Vaadake Cyber Signalsi digitaalset infoülevaadet, kus Microsofti turbeteenuse osakonna asepresident Vasu Jakkal intervjueerib ohuluure tippeksperte lunavaramajanduse ja selle kohta, kuidas organisatsioonid saavad aidata end kaitsta.
Nii nagu paljud tööstused on tõhususe huvides nihkunud lühiajalise tööjõu poole, rendivad või müüvad küberkurjategijad osa kasumi eest oma lunavaratööriistu, selle asemel, et ründeis ise sooritada.
RaaS alandab sisenemisbarjääri ja hägustab lunavara taga olevate ründajate isikud. Mõnel programmil on 50+ „sidusettevõtet“, kuna need viitavad nende teenuse kasutajatele, kellel on erinevad tööriistad, tööviisid ja eesmärgid. Nii nagu igaüks, kellel on auto, võib pakkuda sõidujagamisteenust, võivad selle majandusega liituda kõik, kellel on sülearvuti ja krediitkaart, kes soovivad tumedast veebist läbitungimise testimise tööriistu või valmispahavara otsida.
See küberkuritegevuse industrialiseerimine on loonud spetsiaalsed rollid, nagu juurdepääsu vahendajad, kes müüvad juurdepääsu võrkudele. Üks turbemurre hõlmab sageli mitut küberkurjategijat sissetungi erinevates etappides.
RaaS-i komplekte on tumeveebis lihtne leida ja neid reklaamitakse samamoodi, nagu reklaamitakse kaupu üle interneti.
RaaS-i komplekt võib sisaldada klienditeeninduse tuge, komplekteeritud pakkumisi, kasutajate ülevaateid, foorumeid ja muid funktsioone. Küberkurjategijad võivad maksta RaaS-i komplekti eest kindlat hinda, samal ajal kui teised grupid, kes müüvad RaaS-i sidusettevõtte mudeli alusel, võtavad protsendi kasumist.
Lunavararünded hõlmavad otsuseid, mis põhinevad võrkude konfiguratsioonidel ja erinevad iga ohvri puhul isegi siis, kui lunavara kasulik koormus on sama. Lunavara kulmineerub ründega, mis võib hõlmata andmete väljafiltreerimist ja muid mõjusid. Küberkuritegeliku majanduse omavahel seotud olemuse tõttu võivad näiliselt mitteseotud sissetungid üksteisele tugineda. Infostealeri pahavara, mis varastab paroole ja küpsiseid, käsitletakse vähem rangelt, kuid küberkurjategijad müüvad neid paroole muude rünnete võimaldamiseks.
Need ründed järgivad algse juurdepääsu malli pahavaraga nakatamise või haavatavuse ärakasutamise kaudu, seejärel identimisteabevarguse kaudu, et tõsta privileege ja liikuda külgsuunas. Industrialiseerimine võimaldab ilma keerukuse või kõrgetasemeliste oskusteta ründajatel sooritada viljakaid ja mõjukaid lunavararündeid. Pärast Conti sulgemist oleme täheldanud lunavaramaastikul nihkeid. Mõned sidusettevõtted, kes juurutasid Conti, liikusid kasulikele koormustele väljakujunenud RaaS-i ökosüsteemidest, nagu LockBit ja Hive, samas kui teised juurutavad samaaegselt kasulikke koormusi mitmest RaaS-i ökosüsteemist.
Uued RaaS-id, nagu QuantumLocker ja Black Basta, täidavad Conti seiskamisest tekkinud vaakumi. Kuna suurem osa lunavara levialast keskendub küberohustajate asemel kasulikele koormustele, ajab see kasuliku koormuse vahetamine tõenäoliselt valitsused, õiguskaitseorganid, meedia, turbeteadlased ja kaitsjad segadusse, kes on rünnete taga.
Lunavarast aruandlus võib tunduda lõputu skaleerimisprobleemina; tegelikkuses on aga piiratud kogum ohustajaid, kes kasutavad seda tehnikat.
Lunavara eesmärk on ohvrilt raha välja pressida. Enamik praeguseid RaaS-i programme lekitab ka varastatud andmeid, mida nimetatakse topeltväljapressimiseks. Kuna katkestused põhjustavad tagasilööke ja valitsuse häired lunavaraoperaatorite töös suurenevad, loobuvad mõned rühmad lunavarast ja tegelevad andmete väljapressimisega.
