Trace Id is missing

Ekonomika vydírání

Bílé bludiště s barevnými kruhy a tečkami

2. číslo Cyber Signals: Nový obchodní model ransomwaru

Ačkoli ransomware stále přitahuje pozornost médií, působí v tomto sektoru ekonomiky kybernetických trestných činů nakonec poměrně malý, propojený ekosystém hráčů. Specializace a konsolidace ekonomiky kybernetických trestných činů podpořila vznik dominantního obchodního modelu ransomwaru jako služby (RaaS), který umožňuje nasazovat ransomware širšímu okruhu zločinců bez ohledu na jejich technickou odbornost.
Přes 80 procent ransomwarových útoků je způsobeno běžnými konfiguračními chybami v softwaru a zařízeních.1

Podívejte se na digitální briefing Cyber Signals, ve kterém viceprezidentka Zabezpečení od Microsoftu Vasu Jakkal zpovídá největší experty na analýzu hrozeb ohledně ekonomiky ransomwaru a způsobů, jak se můžou organizace chránit.

Digitální briefing: Ochrana před ekonomikou ransomwaru

Nový obchodní model nabízí nové poznatky pro obránce

Stejně jako mnoho průmyslových odvětví začalo kvůli efektivitě najímat externí pracovníky, kyberzločinci své ransomwarové nástroje pronajímají nebo prodávají za část zisku, místo aby útoky prováděli sami.

Ransomware jako služba umožňuje kyberzločincům zakoupit si přístup ke škodlivým ransomwarovým datovým částem a únikům dat i platební infrastruktuře. Ransomwarové „gangy“ jsou ve skutečnosti programy RaaS, jako je Conti nebo REvil, používané mnoha různými aktéry, kteří přecházejí mezi programy RaaS a škodlivými datovými částmi.

RaaS snižuje vstupní bariéru a zastírá identitu útočníků, kteří stojí za požadováním výkupného. Některé programy mají více než 50 „partnerů“, jak označují uživatele svých služeb, s různými nástroji, dovednostmi a cíli. Stejně jako může kdokoli, kdo má auto, jezdit jako řidič služby pro sdílení jízd, může se do této ekonomiky zapojit kdokoli, kdo má notebook a platební kartu a je ochoten hledat na darkwebu nástroje pro penetrační testování nebo hotový malware.

Tato industrializace kybernetické kriminality vytvořila specializované role, jako jsou zprostředkovatelé přístupu, kteří prodávají přístupy do sítí. Na jednom napadení se často podílí více kyberzločinců v různých fázích průniku.

Sady RaaS lze snadno najít na darkwebu a jsou inzerovány stejným způsobem, jakým se inzeruje zboží na internetu.

Taková sada RaaS může zahrnovat zákaznickou podporu, balíčky nabídek, uživatelské recenze, fóra a další funkce. Kyberzločinci můžou za sadu RaaS zaplatit pevnou cenu, zatímco jiné skupiny prodávající RaaS v rámci partnerského modelu si berou procenta ze zisku.

Ransomwarové útoky zahrnují rozhodnutí založená na konfiguracích sítí a u každé oběti se liší, i když je škodlivá datová část ransomwaru stejná. Ransomware je vrcholem útoku, který může zahrnovat exfiltraci dat a mít další dopady. Vzhledem k propojenosti ekonomiky kybernetických trestných činů můžou zdánlivě nesouvisející narušení na sebe navazovat. K malwaru Infostealer, který krade hesla a soubory cookie, se přistupuje s menší závažností, ale kyberzločinci tato hesla prodávají, aby umožnili další útoky.

Tyto útoky postupují podle šablony počátečního přístupu prostřednictvím infekce malwarem nebo zneužití nějakého ohrožení zabezpečení a následné krádeže přihlašovacích údajů za účelem elevace oprávnění a umožnění laterálního pohybu. Industrializace umožňuje útočníkům bez sofistikovaného přístupu a pokročilých dovedností provádět rozsáhlé ransomwarové útoky s velkým dopadem. Od ukončení operací Conti jsme zaznamenali změny v oblasti ransomwaru. Někteří partneři, kteří nasazovali Conti, přešli na používání škodlivých datových částí ze zavedených ekosystémů RaaS, jako jsou LockBit a Hive, zatímco jiní současně nasazují škodlivé datové části z více ekosystémů RaaS.

