact cu internetul
Luați în calcul ștergerea aplicațiilor nefolosite sau redundante pentru a elimina serviciile riscante pe care nu le folosiți. Aveți grijă unde permiteți aplicații de ajutor la distanță, precum TeamViewer. Se știe că acestea sunt vizate de actorii de amenințare pentru a obține acces rapid la laptopuri. - Mențineți sistemele la zi
Faceți din inventarierea software-ului un proces continuu. Țineți evidența a ce rulați și acordați prioritate asistenței pentru aceste produse. Folosiți capacitatea de a remedia rapid și concludent pentru a evalua unde este benefică tranziția la servicii în cloud.
Înțelegând natura interconectată a identităților și relațiile de încredere din ecosistemele tehnologiei moderne, aceste grupuri vizează telecomunicațiile, tehnologia, serviciile IT și firmele de asistență pentru a valorifica accesul la o organizație pentru a pătrunde în rețelele partenerilor sau furnizorilor. Atacurile care sunt doar de extorcare demonstrează că apărătorii rețelei trebuie să privească dincolo de stadiul final al ransomware-ului și să urmărească îndeaproape furtul de date și mișcarea laterală.
Dacă un actor de amenințare plănuiește să extorcheze o organizație pentru a le menține datele private, sarcina ransomware este cea mai puțin semnificativă și cea mai puțin valoroasă parte a strategiei de atac. În cele din urmă, operatorul este cel care alege ce să implementeze, iar ransomware-ul nu reprezintă întotdeauna marele câștig pe care-l caută toți actorii de amenințare.
Deși ar putea să pară că ransomware-ul sau extorcarea dublă sunt rezultatul inevitabil al unui atac efectuat de un atacator sofisticat, ransomware-ul este, de fapt, un dezastru care poate fi evitat. Baza pe care și-o pun atacatorii în punctele slabe ale securității înseamnă că investițiile în igiena cibernetică contează foarte mult.
Vizibilitatea unică a Microsoft ne oferă o lentilă prin care să vedem activitatea actorilor de amenințare. În loc să se bazeze pe postări de pe forumuri sau scurgerile unor discuții pe chat, echipa noastră de experți în securitate studiază noile tactici ransomware și investighează amenințările, pentru ajustarea soluțiilor noastre de securitate.
Protecția împotriva amenințărilor integrată pe toate dispozitivele, identitățile, aplicațiile, e-mailurile, datele și mediile cloud ne ajută să identificăm atacurile care altfel ar fi fost etichetate ca având atacatori multipli când, de fapt, reprezintă un singur set de infractori criminali. Unitatea noastră pentru combaterea infracțiunilor cibernetice, alcătuită din experți tehnici, juridici și de business, lucrează în continuare cu forțele de ordine pentru a perturba și întrerupe infracțiunile cibernetice
Recomandări:
Microsoft are recomandări aprofundate la https://go.microsoft.com/fwlink/?linkid=2262350.
Ascultați-o pe Emily Hacker, analist de investigare a amenințărilor, despre cum rămâne echipa ei la curent cu peisajul schimbător al ransomware-ului ca serviciu.
A dirijat eliminarea a peste 531.000 de URL-uri de phishing unice și 5.400 de kituri de phishing între iulie 2021 și iunie 2022, ducând la identificarea și închiderea a peste 1.400 de conturi de e-mail rău intenționate, folosite pentru a colecta informațiile de conectare furate ale clienților.1
Timpul mediu pentru ca un atacator să vă acceseze datele private în cazul în care deveniți victime ale unui e-mail de phishing este de o oră și 12 minute.1
Timpul mediu pentru ca un atacator să înceapă să se miște lateral în rețeaua dvs. corporativă în cazul în care un dispozitiv este compromis este de o oră și 42 de minute.1
- [1]
Metodologie: Pentru datele instantaneelor, platformele Microsoft, inclusiv Defender și Azure Active Directory, și Unitatea noastră pentru combaterea infracțiunilor digitale au furnizat date anonimizate privind activitatea de amenințare, cum ar fi conturile de e-mail rău intenționate, e-mailurile de phishing și mișcările atacatorilor în rețele. Detaliile suplimentare provin din cele 43 de trilioane de semnale de securitate zilnice obținute în cadrul Microsoft, inclusiv din cloud, puncte finale, perimetrul inteligent, precum și de la echipele noastre de Practici de recuperare a securității în caz de compromitere și Detectare și răspuns.
Urmăriți Microsoft Security