Trace Id is missing
Μετάβαση στο κύριο περιεχόμενο
Security Insider

Το Ransomware ως υπηρεσία: Το νέο πρόσωπο του κυβερνοεγκλήματος

Κοινοποίηση
Δύο βέλη επάνω σε μια γραμμή που δείχνουν το ένα προς το άλλο σε διαφορετική διαδρομή

 Το νεότερο επιχειρηματικό μοντέλο του κυβερνοεγκλήματος, οι επιθέσεις από ανθρώπους, ενθαρρύνει εγκληματίες διαφορετικών ικανοτήτων.

Το Ransomware, μια από τις πιο επίμονες και διεισδυτικές κυβερνοαπειλές, συνεχίζει να εξελίσσεται και η τελευταία του μορφή παρουσιάζει μια νέα απειλή για οργανισμούς παγκοσμίως. Η εξέλιξη του ransomware δεν περιλαμβάνει νέες εξελίξεις στην τεχνολογία. Αντιθέτως, περιλαμβάνει ένα νέο επιχειρηματικό μοντέλο: το ransomware ως υπηρεσία (RaaS).

Το Ransomware ως υπηρεσία (RaaS) είναι μια συμφωνία μεταξύ ενός χειριστή, ο οποίος δημιουργεί και διατηρεί τα εργαλεία για την τροφοδότηση των δραστηριοτήτων εκβιασμού, και ενός συνεργάτη, ο οποίος αναπτύσσει το ωφέλιμο φορτίο του ransomware. Όταν ο συνεργάτης διεξάγει μια επιτυχημένη επίθεση ransomware και εκβιασμού, και τα δύο μέρη κερδίζουν.

Το μοντέλο RaaS χαμηλώνει το φράγμα εισόδου για εισβολείς που μπορεί να μην έχουν τη δεξιότητα ή τα τεχνικά μέσα να αναπτύξουν τα δικά τους εργαλεία, αλλά μπορούν να διαχειριστούν έτοιμες δοκιμές διείσδυσης και εργαλεία διαχειριστή συστήματος για την εκτέλεση επιθέσεων. Αυτοί οι εγκληματίες χαμηλότερου επιπέδου μπορούν επίσης απλώς να αγοράσουν πρόσβαση στο δίκτυο από μια πιο εξελιγμένη εγκληματική ομάδα που έχει ήδη παραβιάσει μια περίμετρο.

Αν και οι συνεργάτες του RaaS χρησιμοποιούν ωφέλιμα φορτία ransomware που παρέχονται από πιο εξελιγμένους χειριστές, δεν αποτελούν μέρος της ίδιας «συμμορίας» ransomware. Μάλλον, έχουν δικές τους ξεχωριστές επιχειρήσεις που δραστηριοποιούνται στη συνολική οικονομία του κυβερνοεγκλήματος.

Εξέλιξη των δυνατοτήτων των κυβερνοεγκληματιών και ανάπτυξη της συνολικής οικονομίας του κυβερνοεγκλήματος

Το μοντέλο του ransomware ως υπηρεσία έχει υποβοηθήσει την ταχεία βελτίωση και εκβιομηχάνιση αυτών που μπορούν να επιτύχουν οι λιγότερο ικανοί εγκληματίες. Παλαιότερα, αυτοί οι λιγότερο εξελιγμένοι εγκληματίες μπορεί να χρησιμοποιούσαν εμπορικό κακόβουλο λογισμικό που είτε κατασκεύαζαν είτε αγόραζαν για να εκτελούν επιθέσεις περιορισμένης έκτασης, αλλά τώρα μπορούν να αποκτήσουν ό,τι χρειάζονται—από πρόσβαση σε δίκτυα έως ωφέλιμα φορτία ransomware—από τους χειριστές του RaaS τους (για το ανάλογο αντίτιμο, φυσικά). Πολλά προγράμματα RaaS ενσωματώνουν επιπλέον μια οικογένεια προγραμμάτων προσφορών υποστήριξης εκβιασμών, συμπεριλαμβανομένης της φιλοξενίας της τοποθεσίας διαρροής δεδομένων και της ενοποίησης σε σημειώσεις λύτρων, καθώς και της διαπραγμάτευσης αποκρυπτογράφησης, της πίεσης πληρωμής και των υπηρεσιών συναλλαγών σε κρυπτονομίσματα.