Nové služby RaaS, jako je QuantumLocker a Black Basta, vyplňují vakuum, které vzniklo po ukončení operací Conti. Vzhledem k tomu, že většina zpráv o ransomwaru se zaměřuje na škodlivou činnost viru místo na aktéry, je pravděpodobné, že toto střídání škodlivých datových částí bude mást vlády, orgány činné v trestním řízení, média, výzkumníky v oblasti zabezpečení a obránce ohledně toho, kdo za útoky stojí.

Díky zpravodajství o ransomwaru se může zdát, že se jedná o problém s nekonečným růstem, ve skutečnosti však jde o konečnou skupinu aktérů, kteří používají danou sadu technik.

Doporučení:

  • Vybudujte hygienu týkající se přihlašovacích údajů: Vypracujte si segmentaci logické sítě založenou na oprávněních, kterou lze implementovat spolu se segmentací fyzické sítě a omezit tak laterální pohyb.
  • Auditujte vystavení přihlašovacích údajů rizikům: Auditování vystavení přihlašovacích údajů má zásadní význam pro prevenci ransomwarových útoků a kybernetických trestných činů obecně. Týmy zabezpečení IT a SOC můžou spolupracovat na omezení oprávnění správců a porozumění úrovni, na které jsou jejich oprávnění vystavena.
  • Omezte potenciální oblast útoku: Zřiďte pravidla pro omezení potenciální oblasti útoku, abyste předešli běžným technikám útoků používaných při ransomwarových útocích. Při zaznamenaných útocích několika skupin aktivit spojených s ransomwarem se organizacím s jasně definovanými pravidly podařilo zmírnit útoky v jejich počátečních fázích a zároveň zabránit aktivitám prováděným pomocí klávesnice.

Kyberzločinci přidávají do strategie útoku dvojí vydírání

Ransomware existuje za účelem vymáhání plateb od obětí. U většiny současných programů RaaS dochází také k úniku ukradených dat, takzvanému dvojitému vydírání. Vzhledem k tomu, že výpadky způsobují odpor a vládní opatření k narušení činnosti operátorů ransomwaru, upouštějí některé skupiny od ransomwaru a věnují se vydírání prostřednictvím dat.

Dvě skupiny zaměřené na vydírání jsou DEV-0537 (také známá jako LAPSUS$) a DEV-0390 (bývalí partneři skupiny Conti). Vniknutí skupiny DEV-0390 jsou iniciovány malwarem, ale k exfiltraci dat a vymáhání plateb používají legitimní nástroje. K udržení přístupu k oběti nasazují nástroje pro penetrační testování, jako je Cobalt Strike, Brute Ratel C4 a legitimní nástroj pro vzdálenou správu Atera. DEV-0390 využívá zvýšení oprávnění prostřednictvím krádeží přihlašovacích údajů, vyhledá citlivá data (často na firemních zálohovacích a souborových serverech) a odešle je na web pro sdílení souborů v cloudu pomocí nástroje pro zálohování souborů.

DEV-0537 používá zcela odlišnou strategii a postupy. Prvotní přístup získává zakoupením přihlašovacích údajů v kriminálním podsvětí nebo od zaměstnanců organizací, na které cílí.

