Trace Id is missing

Ransomware jako služba: Nová tvář industrializovaných kybernetických trestných činů

Dvě šipky umístěné na čáře a směřující k sobě, každá na různé části cesty

 Nejnovější obchodní model počítačových trestních činů, útoky řízené lidmi, dodává odvahu zločincům s různými schopnostmi.

Ransomware, jedna z nejtrvalejších a nejrozšířenějších kybernetických hrozeb, se dál vyvíjí a jeho nejnovější forma představuje novou hrozbu pro organizace po celém světě. Vývoj ransomwaru nezahrnuje nové technologické pokroky. Místo toho zahrnuje nový obchodní model: ransomware jako služba (RaaS).

Ransomware jako služba (RaaS) je dohoda mezi operátorem, který vyvíjí a udržuje nástroje pro vyděračské operace, a partnerským subjektem, který nasazuje datovou část ransomwaru. Když tento partner provede úspěšný ransomwarový a vyděračský útok, vydělají na tom obě strany.

Model RaaS snižuje vstupní bariéru pro útočníky, kteří nemusí mít dovednosti nebo technické prostředky pro vývoj vlastních nástrojů, ale k provádění útoků můžou využívat hotové nástroje pro penetrační testování a nástroje pro správce systémů. Tito zločinci „nižší úrovně“ si také můžou jen koupit přístup k síti od nějaké sofistikovanější zločinecké skupiny, která už do určitého perimetru pronikla.

Ačkoli partneři RaaS používají ransomwarové datové části poskytované sofistikovanějšími operátory, nejsou součástí stejného ransomwarového „gangu“. Jsou to spíše samostatné „podniky“ působící v rámci celkové kyberzločinecké ekonomiky.

Rozšiřování schopností kyberzločinců a růst celkové kyberzločinecké ekonomiky

Model ransomwaru jako služby umožnil rychlé zdokonalení a industrializaci toho, čeho můžou dosáhnout méně schopní zločinci. V minulosti mohli tito méně sofistikovaní zločinci k provádění útoků s omezeným rozsahem používat komoditní malware, který si sami vytvořili nebo zakoupili. Teď však můžou vše, co potřebují – od přístupu k sítím až po datové části ransomwaru – získat od operátorů RaaS (samozřejmě za určitou cenu). Mnoho programů RaaS dále zahrnuje sadu nabídek podpory týkající se vydírání, včetně poznámek k hostování webů pro úniky dat a integrace do výkupného, a také vyjednávání o dešifrování, tlaku na zaplacení a služeb pro transakce v kryptoměnách.

To znamená, že dopad úspěšného ransomwarového útoku a vydírání zůstává stejný bez ohledu na dovednosti útočníka.

Objevování a zneužívání ohrožení zabezpečení sítě – za určitou cenu

Jedním ze způsobů, jak operátoři RaaS poskytují přidanou hodnotu svým partnerům, je poskytování přístupu k napadeným sítím. Zprostředkovatelé přístupu vyhledávají na internetu zranitelné systémy, které můžou napadnout a držet si je pro pozdější zisk.

Aby byli útočníci úspěšní, potřebují přihlašovací údaje. Napadené přihlašovací údaje jsou pro tyto útoky tak důležité, že když kyberzločinci prodávají přístup k síti, je v mnoha případech v ceně zahrnut i zaručený účet správce.

To, jak zločinci se získaným přístupem naloží, se může velmi lišit v závislosti na jednotlivých skupinách a jejich úlohách nebo motivaci. Doba mezi prvním přístupem a využitím praktické práce přes klávesnici se proto může pohybovat od několika minut až po dny nebo ještě déle, ale pokud to okolnosti dovolí, může být škoda způsobena závratnou rychlostí. Ve skutečnosti bylo pozorováno, že doba od prvního přístupu k plnému výkupnému (včetně předání od zprostředkovatele přístupu partnerovi RaaS) trvá i méně než hodinu.

Udržování této ekonomiky v pohybu – trvalé a plíživé metody přístupu

Jakmile útočníci získají přístup do sítě, neradi ji opouštějí – a to i po získání výkupného. Zaplacení výkupného totiž nemusí ve skutečnosti snížit riziko pro postiženou síť a potenciálně slouží pouze k financování kyberzločinců, kteří se budou i nadále pokoušet zpeněžit útoky s různým malwarem nebo ransomwarem, dokud nejsou vytlačeni z prostředí.

Předávání informací mezi různými útočníky, ke kterému dochází při změnách v kyberzločinecké ekonomice, znamená, že v prostředí může přetrvávat více skupin aktivit, které používají různé metody odlišné od nástrojů používaných při ransomwarovém útoku. Například počáteční přístup získaný bankovním trojským koněm vede k nasazení nástroje Cobalt Strike, ale partner RaaS, který si přístup zakoupil, se může rozhodnout použít k provozování své kampaně nějaký nástroj pro vzdálený přístup, například TeamViewer.

