Podívejte se na digitální briefing Cyber Signals, ve kterém viceprezidentka Zabezpečení od Microsoftu Vasu Jakkal zpovídá největší experty na analýzu hrozeb ohledně ekonomiky ransomwaru a způsobů, jak se můžou organizace chránit.
Stejně jako mnoho průmyslových odvětví začalo kvůli efektivitě najímat externí pracovníky, kyberzločinci své ransomwarové nástroje pronajímají nebo prodávají za část zisku, místo aby útoky prováděli sami.
RaaS snižuje vstupní bariéru a zastírá identitu útočníků, kteří stojí za požadováním výkupného. Některé programy mají více než 50 „partnerů“, jak označují uživatele svých služeb, s různými nástroji, dovednostmi a cíli. Stejně jako může kdokoli, kdo má auto, jezdit jako řidič služby pro sdílení jízd, může se do této ekonomiky zapojit kdokoli, kdo má notebook a platební kartu a je ochoten hledat na darkwebu nástroje pro penetrační testování nebo hotový malware.
Tato industrializace kybernetické kriminality vytvořila specializované role, jako jsou zprostředkovatelé přístupu, kteří prodávají přístupy do sítí. Na jednom napadení se často podílí více kyberzločinců v různých fázích průniku.
Sady RaaS lze snadno najít na darkwebu a jsou inzerovány stejným způsobem, jakým se inzeruje zboží na internetu.
Taková sada RaaS může zahrnovat zákaznickou podporu, balíčky nabídek, uživatelské recenze, fóra a další funkce. Kyberzločinci můžou za sadu RaaS zaplatit pevnou cenu, zatímco jiné skupiny prodávající RaaS v rámci partnerského modelu si berou procenta ze zisku.
Ransomwarové útoky zahrnují rozhodnutí založená na konfiguracích sítí a u každé oběti se liší, i když je škodlivá datová část ransomwaru stejná. Ransomware je vrcholem útoku, který může zahrnovat exfiltraci dat a mít další dopady. Vzhledem k propojenosti ekonomiky kybernetických trestných činů můžou zdánlivě nesouvisející narušení na sebe navazovat. K malwaru Infostealer, který krade hesla a soubory cookie, se přistupuje s menší závažností, ale kyberzločinci tato hesla prodávají, aby umožnili další útoky.
Tyto útoky postupují podle šablony počátečního přístupu prostřednictvím infekce malwarem nebo zneužití nějakého ohrožení zabezpečení a následné krádeže přihlašovacích údajů za účelem elevace oprávnění a umožnění laterálního pohybu. Industrializace umožňuje útočníkům bez sofistikovaného přístupu a pokročilých dovedností provádět rozsáhlé ransomwarové útoky s velkým dopadem. Od ukončení operací Conti jsme zaznamenali změny v oblasti ransomwaru. Někteří partneři, kteří nasazovali Conti, přešli na používání škodlivých datových částí ze zavedených ekosystémů RaaS, jako jsou LockBit a Hive, zatímco jiní současně nasazují škodlivé datové části z více ekosystémů RaaS.
Nové služby RaaS, jako je QuantumLocker a Black Basta, vyplňují vakuum, které vzniklo po ukončení operací Conti. Vzhledem k tomu, že většina zpráv o ransomwaru se zaměřuje na škodlivou činnost viru místo na aktéry, je pravděpodobné, že toto střídání škodlivých datových částí bude mást vlády, orgány činné v trestním řízení, média, výzkumníky v oblasti zabezpečení a obránce ohledně toho, kdo za útoky stojí.
Díky zpravodajství o ransomwaru se může zdát, že se jedná o problém s nekonečným růstem, ve skutečnosti však jde o konečnou skupinu aktérů, kteří používají danou sadu technik.
Ransomware existuje za účelem vymáhání plateb od obětí. U většiny současných programů RaaS dochází také k úniku ukradených dat, takzvanému dvojitému vydírání. Vzhledem k tomu, že výpadky způsobují odpor a vládní opatření k narušení činnosti operátorů ransomwaru, upouštějí některé skupiny od ransomwaru a věnují se vydírání prostřednictvím dat.