Problémy

  • Ukradená hesla a nechráněné identity
    Víc než malware potřebují útočníci ke svým úspěšným operacím přihlašovací údaje. Téměř ve všech případech úspěšného nasazení ransomwaru získají útočníci přístup k privilegovaným účtům na úrovni správce, které poskytují široký přístup do sítě organizace.
  • Chybějící nebo deaktivované produkty zabezpečení
    Téměř při každém pozorovaném ransomwarovém incidentu chyběly nebo byly špatně nakonfigurovány produkty zabezpečení, které útočníkům umožnily manipulovat s některými způsoby ochrany nebo je deaktivovat.
  • Chybně nakonfigurované nebo zneužívané aplikace
    Možná používáte nějakou populární aplikaci k určitému účelu, ale to neznamená, že ji zločinci nemohou využít k jinému cíli. „Starší“ konfigurace až příliš často znamenají, že aplikace je ve výchozím stavu a umožňuje libovolnému uživateli široký přístup v rámci celé organizace. Nepřehlížejte toto riziko a neváhejte změnit nastavení aplikace, protože se bojíte narušení.
  • Pomalé opravy
    Je to klišé, stejně jako „zelenina je zdravá", ale je to důležitá skutečnost: Nejlepším způsobem, jak posílit zabezpečení softwaru, je jeho průběžné aktualizování. Zatímco některé cloudové aplikace se aktualizují bez zásahu uživatele, opravy od ostatních dodavatelů musí firmy použít okamžitě. V roce 2022 Microsoft pozoroval, že starší ohrožení zabezpečení jsou stále hlavním motorem útoků.
  • Ukradená hesla a nechráněné identity
    Víc než malware potřebují útočníci ke svým úspěšným operacím přihlašovací údaje. Téměř ve všech případech úspěšného nasazení ransomwaru získají útočníci přístup k privilegovaným účtům na úrovni správce, které poskytují široký přístup do sítě organizace.
  • Chybějící nebo deaktivované produkty zabezpečení
    Téměř při každém pozorovaném ransomwarovém incidentu chyběly nebo byly špatně nakonfigurovány produkty zabezpečení, které útočníkům umožnily manipulovat s některými způsoby ochrany nebo je deaktivovat.
  • Chybně nakonfigurované nebo zneužívané aplikace
    Možná používáte nějakou populární aplikaci k určitému účelu, ale to neznamená, že ji zločinci nemohou využít k jinému cíli. „Starší“ konfigurace až příliš často znamenají, že aplikace je ve výchozím stavu a umožňuje libovolnému uživateli široký přístup v rámci celé organizace. Nepřehlížejte toto riziko a neváhejte změnit nastavení aplikace, protože se bojíte narušení.
  • Pomalé opravy
    Je to klišé, stejně jako „zelenina je zdravá", ale je to důležitá skutečnost: Nejlepším způsobem, jak posílit zabezpečení softwaru, je jeho průběžné aktualizování. Zatímco některé cloudové aplikace se aktualizují bez zásahu uživatele, opravy od ostatních dodavatelů musí firmy použít okamžitě. V roce 2022 Microsoft pozoroval, že starší ohrožení zabezpečení jsou stále hlavním motorem útoků.

Akce

  • Ověřujte identity Vynucujte vícefaktorové ověřování (MFA) u všech účtů, prioritně u správců a dalších citlivých rolí. U hybridní pracovníků vyžadujte vícefaktorové ověřování (MFA) na všech zařízeních, na všech místech a za všech okolností. Povolte bezheslové ověřování, jako jsou klíče FIDO nebo Microsoft Authenticator, u aplikací, které to podporují.
  • Ošetřete slepá místa v zabezpečení
    Stejně jako kouřové hlásiče musí být i produkty zabezpečení nainstalovány na správných místech a často testovány. Ověřte, že jsou nástroje zabezpečení provozovány v nejbezpečnější konfiguraci a že žádná část sítě není nechráněná.
  • Zpřísněte zabezpečení prostředků s přístupem k internetu
    Zvažte odstranění duplicitních nebo nepoužívaných aplikací, abyste eliminovali rizikové a nepoužívané služby. Dávejte pozor na to, kde povolujete aplikace pro vzdálenou technickou podporu, jako je TeamViewer. Ty jsou notoricky známým cílem útočníků, kteří chtějí získat expresní přístup k notebookům.
  • Udržujte systémy aktualizované
    Udělejte z inventarizace softwaru kontinuální proces. Sledujte, co se používá, a prioritizujte podporu těchto produktů. Využívejte svou schopnost používat opravy rychle a průkazně a zjistěte, kde je přechod na cloudové služby výhodný.

Protože aktéři rozumí propojené povaze identit a důvěryhodných vztahů v moderních technologických ekosystémech, cílí na služby v oboru telekomunikací, technologií, IT služeb a podpory, aby mohli využít přístup z jedné organizace k získání vstupu do partnerských nebo dodavatelských sítí. Útoky založené pouze na vydírání ukazují, že se obránci sítí musí dívat dál než jen na koncovou fázi použití ransomwaru a pozorně sledovat exfiltraci dat a laterální pohyb.

Pokud aktér hrozby plánuje vydírat určitou organizaci, aby její data zůstala soukromá, je škodlivá činnost ransomwaru nejméně významnou a nejméně cennou součástí strategie útoku. V konečném důsledku záleží na rozhodnutí operátora, co nasadí, a ransomware není vždy tou výhrou, po které každý útočník touží.

Ačkoli se ransomware nebo dvojí vydírání může jevit jako nevyhnutelný důsledek útoku sofistikovaného útočníka, je ransomware katastrofou, které je možné se vyhnout. Protože útočníci se spoléhají na slabá místa zabezpečení, znamená to také, že investice do kybernetické hygieny jsou velmi důležité.

