Ekonomika vydírání
Podívejte se na digitální briefing Cyber Signals, ve kterém viceprezidentka Zabezpečení od Microsoftu Vasu Jakkal zpovídá největší experty na analýzu hrozeb ohledně ekonomiky ransomwaru a způsobů, jak se můžou organizace chránit.
Digitální briefing: Ochrana před ekonomikou ransomwaru
Nový obchodní model nabízí nové poznatky pro obránce
Stejně jako mnoho průmyslových odvětví začalo kvůli efektivitě najímat externí pracovníky, kyberzločinci své ransomwarové nástroje pronajímají nebo prodávají za část zisku, místo aby útoky prováděli sami.
RaaS snižuje vstupní bariéru a zastírá identitu útočníků, kteří stojí za požadováním výkupného. Některé programy mají více než 50 „partnerů“, jak označují uživatele svých služeb, s různými nástroji, dovednostmi a cíli. Stejně jako může kdokoli, kdo má auto, jezdit jako řidič služby pro sdílení jízd, může se do této ekonomiky zapojit kdokoli, kdo má notebook a platební kartu a je ochoten hledat na darkwebu nástroje pro penetrační testování nebo hotový malware.
Tato industrializace kybernetické kriminality vytvořila specializované role, jako jsou zprostředkovatelé přístupu, kteří prodávají přístupy do sítí. Na jednom napadení se často podílí více kyberzločinců v různých fázích průniku.
Sady RaaS lze snadno najít na darkwebu a jsou inzerovány stejným způsobem, jakým se inzeruje zboží na internetu.
Taková sada RaaS může zahrnovat zákaznickou podporu, balíčky nabídek, uživatelské recenze, fóra a další funkce. Kyberzločinci můžou za sadu RaaS zaplatit pevnou cenu, zatímco jiné skupiny prodávající RaaS v rámci partnerského modelu si berou procenta ze zisku.
Ransomwarové útoky zahrnují rozhodnutí založená na konfiguracích sítí a u každé oběti se liší, i když je škodlivá datová část ransomwaru stejná. Ransomware je vrcholem útoku, který může zahrnovat exfiltraci dat a mít další dopady. Vzhledem k propojenosti ekonomiky kybernetických trestných činů můžou zdánlivě nesouvisející narušení na sebe navazovat. K malwaru Infostealer, který krade hesla a soubory cookie, se přistupuje s menší závažností, ale kyberzločinci tato hesla prodávají, aby umožnili další útoky.
Tyto útoky postupují podle šablony počátečního přístupu prostřednictvím infekce malwarem nebo zneužití nějakého ohrožení zabezpečení a následné krádeže přihlašovacích údajů za účelem elevace oprávnění a umožnění laterálního pohybu. Industrializace umožňuje útočníkům bez sofistikovaného přístupu a pokročilých dovedností provádět rozsáhlé ransomwarové útoky s velkým dopadem. Od ukončení operací Conti jsme zaznamenali změny v oblasti ransomwaru. Někteří partneři, kteří nasazovali Conti, přešli na používání škodlivých datových částí ze zavedených ekosystémů RaaS, jako jsou LockBit a Hive, zatímco jiní současně nasazují škodlivé datové části z více ekosystémů RaaS.
Nové služby RaaS, jako je QuantumLocker a Black Basta, vyplňují vakuum, které vzniklo po ukončení operací Conti. Vzhledem k tomu, že většina zpráv o ransomwaru se zaměřuje na škodlivou činnost viru místo na aktéry, je pravděpodobné, že toto střídání škodlivých datových částí bude mást vlády, orgány činné v trestním řízení, média, výzkumníky v oblasti zabezpečení a obránce ohledně toho, kdo za útoky stojí.
Díky zpravodajství o ransomwaru se může zdát, že se jedná o problém s nekonečným růstem, ve skutečnosti však jde o konečnou skupinu aktérů, kteří používají danou sadu technik.
Doporučení:
- Vybudujte hygienu týkající se přihlašovacích údajů: Vypracujte si segmentaci logické sítě založenou na oprávněních, kterou lze implementovat spolu se segmentací fyzické sítě a omezit tak laterální pohyb.
- Auditujte vystavení přihlašovacích údajů rizikům: Auditování vystavení přihlašovacích údajů má zásadní význam pro prevenci ransomwarových útoků a kybernetických trestných činů obecně. Týmy zabezpečení IT a SOC můžou spolupracovat na omezení oprávnění správců a porozumění úrovni, na které jsou jejich oprávnění vystavena.
- Omezte potenciální oblast útoku: Zřiďte pravidla pro omezení potenciální oblasti útoku, abyste předešli běžným technikám útoků používaných při ransomwarových útocích. Při zaznamenaných útocích několika skupin aktivit spojených s ransomwarem se organizacím s jasně definovanými pravidly podařilo zmírnit útoky v jejich počátečních fázích a zároveň zabránit aktivitám prováděným pomocí klávesnice.