Dvě skupiny zaměřené na vydírání jsou DEV-0537 (také známá jako LAPSUS$) a DEV-0390 (bývalí partneři skupiny Conti). Vniknutí skupiny DEV-0390 jsou iniciovány malwarem, ale k exfiltraci dat a vymáhání plateb používají legitimní nástroje. K udržení přístupu k oběti nasazují nástroje pro penetrační testování, jako je Cobalt Strike, Brute Ratel C4 a legitimní nástroj pro vzdálenou správu Atera. DEV-0390 využívá zvýšení oprávnění prostřednictvím krádeží přihlašovacích údajů, vyhledá citlivá data (často na firemních zálohovacích a souborových serverech) a odešle je na web pro sdílení souborů v cloudu pomocí nástroje pro zálohování souborů.
DEV-0537 používá zcela odlišnou strategii a postupy. Prvotní přístup získává zakoupením přihlašovacích údajů v kriminálním podsvětí nebo od zaměstnanců organizací, na které cílí.
Protože aktéři rozumí propojené povaze identit a důvěryhodných vztahů v moderních technologických ekosystémech, cílí na služby v oboru telekomunikací, technologií, IT služeb a podpory, aby mohli využít přístup z jedné organizace k získání vstupu do partnerských nebo dodavatelských sítí. Útoky založené pouze na vydírání ukazují, že se obránci sítí musí dívat dál než jen na koncovou fázi použití ransomwaru a pozorně sledovat exfiltraci dat a laterální pohyb.
Pokud aktér hrozby plánuje vydírat určitou organizaci, aby její data zůstala soukromá, je škodlivá činnost ransomwaru nejméně významnou a nejméně cennou součástí strategie útoku. V konečném důsledku záleží na rozhodnutí operátora, co nasadí, a ransomware není vždy tou výhrou, po které každý útočník touží.
Ačkoli se ransomware nebo dvojí vydírání může jevit jako nevyhnutelný důsledek útoku sofistikovaného útočníka, je ransomware katastrofou, které je možné se vyhnout. Protože útočníci se spoléhají na slabá místa zabezpečení, znamená to také, že investice do kybernetické hygieny jsou velmi důležité.
Jedinečný přehled společnosti Microsoft nám umožňuje nahlédnout do aktivit aktérů hrozeb. Náš tým expertů na zabezpečení se nespoléhá na příspěvky na fórech nebo úniky informací z chatu, ale studuje nové taktiky ransomwaru a vyvíjí analýzu hrozeb. To pak využíváme v našich řešeních zabezpečení.
Integrovaná ochrana před hrozbami napříč zařízeními, identitami, aplikacemi, e-maily, daty a cloudem nám pomáhá identifikovat útoky, které by byly označeny jako útoky více aktérů, i když se ve skutečnosti jedná o jednu skupinu kyberzločinců. Naše jednotka Digital Crimes Unit složená z technických, právních a obchodních expertů pokračuje ve spolupráci s orgány činnými v trestním řízení s cílem narušovat činnost kyberzločinců.
Podrobná doporučení společnosti Microsoft najdete na adrese https://go.microsoft.com/fwlink/?linkid=2262350.
Analytička hrozeb Emily Hacker vám prozradí, jak si její tým udržuje přehled v měnícím se prostředí ransomwaru jako služby.
Metodologie: Pro účely dat ve snímcích poskytly platformy, včetně služeb Defender a Azure Active Directory a našeho oddělení Digital Crimes Unit, anonymizovaná data o aktivitách hrozeb, jako jsou škodlivé e-mailové účty, phishingové e-maily a pohyb útočníků v sítích. Další poznatky pocházejí z 43 bilionů denních signálů zabezpečení získaných napříč Microsoftem, včetně cloudu, koncových bodů, inteligentního hraničního zařízení a našeho týmu expertů pro řešení ohrožení zabezpečení a reagujících týmů.
Sledujte zabezpečení od Microsoftu