Používání legitimních nástrojů a nastavení k zajištění trvalé přítomnosti oproti implantátům malwaru, jako je Cobalt Strike, je mezi ransomwarovými útočníky oblíbenou technikou, jak se vyhnout detekci a zajistit si delší přítomnost v síti.

Další oblíbenou technikou útočníků je vytváření nových uživatelských účtů pro zadní vrátka, ať už jsou to místní účty nebo účty ve službě Active Directory, které lze pak přidat do nástrojů pro vzdálený přístup, jako je virtuální privátní síť (VPN) nebo Vzdálená plocha. Bylo také pozorováno, že ransomwaroví útočníci upravují nastavení systémů, aby povolili Vzdálenou plochu, snížili zabezpečení protokolu a přidali nové uživatele do skupiny Remote Desktop Users.

Vývojový diagram vysvětlující plánování a provádění útoků RaaS

Boj proti nejnepolapitelnějším a nejprohnanějším protivníkům na světě

Jedním z rysů RaaS, který činí tuto hrozbu tak znepokojivou, je to, že se spoléhá na lidské útočníky, kteří mohou dělat informovaná a promyšlená rozhodnutí a měnit vzorce útoků na základě toho, co najdou v sítích, do kterých proniknou, a zajistit tak dosaženích svých cílů.

Microsoft začal používat termín ransomware řízený člověkem, aby definoval tuto kategorii útoků jako řetězec aktivit, na jejichž konci je škodlivá činnost ransomwaru, nikoli jako sada malwarových programů, které je třeba blokovat.

Zatímco většina kampaní k získání počátečního přístupu se spoléhá na automatizovaný průzkum, jakmile se útok přesune do fáze praktického použití klávesnice, útočníci využijí své znalosti a dovednosti a pokusí se překonat bezpečnostní produkty v daném prostředí.

Ransomwaroví útočníci jsou motivováni snadným ziskem, proto je pro narušení ekonomiky kyberzločinců klíčové zvýšit jejich náklady prostřednictvím posílení zabezpečení. Toto lidské rozhodování znamená, že i když produkty zabezpečení detekují specifické fáze útoku, samotní útočníci nejsou zcela vytlačeni a pokoušejí se pokračovat, pokud nejsou zablokováni nějakým kontrolním mechanismem zabezpečení. V mnoha případech, kdy antivirový produkt detekuje a zablokuje nějaký nástroj nebo datovou část, útočníci jednoduše použijí jiný nástroj nebo upraví datovou část.

Útočníci mají také povědomí o dobách reakcí týmu SOC (Security Operations Center) a schopnostech a omezeních nástrojů detekce. Když se útok dostane do fáze odstraňování záloh nebo stínových kopií, zbývají do nasazení ransomwaru už jen minuty. Nežádoucí osoba už pravděpodobně provedla škodlivé akce, jako je exfiltrace dat. Tyto znalosti jsou klíčové pro týmy SOC reagující na ransomware. Prověřování detekovaných nástrojů, jako je třeba Cobalt Strike, před fází nasazení ransomwaru a provádění rychlých nápravných akcí a postupů reakce na incident (IR) jsou rozhodující pro potlačení činnosti nežádoucí osoby.

Jak posílit zabezpečení proti hrozbám a vyhnout se únavě z upozornění

Odolná strategie zabezpečení proti odhodlaným nežádoucím osobám musí zahrnovat cíle pro detekci a zmírňování. Nestačí se spoléhat pouze na detekci, protože 1.) některé události infiltrace jsou prakticky neodhalitelné (vypadají jako více nevinných akcí) a 2.) není neobvyklé, že jsou útoky ransomwaru přehlédnuty kvůli únavě z upozornění způsobené větším počtem upozornění produktů zabezpečení.

Protože útočníci mají více způsobů, jak obejít a deaktivovat produkty zabezpečení, a jsou schopni napodobit neškodné chování správce, aby co nejvíce splynuli s okolím, měly by týmy IT zabezpečení a týmy SOC podpořit své detekční úsilí opatřeními na posílení zabezpečení.

Ransomwaroví útočníci jsou motivováni snadným ziskem, proto je pro narušení ekonomiky kyberzločinců klíčové zvýšit jejich náklady prostřednictvím posílení zabezpečení.