Αυτό σημαίνει ότι ο αντίκτυπος μιας επιτυχημένης επίθεσης ransomware και εκβιασμού παραμένει ο ίδιος ανεξάρτητα από τις δεξιότητες του εισβολέα.

Ανακάλυψη και εκμετάλλευση των ευπαθειών του δικτύου…για το ανάλογο αντίτιμο

Ένας τρόπος με τον οποίο οι χειριστές RaaS παρέχουν αξία στους συνεργάτες τους είναι παρέχοντας πρόσβαση σε παραβιασμένα δίκτυα. Οι μεσίτες πρόσβασης σαρώνουν το internet αναζητώντας ευάλωτα συστήματα, τα οποία μπορούν να παραβιάσουν και να τα κρατήσουν για να αποκομίσουν κέρδος αργότερα.

Για να επιτύχουν, οι εισβολείς χρειάζονται διαπιστευτήρια. Τα παραβιασμένα διαπιστευτήρια είναι τόσο σημαντικά για αυτές τις επιθέσεις που όταν οι κυβερνοεγκληματίες πωλούν πρόσβαση στο δίκτυο, σε πολλές περιπτώσεις, η τιμή περιλαμβάνει έναν εγγυημένο λογαριασμό διαχειριστή.

Αυτό που κάνουν οι εγκληματίες αφού αποκτήσουν πρόσβασή μπορεί να ποικίλλει πολύ ανάλογα με τις ομάδες και τον φόρτο εργασίας ή τα κίνητρά τους. Ο χρόνος που μεσολαβεί μεταξύ της αρχικής πρόσβασης και μιας ανάπτυξης επίθεσης με πρόσβαση στο πληκτρολόγιο μπορεί επομένως να κυμαίνεται από λεπτά έως ημέρες ή περισσότερο, αλλά όταν οι συνθήκες το επιτρέψουν, μπορεί να προκληθεί ζημιά με ιλιγγιώδη ταχύτητα. Για την ακρίβεια, ο χρόνος από την αρχική πρόσβαση έως την απαίτηση λύτρων (συμπεριλαμβανομένης της παράδοσης από έναν μεσίτη πρόσβασης σε έναν συνεργάτη RaaS) έχει παρατηρηθεί ότι διαρκεί λιγότερο από μία ώρα.

Διατήρηση της οικονομίας σε κίνηση – επίμονες και ύπουλες μέθοδοι πρόσβασης

Αφού οι εισβολείς αποκτήσουν πρόσβαση σε ένα δίκτυο, δεν θέλουν καθόλου να φύγουν—ακόμα και αφού λάβουν τα λύτρα τους. Για την ακρίβεια, η πληρωμή των λύτρων μπορεί να μην μειώνει τον κίνδυνο σε ένα προσβεβλημένο δίκτυο και πιθανόν να εξυπηρετεί μόνο ως χρηματοδότηση των κυβερνοεγκληματιών, οι οποίοι θα συνεχίσουν να προσπαθούν να δημιουργούν έσοδα από επιθέσεις με διαφορετικά ωφέλιμα φορτία κακόβουλου λογισμικού ή ransomware έως ότου εκδιωχθούν.

