Trace Id is missing

Utpressningstrojaner som en tjänst: Den industriella cyberkriminalitetens nya ansikte

Dela
Två pilar överlagrade på en linje pekar mot varandra utmed olika vägar

 Den senaste affärsmodellen inom cyberbrottslighet, människostyrda attacker, uppmuntrar kriminella med olika förmågor.

Utpressningstrojaner, som är ett av de mest ihärdiga och omfattande cyberhoten, fortsätter att utvecklas, och i sina senaste versioner utgör ett nytt hot mot organisationer över hela världen. Utvecklingen av utpressningstrojanerna handlar inte om nya tekniska framsteg. Istället handlar det om en ny affärsmodell: utpressningstrojaner som en tjänst (RaaS).

Utpressningstrojaner som en tjänst (RaaS) är en överenskommelse mellan en operatör, som utvecklar och underhåller verktygen som driver utpressningsoperationerna, och en partner, som distribuerar utpressningstrojansnyttolasten. När partnern genomför en framgångsrik utpressningstrojansattack, så innebär det en vinst för båda parterna.

RaaS-modellen sänker ingångströskeln för angripare som kanske inte har den skicklighet eller de tekniska resurser som krävs för att utveckla sina egna verktyg, men som kan hantera färdiga penetrationstest- och sysadmin-verktyg för att utföra attacker. Dessa brottslingar längre ned i hierarkin kan också välja att köpa nätverksåtkomst från en mer sofistikerad kriminell grupp som redan har trängt igenom en perimeter.

Även om dessa RaaS-brottslingar använder utpressningstrojansnyttolaster från mer sofistikerade operatörer, så innebär det inte att de är en del av samma cyberkriminella ”gäng”. Snarare handlar det om att de är självständiga företag som bedriver sin verksamhet i en övergripande cyberkriminell ekonomi.

Ökande kapacitet hos cyberkriminella i en växande övergripande cyberkriminell ekonomi

Affärsmodellen utpressningstrojaner-som-en-tjänst har underlättat en snabb förfining och industrialisering av vad mindre kompetenta brottslingar kan åstadkomma. Tidigare kunde dessa mindre sofistikerade brottslingar ha använt skadlig programvara som de antingen skapat själva eller köpt för att utföra attacker av begränsad omfattning, men nu kan de få allt de behöver – från nätverksåtkomst till utpressningstrojansnyttolaster – från sina RaaS-operatörer (till en viss kostnad, såklart). Många RaaS-program innehåller ytterligare erbjudanden som stöd för utpressningsverksamheten, som webbplatsläckage och integrering av utpressningsbrev, dekrypteringsförhandling, betalningspåtryckning och transaktionstjänster för kryptovaluta.

Detta innebär att effekten av en framgångsrik utpressningstrojansattack förblir densamma oavsett vilka färdigheter angriparen har.

Identifiera och utnyttja nätverkssårbarheter...till en kostnad

Ett sätt som RaaS-operatörerna använder sig av för att förse sina kunder med värde är att ge dem åtkomst till komprometterade nätverk. Åtkomstförmedlare söker igenom Internet efter sårbara system, som de kan infiltrera och reservera för senare vinstgenererande verksamhet.

Alla angripare måste ha autentiseringsuppgifter för att lyckas. Komprometterade autentiseringsuppgifter är så viktiga för dessa attacker, så att när cyberbrottslingar säljer nätverksåtkomst är i många fall ett garanterat administratörskonto inkluderat i priset.

Hur brottslingarna sedan utnyttjar åtkomsten kan variera kraftigt beroende på vilka de är, deras arbetsbelastningar eller drivkrafter. Tiden mellan första åtkomst till direkt tillgång från tangentbordet kan därför sträcka sig från några minuter till flera dagar eller längre, men när omständigheterna är gynnsamma kan skador orsakas i ett rasande tempo. Faktum är att man kunnat observera att tiden från första åtkomst till betald lösensumma (inklusive överlämning från en åtkomstmäklare till en RaaS-kund) har varit mindre än en timma.

Att hålla ekonomin igång – ihärdiga och lömska åtkomstmetoder

När angriparna väl fått åtkomst till ett nätverk, vill de helst inte lämna det – inte ens efter att de erhållit sin lösensumma. Faktum är att när innehavaren av ett komprometterat nätverk betalat lösensumman så avtar inte risken för det påverkade nätverket, utan det finns en potentiell risk att cyberbrottslingarna kommer att fortsätta att försöka tjäna pengar på attacker med olika typer skadlig programvara eller utpressningstrojaner tills de kastas ut.

Den överlämning som sker mellan olika angripare när transaktioner görs i den cyberkriminella ekonomin innebär att flera kriminella grupper kan fortsätta vara verksamma i samma miljö genom olika metoder som skiljer sig från dem som användes utpressningstrojansattacken. Den första åtkomst som en banktrojan erbjuder leder exempelvis till en Cobalt Strike-installation, men RaaS-kunden som köpte åtkomsten kan välja att använda ett fjärråtkomstverktyg som TeamViewer för att genomföra sin kampanj.