Jedinečný přehled společnosti Microsoft nám umožňuje nahlédnout do aktivit aktérů hrozeb. Náš tým expertů na zabezpečení se nespoléhá na příspěvky na fórech nebo úniky informací z chatu, ale studuje nové taktiky ransomwaru a vyvíjí analýzu hrozeb. To pak využíváme v našich řešeních zabezpečení.

Integrovaná ochrana před hrozbami napříč zařízeními, identitami, aplikacemi, e-maily, daty a cloudem nám pomáhá identifikovat útoky, které by byly označeny jako útoky více aktérů, i když se ve skutečnosti jedná o jednu skupinu kyberzločinců. Naše jednotka Digital Crimes Unit složená z technických, právních a obchodních expertů pokračuje ve spolupráci s orgány činnými v trestním řízení s cílem narušovat činnost kyberzločinců.

Doporučení:

Posilte zabezpečení cloudu: Vzhledem k tomu, že se útočníci přesouvají ke cloudovým prostředkům, je důležité zabezpečit tyto prostředky a identity stejně jako místní účty. Týmy zabezpečení by se měly zaměřit na posilování infrastruktury identit v zabezpečení, vynucování vícefaktorového ověřování (MFA) u všech účtů a na to, aby ke správcům cloudu/správcům tenantů přistupovalo se stejnou úrovní zabezpečení a hygieny přihlašovacích údajů jako ke správcům domén.
Zabraňte prvotnímu přístupu: Předcházejte spuštění kódu správou maker a skriptů a povolením pravidel pro omezení potenciální oblasti útoku.
Odstraňte slepá místa zabezpečení: Organizace by měly ověřovat, že jsou jejich nástroje zabezpečení provozovány v optimální konfiguraci, a provádět pravidelné kontroly sítě, aby bylo zajištěno, že produkt zabezpečení chrání všechny systémy.

Podrobná doporučení společnosti Microsoft najdete na adrese  https://go.microsoft.com/fwlink/?linkid=2262350.

Analytička hrozeb Emily Hacker vám prozradí, jak si její tým udržuje přehled v měnícím se prostředí ransomwaru jako služby.

Oddělení Microsoft’s Digital Crimes Unit (DCU):
Od července 2021 do června 2022 řídilo odstranění více než 531 000 jedinečných phishingových adres URL a 5 400 phishingových sad, což také vedlo k identifikaci a uzavření více než 1 400 škodlivých e-mailových účtů používaných ke shromažďování ukradených přihlašovacích údajů zákazníků.1
E-mailové hrozby:
Střední doba, za kterou se útočník dostane k vašim soukromým datům, pokud se stanete obětí phishingového e-mailu, je jedna hodina a 12 minut.1
Hrozby pro koncové body:
Střední doba, za kterou se útočník může začít pohybovat v podnikové síti, pokud je napadeno nějaké zařízení, je jedna hodina a 42 minut.1
  1. [1]

    Metodologie: Pro účely dat ve snímcích poskytly platformy, včetně služeb Defender a Azure Active Directory a našeho oddělení Digital Crimes Unit, anonymizovaná data o aktivitách hrozeb, jako jsou škodlivé e-mailové účty, phishingové e-maily a pohyb útočníků v sítích. Další poznatky pocházejí z 43 bilionů denních signálů zabezpečení získaných napříč Microsoftem, včetně cloudu, koncových bodů, inteligentního hraničního zařízení a našeho týmu expertů pro řešení ohrožení zabezpečení a reagujících týmů.

Profil experta: Emily Hacker

Analytička hrozeb Emily Hacker hovoří o tom, jak její tým drží krok s měnícím se prostředím ransomwaru jako služby a jaká opatření přijímá, aby pomáhal chytit aktéry ransomwaru.

Cyber Signals: 3. číslo: Rostoucí IoT a riziko pro OT

Čím dál tím víc se rozšiřující IoT představuje riziko pro OT, a to řadou potenciálních ohrožení zabezpečení a vystavením se aktérům hrozeb. Zjistěte, jak můžete chránit svoji organizaci

Cyber Signals: 1. číslo

Novým bojištěm je identita. Získejte přehled o vývoji kybernetických hrozeb a o krocích, které je třeba podniknout k lepší ochraně vaší organizace.

Sledujte zabezpečení od Microsoftu