Kyberzločinci přidávají do strategie útoku dvojí vydírání
Ransomware existuje za účelem vymáhání plateb od obětí. U většiny současných programů RaaS dochází také k úniku ukradených dat, takzvanému dvojitému vydírání. Vzhledem k tomu, že výpadky způsobují odpor a vládní opatření k narušení činnosti operátorů ransomwaru, upouštějí některé skupiny od ransomwaru a věnují se vydírání prostřednictvím dat.
Dvě skupiny zaměřené na vydírání jsou DEV-0537 (také známá jako LAPSUS$) a DEV-0390 (bývalí partneři skupiny Conti). Vniknutí skupiny DEV-0390 jsou iniciovány malwarem, ale k exfiltraci dat a vymáhání plateb používají legitimní nástroje. K udržení přístupu k oběti nasazují nástroje pro penetrační testování, jako je Cobalt Strike, Brute Ratel C4 a legitimní nástroj pro vzdálenou správu Atera. DEV-0390 využívá zvýšení oprávnění prostřednictvím krádeží přihlašovacích údajů, vyhledá citlivá data (často na firemních zálohovacích a souborových serverech) a odešle je na web pro sdílení souborů v cloudu pomocí nástroje pro zálohování souborů.
DEV-0537 používá zcela odlišnou strategii a postupy. Prvotní přístup získává zakoupením přihlašovacích údajů v kriminálním podsvětí nebo od zaměstnanců organizací, na které cílí.
Problémy
- Ukradená hesla a nechráněné identity
Víc než malware potřebují útočníci ke svým úspěšným operacím přihlašovací údaje. Téměř ve všech případech úspěšného nasazení ransomwaru získají útočníci přístup k privilegovaným účtům na úrovni správce, které poskytují široký přístup do sítě organizace. - Chybějící nebo deaktivované produkty zabezpečení
Téměř při každém pozorovaném ransomwarovém incidentu chyběly nebo byly špatně nakonfigurovány produkty zabezpečení, které útočníkům umožnily manipulovat s některými způsoby ochrany nebo je deaktivovat. - Chybně nakonfigurované nebo zneužívané aplikace
Možná používáte nějakou populární aplikaci k určitému účelu, ale to neznamená, že ji zločinci nemohou využít k jinému cíli. „Starší“ konfigurace až příliš často znamenají, že aplikace je ve výchozím stavu a umožňuje libovolnému uživateli široký přístup v rámci celé organizace. Nepřehlížejte toto riziko a neváhejte změnit nastavení aplikace, protože se bojíte narušení. - Pomalé opravy
Je to klišé, stejně jako „zelenina je zdravá", ale je to důležitá skutečnost: Nejlepším způsobem, jak posílit zabezpečení softwaru, je jeho průběžné aktualizování. Zatímco některé cloudové aplikace se aktualizují bez zásahu uživatele, opravy od ostatních dodavatelů musí firmy použít okamžitě. V roce 2022 Microsoft pozoroval, že starší ohrožení zabezpečení jsou stále hlavním motorem útoků. - Ukradená hesla a nechráněné identity
Víc než malware potřebují útočníci ke svým úspěšným operacím přihlašovací údaje. Téměř ve všech případech úspěšného nasazení ransomwaru získají útočníci přístup k privilegovaným účtům na úrovni správce, které poskytují široký přístup do sítě organizace. - Chybějící nebo deaktivované produkty zabezpečení
Téměř při každém pozorovaném ransomwarovém incidentu chyběly nebo byly špatně nakonfigurovány produkty zabezpečení, které útočníkům umožnily manipulovat s některými způsoby ochrany nebo je deaktivovat. - Chybně nakonfigurované nebo zneužívané aplikace
Možná používáte nějakou populární aplikaci k určitému účelu, ale to neznamená, že ji zločinci nemohou využít k jinému cíli. „Starší“ konfigurace až příliš často znamenají, že aplikace je ve výchozím stavu a umožňuje libovolnému uživateli široký přístup v rámci celé organizace. Nepřehlížejte toto riziko a neváhejte změnit nastavení aplikace, protože se bojíte narušení. - Pomalé opravy
Je to klišé, stejně jako „zelenina je zdravá", ale je to důležitá skutečnost: Nejlepším způsobem, jak posílit zabezpečení softwaru, je jeho průběžné aktualizování. Zatímco některé cloudové aplikace se aktualizují bez zásahu uživatele, opravy od ostatních dodavatelů musí firmy použít okamžitě. V roce 2022 Microsoft pozoroval, že starší ohrožení zabezpečení jsou stále hlavním motorem útoků.
