Ransomware ako služba: Nová tvár industrializovaného počítačového zločinu

Model ransomwaru ako služby umožnil rýchle zdokonalenie a industrializáciu toho, čo dokážu menej schopní zločinci. V minulosti mohli títo menej sofistikovaní zločinci používať komoditný škodlivý softvér, ktorý si sami vytvorili alebo zakúpili, na vykonávanie útokov s obmedzeným rozsahom, ale teraz môžu získať všetko, čo potrebujú – od prístupu k sieťam až po kód ransomwaru – od svojich operátorov RaaS (samozrejme, za určitú cenu). Mnohé programy RaaS ďalej obsahujú balík podporných služieb pre vydieranie vrátane hostingu lokalít na zverejnenie uniknutých údajov a integrácie do žiadostí o výkupné, ako aj vyjednávania o dešifrovaní, tlaku na zaplatenie a transakčných služieb v kryptomenách.

To znamená, že vplyv úspešného útoku ransomwaru a vydierania zostáva rovnaký bez ohľadu na schopnosti útočníka.

Jedným zo spôsobov, ako operátori RaaS poskytujú hodnotu svojim partnerom, je poskytovanie prístupu k ohrozeným sieťam. Sprostredkovatelia prístupu vyhľadávajú na internete zraniteľné systémy, ktoré môžu zneužiť a vyhradiť si ich na neskorší zisk.

Na to, aby boli útočníci úspešní, potrebujú prihlasovacie údaje. Zneužité prihlasovacie údaje sú pri týchto útokoch také dôležité, že keď počítačoví zločinci predávajú prístup do siete, v mnohých prípadoch je súčasťou ceny aj zaručené konto správcu.

To, čo páchatelia po získaní prístupu s ním urobia, sa môže veľmi líšiť v závislosti od skupín a ich workloadov alebo motivácie. Čas od počiatočného prístupu po fázu skutočného používania klávesnice sa preto môže pohybovať od niekoľkých minút až po dni alebo dlhšie, ale keď to okolnosti dovolia, škody môžu byť spôsobené závratnou rýchlosťou. V skutočnosti sa zistilo, že čas od počiatočného prístupu po úplné výkupné (vrátane odovzdania od sprostredkovateľa prístupu partnerovi RaaS) trvá menej ako hodinu.

Keď útočníci získajú prístup do siete, neradi ju opúšťajú – dokonca aj po získaní výkupného. Zaplatenie výkupného totiž nemusí znížiť riziko pre postihnutú sieť a potenciálne slúži len na financovanie počítačových zločincov, ktorí sa budú naďalej snažiť zarobiť na útokoch pomocou rôznych kódov škodlivého softvéru alebo ransomwaru, až kým nebudú eliminovaní.

Odovzdávanie, ku ktorému dochádza medzi rôznymi útočníkmi pri prechodoch v ekonomike počítačového zločinu, znamená, že v prostredí môže pretrvávať viacero skupín aktivít, ktoré používajú rôzne metódy odlišné od nástrojov použitých pri ransomwarovom útoku. Napríklad počiatočný prístup získaný bankovým trójskym koňom vedie k nasadeniu útoku Cobalt Strike, ale partner RaaS, ktorý si zakúpil prístup, sa môže rozhodnúť použiť na vedenie svojej kampane nástroj na vzdialený prístup, ako je napríklad TeamViewer.

Používanie legitímnych nástrojov a nastavení na zotrvanie v porovnaní s implantovaním škodlivého softvéru, ako je Cobalt Strike, je medzi ransomwarovými útočníkmi obľúbenou technikou, ako sa vyhnúť odhaleniu a zostať v sieti dlhšie.

Ďalšou obľúbenou technikou útočníkov je vytváranie nových používateľských kont typu backdoor, či už lokálnych alebo v službe Active Directory, ktoré možno následne pridať do nástrojov vzdialeného prístupu, ako je virtuálna privátna sieť (VPN) alebo vzdialená pracovná plocha. U ransomwarových útočníkov bola tiež zaznamenaná úprava nastavení systémov s cieľom povoliť vzdialenú pracovnú plochu, znížiť zabezpečenie protokolu a pridať nových používateľov do skupiny používateľov vzdialenej pracovnej plochy.

Jednou z kvalít RaaS, ktorá spôsobuje, že táto hrozba je taká znepokojujúca, je to, že sa spolieha na ľudských útočníkov, ktorí môžu robiť informované a vypočítané rozhodnutia a meniť vzory útokov na základe toho, čo nájdu v sieťach, v ktorých sa ocitnú, čím si zabezpečia splnenie svojich cieľov.

Spoločnosť Microsoft zaviedla pojem ransomware riadený ľuďmi s cieľom definovať túto kategóriu útokov ako reťazec aktivít, ktoré vyvrcholia v kóde ransomwaru, a nie ako súbor kódov škodlivého softvéru, ktoré treba zablokovať.

Zatiaľ čo väčšina kampaní počiatočného prístupu sa spolieha na automatizovaný prieskum, keď sa útok presunie do fázy skutočného používania klávesnice, útočníci využijú svoje znalosti a zručnosti, aby sa pokúsili prekonať bezpečnostné produkty v prostredí.

Ransomwaroví útočníci sú motivovaní ľahkým ziskom, preto je pre narušenie ekonomiky kybernetického zločinu kľúčové zvýšiť ich náklady prostredníctvom posilnenia zabezpečenia. Toto ľudské rozhodovanie znamená, že aj keď produkty zabezpečenia odhalia konkrétne fázy útoku, samotní útočníci nie sú úplne eliminovaní, ale pokúšajú sa pokračovať, ak ich nezablokuje kontrola zabezpečenia. V mnohých prípadoch, ak antivírusový produkt zistí a zablokuje nástroj alebo kód, útočníci jednoducho použijú iný nástroj alebo upravia svoj kód.

Útočníci sú si tiež vedomí reakčného času centra operácií zabezpečenia (SOC) a možností a obmedzení nástrojov na detekciu. Kým sa útok dostane do štádia vymazania záloh alebo tieňových kópií, do nasadenia ransomvéru zostáva už len niekoľko minút. Protivník by už pravdepodobne vykonal škodlivé akcie, ako je exfiltrácia údajov. Tieto poznatky sú kľúčové pre centrá SOC reagujúce na ransomware: vyšetrovanie detekcií, ako je Cobalt Strike, pred fázou nasadenia ransomwaru a vykonávanie rýchlych nápravných opatrení a postupov reakcie na incidenty sú rozhodujúce pre zadržanie ľudského protivníka.