Att använda legitima verktyg och inställningar istället för skadliga programvaror som Cobalt Strike är en populär metod bland utpressningstrojansangripare, eftersom man då lättare kan undvika upptäckt och dröja sig kvar i nätverket längre.

En annan populär angreppsteknik är att skapa nya bakdörrsanvändarkonton, lokalt eller i Active Directory, vilka sedan kan läggas till i fjärråtkomstverktyg som VPN eller Fjärrskrivbord. Utpressningstrojansangripare har också observerats redigera inställningarna i olika system för att aktivera Fjärrskrivbord, minska protokollsäkerhet och lägga till nya användare i gruppen Fjärrskrivbordsanvändare.

Flödesdiagram som visar hur RaaS-attacker planeras och implementeras

Att stå emot de mest oåtkomliga och förslagna brottslingarna i världen

En av de egenskaper med RaaS som gör detta till ett så oroande hot är hur det förlitar sig på mänskliga angripare som kan fatta välgrundade och kalkylerade beslut och som varierar sina attackmönster utifrån vad de hittar i de nätverk de infiltrerar, så att de kan vara säkra på att uppnå sina mål.

Microsoft myntade begreppet mänskligt styrda utpressningstrojaner för att definiera den här attackkategorin som en kedja av aktiviteter som kulminerar i en utpressningstrojansnyttolast, inte som en uppsättning nyttolaster med skadlig programvara att blockera.

Medan de flesta initiala åtkomstkampanjer förlitar sig på automatiserad spaning, så kommer angriparen, när attacken övergår till styras direkt från tangentbordet, att använda sina kunskaper och sin skicklighet när hen försöker ta sig förbi miljöns säkerhetsprodukter.

Angripare som använder utpressningstrojaner motiveras av enkel vinst, så att öka deras kostnader genom förstärkt säkerhet är avgörande för att försvåra för cyberbrottsekonomin. Detta mänskliga beslutsfattande innebär att även om säkerhetsprodukterna kan identifiera specifika stadier av attacken, så kan de ändå inte helt avhysa angriparen, som kan fortsätta så länge ingen säkerhetskontroll sätter stopp för det. Om ett verktyg eller nyttolast identifieras och blockeras av en antivirusprodukt, väljer angriparen i många fall helt enkelt att använda ett annat verktyg eller ändra nyttolasten.

Angriparna är också medvetna om säkerhetscentrens svarstider och identifieringsverktygens möjligheter och begränsningar. När attacken når stadiet där säkerhets- eller skuggkopior tas bort, så är distributionen av utpressningstrojanerna bara en fråga om minuter. Angriparen skulle sannolikt redan ha hunnit utföra skadliga handlingar som dataexfiltrering. Denna kunskap är viktig för de säkerhetscenter som hanterar utpressningstrojanerna: att hinna undersöka identifierade intrång som Cobalt Strike innan utpressningstrojanerna når distributionsstadiet och genomföra snabba saneringsåtgärder och incidentsvarsprocedurer är av avgörande betydelse om man vill begränsa mänskligt styrda angrepp.

Stärka säkerheten mot hot och undvika varningsutmattning

En hållbar säkerhetsstrategi mot ihärdiga mänskliga angripare måste innehålla identifierings- och riskreduceringsmål. Det räcker inte att förlita sig enbart på identifiering eftersom 1) vissa infiltrationshändelser är praktiskt taget omöjliga att upptäcka (de framstår som en följd av åtgärder, som var för sig framstår som oskyldiga), och 2) det är inte ovanligt att attackerna med utpressningstrojaner ignoreras på grund av utmattning orsakad av för många varningar från olika säkerhetsprodukter.

Eftersom angriparna kan undvika och inaktivera säkerhetsprodukter på många olika sätt och kan smälta in genom att efterlikna normalt administratörsbeteende så mycket som möjligt, så bör IT-säkerhetsteam och säkerhetscenter följa upp sina identifieringar med säkerhetshärdande åtgärder.

Angripare som använder utpressningstrojaner motiveras av enkel vinst, så att öka deras kostnader genom förstärkt säkerhet är avgörande för att försvåra för cyberbrottsekonomin.