Kaks väljapressimisele keskendunud rühma on DEV-0537 (teise nimega LAPSUS $) ja DEV-0390 (endine Conti sidusettevõte). DEV-0390 sissetung saab alguse pahavarast, kuid kasutab andmete väljafiltreerimiseks ja maksete väljapressimiseks seaduslikke tööriistu. Nad kasutavad läbitungimise testimise tööriistu, nagu Cobalt Strike, Brute Ratel C4 ja legitiimset Atera kaughaldusutiliiti, et säilitada juurdepääs ohvrile. DEV-0390 suurendab privileege, varastades identimisteavet, otsib tundlikke andmeid (sageli ettevõtte varundus- ja failiserverites) ja saadab andmed failide varundusutiliidi abil pilvefailide jagamise saidile.
DEV-0537 kasutab väga erinevat strateegiat ja tööviisi. Esialgne juurdepääs saadakse, ostes volikirjad kuritegelikust põrandaalusest asutusest või sihtorganisatsioonide töötajatelt.
Tuleb mõista identiteetide ja usaldussuhete omavahelise seotuse olemust kaasaegsetes tehnoloogiaökosüsteemides, need on suunatud telekommunikatsioonile, tehnoloogiale, IT-teenustele ja toetavad ettevõtteid, et võimendada juurdepääsu ühele organisatsioonile, et pääseda partnerite või tarnijate võrkudesse. Ainult väljapressimisründed näitavad, et võrgukaitsjad peavad vaatama kaugemale lõppstaadiumis lunavarast ning jälgima hoolikalt andmete väljafiltreerimist ja külgsuunalist liikumist.
Kui küberohustaja kavatseb organisatsioonilt midagi välja pressida, et see saaks hoida oma andmed privaatselt, on lunavara kasulik koormus ründestrateegia kõige vähem oluline ja kõige vähem väärtuslikum osa. Lõppkokkuvõttes on see operaatori valik, mida ta otsustab kasutusele võtta, ja lunavara ei ole alati suur preemia, mida küberohustaja jahib.
Kuigi lunavara või topeltväljapressimine võib tunduda kogenud ründaja ründe vältimatu tagajärg, on lunavara välditav katastroof. Ründajate turvanõrkustele tuginemine tähendab, et investeeringud küberhügieeni on ulatuslikud.
Microsofti ainulaadne nähtavus annab meile ülevaate küberohustajate tegevusest. Selle asemel, et loota foorumipostitustele või vestlusleketele, uurib meie turbeekspertide meeskond uusi lunavara taktikaid ja arendab ohuteavet, mis annab teavet meie turbelahendustest.
Integreeritud ohukaitse seadmete, identiteedi, rakenduste, e-posti, andmete ja pilve vahel aitab meil tuvastada ründeid, mida oleks tähistatud kui mitme ohustajaga, kuigi tegelikult on tegemist ühe küberkurjategijate grupiga. Meie tehnilistest, juriidilistest ja äriekspertidest koosnev digitaalkuritegude üksus jätkab koostööd õiguskaitseorganitega, et takistada küberkuritegevust
Microsoftil on põhjalikud soovitused asukohas https://go.microsoft.com/fwlink/?linkid=2262350.
Kuulake ohuteabeanalüütikult Emily Hackerilt, kuidas tema meeskond püsib kursis muutuva lunavara kui teenuse maailmaga.
Metoodika: Hetketõmmise andmete saamiseks esitasid Microsofti platvormid, sealhulgas Defender ja Azure Active Directory, ning meie digitaalkuritegude üksus anonüümitud andmeid ohutegevuste kohta, nagu ründemeilikontod, andmepüügimeilid ja ründajate liikumine võrkudes. Täiendavad andmed pärinevad 43 triljonist igapäevasest turbesignaalist, mida Microsoft kogub pilvkeskkondadest, lõppseadmetest, tehisintelligentsest servast ning meie turbemurdejärgse ohutustaaste ning ohutuvastuse ja -kõrvalduse töörühmade abil.
Jälgi Microsofti