Η μεταφορά που προκύπτει μεταξύ διαφορετικών εισβολέων καθώς λαμβάνουν χώρα μεταβάσεις στην οικονομία του κυβερνοεγκλήματος σημαίνει ότι πολλές ομάδες δραστηριοτήτων ενδέχεται να εμμένουν σε ένα περιβάλλον χρησιμοποιώντας διάφορες μεθόδους διαφορετικές από τα εργαλεία που χρησιμοποιούνται σε μια επίθεση ransomware. Για παράδειγμα, η αρχική πρόσβαση που αποκτάται από ένα δούρειο ίππο τραπεζικών υπηρεσιών οδηγεί σε μια ανάπτυξη του Cobalt Strike, αλλά ο συνεργάτης του RaaS που αγόρασε την πρόσβαση μπορεί να επιλέξει να χρησιμοποιήσει ένα εργαλείο απομακρυσμένης πρόσβασης όπως το TeamViewer για να διαχειριστεί την εκστρατεία του.

Η χρήση νόμιμων εργαλείων και ρυθμίσεων έναντι εμφυτευμάτων κακόβουλου λογισμικού όπως το Cobalt Strike για να εμμένουν, είναι μια δημοφιλής τεχνική μεταξύ των εισβολέων ransomware για να αποφεύγουν τον εντοπισμό και να παραμένουν εντός ενός δικτύου για μεγαλύτερο χρονικό διάστημα.

Μια άλλη δημοφιλής τεχνική εισβολέων είναι η δημιουργία νέων λογαριασμών χρήστη από κερκόπορτα, είτε τοπικά είτε στην υπηρεσία καταλόγου Active Directory, που μπορούν στη συνέχεια να προστεθούν σε εργαλεία απομακρυσμένης πρόσβασης, όπως ένα εικονικό ιδιωτικό δίκτυο (VPN) ή μια απομακρυσμένη επιφάνεια εργασίας. Έχει επίσης παρατηρηθεί πως οι εισβολείς με ransomware επεξεργάζονται τις ρυθμίσεις στα συστήματα για να ενεργοποιήσουν την απομακρυσμένη επιφάνεια εργασίας, να μειώσουν την ασφάλεια του πρωτοκόλλου και να προσθέσουν νέους χρήστες στην ομάδα χρηστών απομακρυσμένης επιφάνειας εργασίας.

Διάγραμμα ροής που εξηγεί πώς προγραμματίζονται και υλοποιούνται οι επιθέσεις RaaS

Αντιμετώπιση των πιο άπιαστων και πονηρών αντιπάλων στον κόσμο

Μια από τις ιδιότητες του RaaS που καθιστά την απειλή τόσο ανησυχητική είναι το πώς στηρίζεται σε ανθρώπους εισβολείς που μπορούν να λάβουν ενημερωμένες και υπολογισμένες αποφάσεις και να διαφοροποιούν τα μοτίβα επίθεσης με βάση το τι βρίσκουν στα δίκτυα όπου εισβάλουν, διασφαλίζοντας ότι θα εκπληρώσουν τους στόχους τους.

Η Microsoft επινόησε τον όρο ransomware που το χειρίζεται άνθρωπος για να ορίσει αυτήν την κατηγορία επιθέσεων ως μια αλυσίδα δραστηριοτήτων που κορυφώνονται σε ένα ωφέλιμο φορτίο ransomware, όχι ως ένα σύνολο ωφέλιμων φορτίων κακόβουλου λογισμικού που πρέπει να αποκλειστούν.

Ενώ οι περισσότερες εκστρατείες αρχικής πρόσβασης βασίζονται στην αυτοματοποιημένη επίθεση υποκλοπής στοιχείων, όταν η επίθεση μεταβεί στη φάση της πρόσβασης στο πληκτρολόγιο, οι εισβολείς θα χρησιμοποιήσουν τις γνώσεις και τις δεξιότητές τους για να προσπαθήσουν να νικήσουν τα προϊόντα ασφαλείας στο περιβάλλον.