Här följer några tips om vad organisationer kan göra för att skydda sig själva:

 

  • Förbättra hygienen för autentiseringsuppgifter: Utveckla en logisk nätverkssegmentering som baseras på privilegier som kan implementeras tillsammans med nätverkssegmentering, så att den laterala rörelsen begränsas.
  • Granska exponeringen av autentiseringsuppgifter: Att granska exponeringen av autentiseringsuppgifter är av avgörande betydelse om man vill förhindra attacker med utpressningstrojaner i synnerhet och cyberbrottslighet i allmänhet. IT-säkerhetsteam och säkerhetscenter kan samarbeta för att minska administrativa privilegier och identifiera på vilken nivå autentiseringsuppgifterna exponeras.
  • Härda molnet: När angriparna ger sig på molnresurser är det viktigt att molnresurser och identiteter har säkrats, liksom de lokala kontona. Säkerhetsteamen bör fokusera på att förstärka infrastrukturen för säkerhetsidentitet, genomdriva multifaktorautentisering (MFA) på alla konton och behandla moln- och klientorganisationsadministratörer med samma säkerhetsnivå och autentiseringshygien som domänadministratörer.
  • Stänga säkerhetens blinda fläckar: Organisationer bör verifiera att deras säkerhetsverktyg körs med optimal konfiguration och de bör genomföra regelbundna nätverksgenomsökningar för att säkerställa att alla system skyddas av en säkerhetsprodukt.
  • Minska attackytan: Upprätta regler för hur attackytan ska minskas så att vanliga attacktekniker som används i attacker med utpressningstrojaner kan förhindras. I observerade attacker från flera aktivitetsgrupper med kopplingar till utpressningstrojaner, har organisationer med tydligt definierade regler kunnat mildra attackerna i deras inledande skeden, samtidigt som de förhindrar direkt tangentbordsaktivitet.
  • Utvärdera perimetern: Organisationerna måste identifiera och säkra de perimetersystem som angriparna kan använda för att få åtkomst till nätverket. Offentliga genomsökningsgränssnitt kan användas för att stärka informationen.
  • Förstärk Internetuppkopplade tillgångar: Utpressningstrojansangripare och åtkomstmäklare använder okorrigerade sårbarheter, oavsett om de redan har avslöjats eller är dag noll-sårbarheter, särskilt under det inledande åtkomststadiet. De tar sig också snabbt an nya sårbarheter. I syfte att ytterligare minska exponeringen kan organisationerna använda funktionerna för hantering av hot och säkerhetsrisker i produkterna för identifiering och åtgärd på slutpunkt, så att de kan identifiera, prioritera och åtgärda sårbarheter och felkonfigurationer.
  • Förbereda för återställning: Det bästa försvaret mot utpressningstrojaner bör omfatta planer för snabb återhämtning i händelse av en attack. Det kostar mindre att återhämta sig från en attack än att tvingas betala en lösensumma. Därför är det viktigt att göra regelbundna säkerhetskopior av kritiska system och skydda säkerhetskopiorna mot avsiktlig radering och kryptering. Lagra, om möjligt, säkerhetskopiorna i oföränderlig lagring online eller helt offline eller på annan plats.
  • Ytterligare försvar mot angrepp med hjälp av utpressningstrojaner: Med tanke på det mångfacetterade hotet från den nya utpressningstrojansekonomin och de mänskligt drivna utpressningstrojansattackernas gäckande natur måste organisationer och företag införa en heltäckande metod för att hantera säkerheten.

De ovan beskrivna stegen är till stor hjälp när man ska försvara sig mot vanliga attackmönster och räcker långt när det gäller att förhindra attacker med utpressningstrojaner. Stärk försvaret ytterligare mot traditionella och mänskligt drivna utpressningstrojanshot och andra hot med hjälp säkerhetsverktyg som erbjuder djup synlighet på flera domäner och enhetliga undersökningsmöjligheter.

En ytterligare översikt över utpressningstrojaner med kompletta med tips och råd om hur man förebygger, identifierar och åtgärdar dem finns i Skydda din organisation mot utpressningstrojaner, och vill du ha ännu mer fördjupad information om mänskligt drivna utpressningstrojaner kan du läsa säkerhetsforskaren Jessica Paynes Utpressningstrojaner-som-en-tjänst: Förstå cyberbrottslighens gigekonomi och hur du kan skydda dig själv.

Relaterade artiklar

Cyber Signals, utgåva 2: Affärsmodellen med utpressning

Hör om utvecklingen av utpressningstrojaner som en tjänst från experter i frontlinjen. Ta reda på mer om de verktyg, metoder och måltavlor cyberbrottslingarna utnyttjar, med beskrivningar av allt från program och nyttolaster till de aktörer som säljer och köper åtkomst, och få vägledning om hur du kan skydda din organisation.
Mer information

Expertprofil: Nick Carr

Nick Carr, Cybercrime Intelligence Team Lead på Microsoft Threat Intelligence Center, diskuterar trender vad gäller utpressningstrojaner, förklarar vad Microsoft gör för att skydda sina kunder från utpressningstrojaner och beskriver vad organisationer som drabbats av dem kan göra.
Mer information

Skydda din organisation från utpressningstrojaner

Få en glimt av de kriminella aktörer som verkar inom den underjordiska utpressningstrojansekonomin. Vi hjälper dig att förstå motiven och mekaniken bakom angreppen med utpressningstrojaner och informerar dig om bästa praxis för skydd, säkerhetskopiering och återställning.
Mer information