Pozrite si digitálny brífing Cyber Signals, kde Vasu Jakkal, viceprezident pre zabezpečenie od spoločnosti Microsoft, vedie rozhovory s poprednými odborníkmi na analýzu hrozieb o ekonomike ransomwaru a o tom, ako sa môžu organizácie chrániť.
Ako sa mnohé odvetvia zamerali na dočasných pracovníkov na voľnej nohe pre efektívnosť, tak aj počítačoví zločinci im prenajímajú alebo predávajú nástroje ransomwaru za časť zisku namiesto toho, aby útoky vykonávali sami.
RaaS znižuje bariéru na vstupe a zahmlieva identitu útočníkov, ktorí stoja za výkupným. Niektoré programy majú viac ako 50 „partnerov“, keďže odkazujú na používateľov ich služby, s rôznymi nástrojmi, obchodnými postupmi a cieľmi. Ako každý, kto má auto, môže jazdiť a ponúkať spolujazdu ako službu, tak aj každý s prenosným počítačom a kreditnou kartou, kto je ochotný vyhľadávať na dark webe penetračné testovacie nástroje alebo hotový malvér, môže vstúpiť do tejto ekonomiky.
S touto industrializáciou počítačového zločinu prišli špecializované roly, ako sú sprostredkovatelia prístupu, ktorí predávajú prístup k sieťam. Aj pri jedinom ohrození často ide o viacerých počítačových zločincov v rôznych štádiách neoprávneného vniknutia.
Súpravy RaaS sa dajú ľahko nájsť na dark webe a inzerujú sa rovnakým spôsobom, akým sa inzeruje tovar na celom internete.
Súprava RaaS môže obsahovať podporu služieb pre zákazníkov, zbalené ponuky, používateľské recenzie, fóra a ďalšie prvky. Počítačoví zločinci môžu zaplatiť stanovenú cenu za súpravu RaaS, zatiaľ čo iné skupiny, ktoré predávajú RaaS podľa partnerského modelu, si zoberú percento zo zisku.
Pri ransomwarových útokoch dochádza k rozhodnutiam založeným na konfiguráciách sietí a v prípade každej obete sa líšia, a to aj vtedy, keď je obsah ransomwaru rovnaký. Ransomware vrcholí útokom, ktorý môže predstavovať exfiltráciu údajov a iné vplyvy. Vzhľadom na prepojený charakter ekonomiky počítačového zločinu môžu zdanlivo nesúvisiace neoprávnené vniknutia na seba nadväzovať. S malvérom Infostealer, ktorý kradne heslá a súbory cookie, sa zaobchádza menej prísne, ale počítačoví zločinci tieto heslá predávajú a umožňujú tak ďalšie útoky.
Tieto útoky postupujú podľa šablóny počiatočného prístupu cez malvérovú infekciu alebo zneužitie zraniteľnosti a následne krádeže prihlasovacích údajov na zvýšenie úrovne oprávnení a bočný pohyb. Industrializácia umožňuje útočníkom vykonávať rozsiahle a vplyvné ransomwarové útoky bez vysokej úrovne alebo pokročilých zručností. Od vypnutia ransomwaru Conti sme v oblasti ransomwaru pozorovali zmeny. Niektorí partneri, ktorí nasadzovali Conti, prešli na údajové časti zo zavedených ekosystémov RaaS, ako sú LockBit a Hive, zatiaľ čo iní súčasne nasadzovali údajové časti z viacerých ekosystémov RaaS.
Prázdny priestor, ktorý zostal po vypnutí ransomwaru Conti, vypĺňajú nové RaaS, ako sú QuantumLocker a Black Basta. Keďže väčšina ransomwarového pokrytia je zameraná na údajové časti namiesto aktérov, tento prechod na údajové časti pravdepodobne spôsobí to, že štátna správa, orgány činné v trestnom konaní, médiá, výskumníci v oblasti zabezpečenia a obrancovia nebudú môcť jednoducho zistiť, kto za útokmi stojí.
Nahlasovanie ransomwaru môže vyzerať ako nekonečný problém so škálovaním, realitou je však konečná množina aktérov, ktorí využívajú množinu techník.
Ransomware existuje na to, aby vynútil platbu od obete. Z väčšiny súčasných programov RaaS aj unikajú ukradnuté údaje, čo sa označuje ako dvojité vydieranie. Keďže výpadky spôsobujú spätnú reakciu a narastá miera narušenia aktivity operátorov ransomwaru zo strany štátnej správy, niektoré skupiny sa ransomwaru vzdávajú a venujú sa dátovému vydieraniu.