Οι εισβολείς ransomware παρακινούνται από τα εύκολα κέρδη, επομένως η αύξηση του κόστους τους μέσω της ενίσχυσης της ασφαλείας είναι σημαντική για τη διατάραξη της οικονομίας του κυβερνοεγκλήματος. Αυτή η λήψη αποφάσεων από ανθρώπους σημαίνει ότι ακόμα κι αν τα προϊόντα ασφαλείας ανιχνεύσουν συγκεκριμένα στάδια επίθεσης, οι ίδιοι οι εισβολείς δεν εκδιώχνονται πλήρως, αλλά προσπαθούν να συνεχίσουν εάν δεν αποκλειστούν από έναν έλεγχο ασφαλείας. Σε πολλές περιπτώσεις, εάν ένα εργαλείο ή ωφέλιμο φορτίο εντοπιστεί και αποκλειστεί από ένα προϊόν προστασίας από ιούς, οι εισβολείς απλώς αρπάζουν ένα διαφορετικό εργαλείο ή τροποποιούν το ωφέλιμο φορτίο τους.

Οι εισβολείς επίσης γνωρίζουν τους χρόνους απόκρισης του κέντρου επιχειρήσεων ασφαλείας (SOC) και τις δυνατότητες και τους περιορισμούς των εργαλείων εντοπισμού. Μέχρι να φτάσει η επίθεση στο στάδιο της διαγραφής των αντιγράφων ασφαλείας ή των σκιωδών αντιγράφων, θα απέχουν μόλις λίγα λεπτά από την ανάπτυξη του ransomware. Ο αντίπαλος πιθανότατα θα είχε ήδη πραγματοποιήσει επιβλαβείς ενέργειες όπως η διήθηση δεδομένων. Αυτή η γνώση είναι σημαντική για τις SOC που αποκρίνονται σε ransomware: η διερεύνηση εντοπισμών όπως το Cobalt Strike πριν από το στάδιο ανάπτυξης του ransomware και η εκτέλεση ενεργειών ταχείας αποκατάστασης και διαδικασιών απόκρισης σε περιστατικά (IR) είναι κρίσιμες για τον περιορισμό ενός ανθρώπινου αντιπάλου.

Ενίσχυση της ασφάλειας έναντι απειλών, με ταυτόχρονη αποφυγή της κόπωσης των ειδοποιήσεων

Μια ανθεκτική στρατηγική ασφάλειας έναντι αποφασιστικών ανθρώπινων αντιπάλων πρέπει να περιλαμβάνει στόχους εντοπισμού και μετριασμού. Δεν αρκεί να βασίζεστε μόνο στον εντοπισμό, επειδή 1) ορισμένα συμβάντα διείσδυσης είναι πρακτικά μη ανιχνεύσιμα (μοιάζουν με πολλές αθώες ενέργειες) και 2) δεν είναι ασυνήθιστο οι επιθέσεις με ransomware να παραβλέπονται λόγω κόπωσης των ειδοποιήσεων που προκαλείται από πολλές, ανόμοιες ειδοποιήσεις προϊόντων ασφαλείας.

Επειδή οι εισβολείς έχουν πολλούς τρόπους να αποφεύγουν και να απενεργοποιούν τα προϊόντα ασφαλείας και είναι ικανοί να μιμούνται την καλόβουλη συμπεριφορά διαχειριστή προκειμένου να αναμιγνύονται όσο το δυνατόν περισσότερο, οι ομάδες ασφαλείας IT και τα SOC θα πρέπει να υποστηρίζουν τις προσπάθειες εντοπισμού τους με μέτρα ενίσχυσης της ασφάλειας.

Οι εισβολείς ransomware παρακινούνται από τα εύκολα κέρδη, επομένως η αύξηση του κόστους τους μέσω της ενίσχυσης της ασφαλείας είναι σημαντική για τη διατάραξη της οικονομίας του κυβερνοεγκλήματος.