Akce
- Ověřujte identity Vynucujte vícefaktorové ověřování (MFA) u všech účtů, prioritně u správců a dalších citlivých rolí. U hybridní pracovníků vyžadujte vícefaktorové ověřování (MFA) na všech zařízeních, na všech místech a za všech okolností. Povolte bezheslové ověřování, jako jsou klíče FIDO nebo Microsoft Authenticator, u aplikací, které to podporují.
- Ošetřete slepá místa v zabezpečení
Stejně jako kouřové hlásiče musí být i produkty zabezpečení nainstalovány na správných místech a často testovány. Ověřte, že jsou nástroje zabezpečení provozovány v nejbezpečnější konfiguraci a že žádná část sítě není nechráněná. - Zpřísněte zabezpečení prostředků s přístupem k internetu
Zvažte odstranění duplicitních nebo nepoužívaných aplikací, abyste eliminovali rizikové a nepoužívané služby. Dávejte pozor na to, kde povolujete aplikace pro vzdálenou technickou podporu, jako je TeamViewer. Ty jsou notoricky známým cílem útočníků, kteří chtějí získat expresní přístup k notebookům. - Udržujte systémy aktualizované
Udělejte z inventarizace softwaru kontinuální proces. Sledujte, co se používá, a prioritizujte podporu těchto produktů. Využívejte svou schopnost používat opravy rychle a průkazně a zjistěte, kde je přechod na cloudové služby výhodný.
Protože aktéři rozumí propojené povaze identit a důvěryhodných vztahů v moderních technologických ekosystémech, cílí na služby v oboru telekomunikací, technologií, IT služeb a podpory, aby mohli využít přístup z jedné organizace k získání vstupu do partnerských nebo dodavatelských sítí. Útoky založené pouze na vydírání ukazují, že se obránci sítí musí dívat dál než jen na koncovou fázi použití ransomwaru a pozorně sledovat exfiltraci dat a laterální pohyb.
Pokud aktér hrozby plánuje vydírat určitou organizaci, aby její data zůstala soukromá, je škodlivá činnost ransomwaru nejméně významnou a nejméně cennou součástí strategie útoku. V konečném důsledku záleží na rozhodnutí operátora, co nasadí, a ransomware není vždy tou výhrou, po které každý útočník touží.
Ačkoli se ransomware nebo dvojí vydírání může jevit jako nevyhnutelný důsledek útoku sofistikovaného útočníka, je ransomware katastrofou, které je možné se vyhnout. Protože útočníci se spoléhají na slabá místa zabezpečení, znamená to také, že investice do kybernetické hygieny jsou velmi důležité.
Jedinečný přehled společnosti Microsoft nám umožňuje nahlédnout do aktivit aktérů hrozeb. Náš tým expertů na zabezpečení se nespoléhá na příspěvky na fórech nebo úniky informací z chatu, ale studuje nové taktiky ransomwaru a vyvíjí analýzu hrozeb. To pak využíváme v našich řešeních zabezpečení.
Integrovaná ochrana před hrozbami napříč zařízeními, identitami, aplikacemi, e-maily, daty a cloudem nám pomáhá identifikovat útoky, které by byly označeny jako útoky více aktérů, i když se ve skutečnosti jedná o jednu skupinu kyberzločinců. Naše jednotka Digital Crimes Unit složená z technických, právních a obchodních expertů pokračuje ve spolupráci s orgány činnými v trestním řízení s cílem narušovat činnost kyberzločinců.
Doporučení:
Podrobná doporučení společnosti Microsoft najdete na adrese https://go.microsoft.com/fwlink/?linkid=2262350.
Analytička hrozeb Emily Hacker vám prozradí, jak si její tým udržuje přehled v měnícím se prostředí ransomwaru jako služby.
Od července 2021 do června 2022 řídilo odstranění více než 531 000 jedinečných phishingových adres URL a 5 400 phishingových sad, což také vedlo k identifikaci a uzavření více než 1 400 škodlivých e-mailových účtů používaných ke shromažďování ukradených přihlašovacích údajů zákazníků.1
Střední doba, za kterou se útočník dostane k vašim soukromým datům, pokud se stanete obětí phishingového e-mailu, je jedna hodina a 12 minut.1
Střední doba, za kterou se útočník může začít pohybovat v podnikové síti, pokud je napadeno nějaké zařízení, je jedna hodina a 42 minut.1
- [1]
Metodologie: Pro účely dat ve snímcích poskytly platformy, včetně služeb Defender a Azure Active Directory a našeho oddělení Digital Crimes Unit, anonymizovaná data o aktivitách hrozeb, jako jsou škodlivé e-mailové účty, phishingové e-maily a pohyb útočníků v sítích. Další poznatky pocházejí z 43 bilionů denních signálů zabezpečení získaných napříč Microsoftem, včetně cloudu, koncových bodů, inteligentního hraničního zařízení a našeho týmu expertů pro řešení ohrožení zabezpečení a reagujících týmů.
Sledujte zabezpečení od Microsoftu