Tady je několik kroků, které můžou organizace podniknout, aby se chránily:

 

  • Vybudujte hygienu týkající se přihlašovacích údajů: Vypracujte si segmentaci logické sítě založenou na oprávněních, kterou lze implementovat spolu se segmentací fyzické sítě a omezit tak laterální pohyb.
  • Auditujte vystavení přihlašovacích údajů rizikům: Auditování vystavení přihlašovacích údajů má zásadní význam pro prevenci ransomwarových útoků a kybernetických trestných činů obecně. Týmy zabezpečení IT a SOC můžou spolupracovat na omezení oprávnění správců a porozumění úrovni, na které jsou jejich oprávnění vystavena.
  • Posilte zabezpečení cloudu: Vzhledem k tomu, že se útočníci přesouvají ke cloudovým prostředkům, je důležité zabezpečit cloudové prostředky a identity stejně jako místní účty. Týmy zabezpečení by se měly zaměřit na posilování infrastruktury identit v zabezpečení, vynucování vícefaktorového ověřování (MFA) u všech účtů a na to, aby se ke správcům cloudu/správcům tenantů přistupovalo se stejnou úrovní zabezpečení a hygieny přihlašovacích údajů jako ke správcům domén.
  • Odstraňte slepá místa zabezpečení: Organizace by měly ověřovat, že jsou jejich nástroje zabezpečení provozovány v optimální konfiguraci, a provádět pravidelné kontroly sítě, aby bylo zajištěno, že produkt zabezpečení chrání všechny systémy.
  • Omezte potenciální oblast útoku: Zřiďte pravidla pro omezení potenciální oblasti útoku, abyste předešli běžným technikám útoků používaných při ransomwarových útocích. Při zaznamenaných útocích několika skupin zaměřených na aktivity spojené s ransomwarem se organizacím s jasně definovanými pravidly podařilo zmírnit útoky v jejich počátečních fázích a zároveň zabránit aktivitám prováděným pomocí klávesnice.
  • Vyhodnoťte perimetr: Organizace musí identifikovat a zabezpečit perimetrické systémy, které by útočníci mohli využít k přístupu do sítě. K rozšíření dat je možné použít veřejná rozhraní pro prohledávání.
  • Zpřísněte zabezpečení prostředků s přístupem k internetu: Ransomwaroví útočníci a zprostředkovatelé přístupu využívají neopravená ohrožení zabezpečení, ať už se jedná o už známá ohrožení zabezpečení nebo využití útoků nultého dne, zejména v počáteční fázi přístupu. Rychle si také osvojují nová ohrožení zabezpečení. K dalšímu snížení rizika můžou organizace využívat funkce správy ohrožení zabezpečení v produktech pro detekci a reakci v koncových bodech k odhalování, prioritizaci a nápravě ohrožení zabezpečení a chybných konfigurací.
  • Připravte se na obnovu: Nejlepší obrana proti ransomwaru by měla zahrnovat plány rychlého obnovení v případě útoku. Obnova po útoku vyjde levněji než zaplacení výkupného, proto nezapomeňte vytvářet pravidelné zálohy důležitých systémů a chránit tyto zálohy proti úmyslnému vymazání a zašifrování. Pokud je to možné, uchovávejte zálohy v online neměnném úložišti nebo zcela offline či mimo pracoviště.
  • Další obrana proti ransomwarovým útokům: Mnohostranná hrozba nové ransomwarové ekonomiky a nezachytitelná povaha ransomwarových útoků řízených lidmi vyžadují, aby organizace přijaly komplexní přístup k zabezpečení.

Kroky, které jsme uvedli výše, pomáhají bránit se proti běžným vzorům útoků a do značné míry zabrání i ransomwarovým útokům. Pokud chcete dále posilovat obranu proti tradičnímu a lidmi řízenému ransomwaru a dalším hrozbám, používejte nástroje zabezpečení, které poskytují hluboký přehled napříč doménami a sjednocené funkce prověřování.

Další přehled ransomwaru doplněný o tipy a osvědčené postupy týkající se prevence, detekce a nápravy najdete na stránce Chraňte svou organizaci před ransomwarem. Ještě podrobnější informace o ransomwaru řízeném lidmi najdete v článku, jehož autorkou je Senior Security Researcher Jessica Payne, Ransomware jako služba: ekonomika kybernetických trestních činů a jak se chránit.

Související články

2. číslo Cyber Signals: Ekonomika vydírání

Poslechněte si, co o vývoji ransomwaru jako služby říkají odborníci z první linie. Seznamte se s nástroji, taktikami a cíli kyberzločinců, od programů a škodlivé činnosti virů až po zprostředkovatele přístupu a partnery, a získejte pokyny, které vám pomohou ochránit vaši organizaci.

Profil experta: Nick Carr

Nick Carr, vedoucí týmu Cybercrime Intelligence ve středisku Analýzy hrozeb Microsoft, hovoří o trendech v oblasti ransomwaru, vysvětluje, co Microsoft dělá pro ochranu zákazníků před ransomwarem, a popisuje, co můžou organizace dělat, pokud byly ransomwarem napadeny.

Chraňte svou organizaci před ransomwarem

Seznamte se s činností zločinců, kteří nelegálně vyvíjejí a provozují ransomware. Pomůžeme vám pochopit motivaci a mechanismy útoků ransomwaru a povíme vám o osvědčených postupech ochrany i zálohování a obnovy.