Ακολουθούν ορισμένα μέτρα που μπορούν να λάβουν οι οργανισμοί για να προστατευθούν:

 

  • Δημιουργία υγιεινής των διαπιστευτηρίων: Αναπτύξτε έναν λογικό κατακερματισμό δικτύου βασισμένο σε προνόμια που μπορούν να εφαρμοστούν παράλληλα με τον κατακερματισμό δικτύου για τον περιορισμό της πλευρικής κίνησης.
  • Έλεγχος έκθεσης διαπιστευτηρίων: Ο έλεγχος της έκθεσης των διαπιστευτηρίων είναι ζωτικής σημασίας για την πρόληψη των επιθέσεων ransomware και του κυβερνοεγκλήματος γενικότερα. Οι ομάδες ασφάλειας IT και οι SOC μπορούν να συνεργαστούν για να μειώσουν τα προνόμια των διαχειριστών και να κατανοήσουν το επίπεδο στο οποίο εκτίθενται τα διαπιστευτήριά τους.
  • Ενίσχυση του cloud: Καθώς οι εισβολείς μετακινούνται προς τους πόρους του cloud, είναι σημαντικό να διασφαλίζονται οι πόροι του cloud και οι ταυτότητες καθώς και οι λογαριασμοί στις εγκαταστάσεις. Οι ομάδες ασφαλείας θα πρέπει να επικεντρώνονται στην ενίσχυση της υποδομής των ταυτοτήτων ασφαλείας, στην επιβολή ελέγχου ταυτότητας πολλών παραγόντων (MFA) σε όλους τους λογαριασμούς και στη μεταχείριση των διαχειριστών του cloud/των διαχειριστών μισθωτών με το ίδιο επίπεδο ασφάλειας και υγιεινής των διαπιστευτηρίων με τους διαχειριστές του τομέα.
  • Κλείσιμο τυφλών σημείων ασφαλείας: Οι οργανισμοί θα πρέπει να επαληθεύουν ότι τα εργαλεία ασφαλείας τους λειτουργούν με τη βέλτιστη ρύθμιση παραμέτρων και να εκτελούν τακτικές σαρώσεις δικτύου για να διασφαλίζουν ότι ένα προϊόν ασφαλείας προστατεύει όλα τα συστήματα.
  • Περιορισμός της ευάλωτης σε επιθέσεις περιοχής: Καθιερώστε κανόνες περιορισμού της ευάλωτης σε επιθέσεις περιοχής για την αποτροπή κοινών τεχνικών επίθεσης που χρησιμοποιούνται σε επιθέσεις ransomware. Στις επιθέσεις που παρατηρήθηκαν από διάφορες ομάδες δραστηριοτήτων που σχετίζονται με το ransomware, οι οργανισμοί με σαφώς καθορισμένους κανόνες μπόρεσαν να μετριάσουν τις επιθέσεις στα αρχικά τους στάδια, αποτρέποντας παράλληλα τη δραστηριότητα με πρόσβαση στο πληκτρολόγιο.
  • Εκτιμήστε την περίμετρο: Οι οργανισμοί πρέπει να εντοπίζουν και να ασφαλίζουν περιμετρικά συστήματα που ενδέχεται να χρησιμοποιήσουν οι εισβολείς για να αποκτήσουν πρόσβαση στο δίκτυο. Οι δημόσιες διεπαφές σάρωσης, όπως , μπορούν να χρησιμοποιηθούν για την αύξηση των δεδομένων.
  • Ενίσχυση των πόρων με πρόσβαση από το internet: Οι εισβολείς ransomware και οι μεσίτες πρόσβασης χρησιμοποιούν μη ενημερωμένες ευπάθειες, είτε έχουν ήδη αποκαλυφθεί είτε είναι ευπάθεια "ημέρας μηδέν", ειδικά στο αρχικό στάδιο πρόσβασης. Επίσης, υιοθετούν γρήγορα νέες ευπάθειες. Για περαιτέρω μείωση της έκθεσης, οι οργανισμοί μπορούν να χρησιμοποιούν τις δυνατότητες διαχείρισης απειλών και ευπαθειών σε προϊόντα EDR για να ανακαλύψουν, να καθορίσουν προτεραιότητα και να αποκαταστήσουν ευπάθειες και εσφαλμένες διαμορφώσεις.
  • Προετοιμασία αποκατάστασης: Η καλύτερη άμυνα ransomware θα πρέπει να περιλαμβάνει σχέδια για γρήγορη αποκατάσταση σε περίπτωση επίθεσης. Η αποκατάσταση από μια επίθεση θα κοστίσει λιγότερο από την πληρωμή λύτρων, επομένως φροντίστε να κάνετε τακτικά αντίγραφα ασφαλείας των κρίσιμων συστημάτων σας και να προστατεύετε αυτά τα αντίγραφα ασφαλείας από σκόπιμη διαγραφή και κρυπτογράφηση. Εάν είναι δυνατόν, να αποθηκεύετε τα αντίγραφα ασφαλείας σε αμετάβλητο χώρο αποθήκευσης σε σύνδεση ή πλήρως χωρίς σύνδεση ή εκτός τοποθεσίας.
  • Περαιτέρω προστασία από επιθέσεις ransomware: Η πολύπλευρη απειλή της νέας οικονομίας ransomware και η άπιαστη φύση των επιθέσεων ransomware που χειρίζονται άνθρωποι απαιτούν από τους οργανισμούς να υιοθετήσουν μια ολοκληρωμένη προσέγγιση στην ασφάλεια.

