Ransomware jako služba: Nová tvář industrializovaných kybernetických trestných činů

Model ransomwaru jako služby umožnil rychlé zdokonalení a industrializaci toho, čeho můžou dosáhnout méně schopní zločinci. V minulosti mohli tito méně sofistikovaní zločinci k provádění útoků s omezeným rozsahem používat komoditní malware, který si sami vytvořili nebo zakoupili. Teď však můžou vše, co potřebují – od přístupu k sítím až po datové části ransomwaru – získat od operátorů RaaS (samozřejmě za určitou cenu). Mnoho programů RaaS dále zahrnuje sadu nabídek podpory týkající se vydírání, včetně poznámek k hostování webů pro úniky dat a integrace do výkupného, a také vyjednávání o dešifrování, tlaku na zaplacení a služeb pro transakce v kryptoměnách.

To znamená, že dopad úspěšného ransomwarového útoku a vydírání zůstává stejný bez ohledu na dovednosti útočníka.

Jedním ze způsobů, jak operátoři RaaS poskytují přidanou hodnotu svým partnerům, je poskytování přístupu k napadeným sítím. Zprostředkovatelé přístupu vyhledávají na internetu zranitelné systémy, které můžou napadnout a držet si je pro pozdější zisk.

Aby byli útočníci úspěšní, potřebují přihlašovací údaje. Napadené přihlašovací údaje jsou pro tyto útoky tak důležité, že když kyberzločinci prodávají přístup k síti, je v mnoha případech v ceně zahrnut i zaručený účet správce.

To, jak zločinci se získaným přístupem naloží, se může velmi lišit v závislosti na jednotlivých skupinách a jejich úlohách nebo motivaci. Doba mezi prvním přístupem a využitím praktické práce přes klávesnici se proto může pohybovat od několika minut až po dny nebo ještě déle, ale pokud to okolnosti dovolí, může být škoda způsobena závratnou rychlostí. Ve skutečnosti bylo pozorováno, že doba od prvního přístupu k plnému výkupnému (včetně předání od zprostředkovatele přístupu partnerovi RaaS) trvá i méně než hodinu.

Jakmile útočníci získají přístup do sítě, neradi ji opouštějí – a to i po získání výkupného. Zaplacení výkupného totiž nemusí ve skutečnosti snížit riziko pro postiženou síť a potenciálně slouží pouze k financování kyberzločinců, kteří se budou i nadále pokoušet zpeněžit útoky s různým malwarem nebo ransomwarem, dokud nejsou vytlačeni z prostředí.

Předávání informací mezi různými útočníky, ke kterému dochází při změnách v kyberzločinecké ekonomice, znamená, že v prostředí může přetrvávat více skupin aktivit, které používají různé metody odlišné od nástrojů používaných při ransomwarovém útoku. Například počáteční přístup získaný bankovním trojským koněm vede k nasazení nástroje Cobalt Strike, ale partner RaaS, který si přístup zakoupil, se může rozhodnout použít k provozování své kampaně nějaký nástroj pro vzdálený přístup, například TeamViewer.

Používání legitimních nástrojů a nastavení k zajištění trvalé přítomnosti oproti implantátům malwaru, jako je Cobalt Strike, je mezi ransomwarovými útočníky oblíbenou technikou, jak se vyhnout detekci a zajistit si delší přítomnost v síti.

Další oblíbenou technikou útočníků je vytváření nových uživatelských účtů pro zadní vrátka, ať už jsou to místní účty nebo účty ve službě Active Directory, které lze pak přidat do nástrojů pro vzdálený přístup, jako je virtuální privátní síť (VPN) nebo Vzdálená plocha. Bylo také pozorováno, že ransomwaroví útočníci upravují nastavení systémů, aby povolili Vzdálenou plochu, snížili zabezpečení protokolu a přidali nové uživatele do skupiny Remote Desktop Users.

Jedním z rysů RaaS, který činí tuto hrozbu tak znepokojivou, je to, že se spoléhá na lidské útočníky, kteří mohou dělat informovaná a promyšlená rozhodnutí a měnit vzorce útoků na základě toho, co najdou v sítích, do kterých proniknou, a zajistit tak dosaženích svých cílů.

Microsoft začal používat termín ransomware řízený člověkem, aby definoval tuto kategorii útoků jako řetězec aktivit, na jejichž konci je škodlivá činnost ransomwaru, nikoli jako sada malwarových programů, které je třeba blokovat.

Zatímco většina kampaní k získání počátečního přístupu se spoléhá na automatizovaný průzkum, jakmile se útok přesune do fáze praktického použití klávesnice, útočníci využijí své znalosti a dovednosti a pokusí se překonat bezpečnostní produkty v daném prostředí.

Ransomwaroví útočníci jsou motivováni snadným ziskem, proto je pro narušení ekonomiky kyberzločinců klíčové zvýšit jejich náklady prostřednictvím posílení zabezpečení. Toto lidské rozhodování znamená, že i když produkty zabezpečení detekují specifické fáze útoku, samotní útočníci nejsou zcela vytlačeni a pokoušejí se pokračovat, pokud nejsou zablokováni nějakým kontrolním mechanismem zabezpečení. V mnoha případech, kdy antivirový produkt detekuje a zablokuje nějaký nástroj nebo datovou část, útočníci jednoduše použijí jiný nástroj nebo upraví datovou část.

Útočníci mají také povědomí o dobách reakcí týmu SOC (Security Operations Center) a schopnostech a omezeních nástrojů detekce. Když se útok dostane do fáze odstraňování záloh nebo stínových kopií, zbývají do nasazení ransomwaru už jen minuty. Nežádoucí osoba už pravděpodobně provedla škodlivé akce, jako je exfiltrace dat. Tyto znalosti jsou klíčové pro týmy SOC reagující na ransomware. Prověřování detekovaných nástrojů, jako je třeba Cobalt Strike, před fází nasazení ransomwaru a provádění rychlých nápravných akcí a postupů reakce na incident (IR) jsou rozhodující pro potlačení činnosti nežádoucí osoby.