Dve skupiny zamerané na vydieranie sú DEV-0537 (aka LAPSUS $) a DEV-0390 (bývalý partner Conti). Neoprávnené vniknutia DEV-0390 začínajú malvérom, ale na exfiltráciu údajov a vynútenie platby používajú legitímne nástroje. Nasadzujú penetračné testovacie nástroje, ako sú Cobalt Strike, Brute Ratel C4, a legitímny nástroj na vzdialenú správu Atera, aby si udržali prístup k obeti. DEV-0390 eskaluje oprávnenia odcudzením prihlasovacích údajov, vyhľadá citlivé údaje (často na podnikových záložných a súborových serveroch) a odošle tieto údaje na lokalitu, kde sa zdieľajú cloudové súbory, pomocou nástroja na zálohovanie súborov.
DEV-0537 používa významne odlišnú stratégiu a obchodné postupy. Počiatočný prístup získa zakúpením prihlasovacích údajov v zločineckom prostredí alebo od zamestnancov cielených organizácií.
Chápu prepojenú povahu identít a vzťahov dôvery v ekosystémoch moderných technológií a zameriavajú sa na telekomunikačné, technologické, IT a podporné spoločnosti, aby využili prístup z jednej organizácie na vstup do partnerských alebo dodávateľských sietí. Z útokov, ktoré pozostávajú iba z vydierania, vyplýva, že ochrancovia siete musia hľadieť aj za hranice ransomwaru v koncovej fáze a pozorne sledovať exfiltráciu údajov a bočný pohyb.
Ak aktér hrozby plánuje vydierať organizáciu, aby sa jej údaje uchovali v súkromí, údajová časť ransomwaru je najmenej významnou a najmenej hodnotnou súčasťou stratégie útoku. V konečnom dôsledku je na operátorovi, čo sa rozhodne nasadiť, a ransomware nie je vždy tou veľkou výhrou, po ktorej ide každý aktér hrozby.
Aj keď sa ransomware alebo dvojité vydieranie môže zdať nevyhnutným výsledkom útoku sofistikovaného útočníka, ransomware je katastrofa, ktorej sa dá vyhnúť. To, že útočníci sa spoliehajú na slabé miesta zabezpečenia, znamená, že investície do kybernetickej hygieny dosahujú veľký úspech.
Jedinečná viditeľnosť spoločnosti Microsoft približuje pohľad na aktivitu aktérov hrozieb. Namiesto toho, aby sa náš tím expertov na zabezpečenie spoliehal na príspevky vo fórach alebo úniky z chatov, študuje nové taktiky ransomwaru a vyvíja analýzu hrozieb, ktorá poskytuje informácie pre naše riešenia zabezpečenia.
Integrovaná ochrana pred bezpečnostnými hrozbami vo všetkých zariadeniach, identitách, aplikáciách, e-mailoch, údajoch a v cloude nám pomáha identifikovať útoky, ktoré by sa označili ako útoky viacerých aktérov, hoci v skutočnosti ide o jednu skupinu počítačových zločincov. Naša jednotka na boj proti digitálnym zločinom, ktorú tvoria technickí, právni a obchodní experti, naďalej spolupracuje s orgánmi činnými v trestnom konaní s cieľom narušiť počítačový zločin.
Spoločnosť Microsoft uvádza podrobné odporúčania na stránke https://go.microsoft.com/fwlink/?linkid=2262350.
Vypočujte si, čo analytička hrozieb Emily Hackerová hovorí o tom, ako si jej tím udržiava prehľad o prostredí RaaS (ransomware ako služba).
Metodika: Pokiaľ ide o snímkové údaje, platformy vrátane služieb Defender a Azure Active Directory a naša jednotka na boj proti digitálnym zločinom poskytli anonymizované údaje o aktivitách hrozieb, ako sú škodlivé e-mailové kontá, phishingové e-maily a pohyb útočníkov v sieťach. Ďalšie poznatky pochádzajú zo 43 biliónov denných bezpečnostných signálov získaných v rámci spoločnosti Microsoft vrátane cloudu, koncových bodov, inteligentnej hrany a našich tímov pre zotavenie po ohrození zabezpečenia a pre detekciu a reakciu.
Sledujte Microsoft