Τα μέτρα που περιγράφονται παραπάνω βοηθούν στην άμυνα έναντι κοινών μοτίβων επιθέσεων και θα συμβάλουν στην αποτροπή επιθέσεων ransomware. Για να αυστηροποιήσετε περαιτέρω την άμυνα ενάντια στο παραδοσιακό ransomware που χειρίζονται άνθρωποι και σε άλλες απειλές, χρησιμοποιήστε εργαλεία ασφαλείας που μπορούν να παρέχουν βαθιά ορατότητα μεταξύ τομέων και ενοποιημένες δυνατότητες διερεύνησης.

Για μια πρόσθετη πλήρη επισκόπηση του ransomware με συμβουλές και βέλτιστες πρακτικές για την πρόληψη, τον εντοπισμό και την αποκατάσταση, ανατρέξτε στο θέμα  Προστασία του οργανισμού σας από ransomware και για ακόμη πιο αναλυτικές πληροφορίες σχετικά με το ransomware που χειρίζονται άνθρωποι, διαβάστε το κείμενο της Ανώτερης Ερευνήτριας Ασφαλείας Jessica Payne Ransomware-as-a-service: Understanding the cybercrime gig economy and how to protect yourself.

Σχετικά άρθρα

Cyber Signals Τεύχος 2: Οικονομικά του εκβιασμού

Μάθετε από ειδικούς πρώτης γραμμής για την ανάπτυξη του ransomware ως υπηρεσία. Από τα προγράμματα και τα ωφέλιμα φορτία έως τους μεσολαβητές πρόσβασης και τους συνεργάτες, μάθετε για τα εργαλεία, τις τακτικές και τους στόχους που προτιμούν οι εγκληματίες του κυβερνοχώρου και λάβετε οδηγίες για την προστασία του οργανισμού σας.
Μάθετε περισσότερα

Προφίλ ειδικού: Nick Carr

Ο Nick Carr, Επικεφαλής της ομάδας πληροφοριών για το έγκλημα στον κυβερνοχώρο στο Κέντρο πληροφοριών της Microsoft σχετικά με απειλές, συζητά τις τάσεις του ransomware, εξηγεί τι κάνει η Microsoft για να προστατεύσει τους πελάτες της από το ransomware και περιγράφει τι μπορούν να κάνουν οι οργανισμοί σε περίπτωση που έχουν πληγεί από αυτό.
Μάθετε περισσότερα

Προστασία του οργανισμού σας από ransomware

Πάρτε μια γεύση από τους εγκληματίες που δραστηριοποιούνται στην υπόγεια οικονομία του ransomware. Θα σας βοηθήσουμε να κατανοήσετε τα κίνητρα και τους μηχανισμούς των επιθέσεων ransomware και θα σας παρέχουμε βέλτιστες πρακτικές για την προστασία, καθώς και για τη δημιουργία αντιγράφων ασφαλείας και την ανάκτηση.
Μάθετε περισσότερα