Extortion Economics
Katso digitaalinen Cyber Signals -yleiskatsaus, jossa Microsoft Securityn CVP, Vasu Jakkal, haastattelee uhkatietämyksen huippuasiantuntijoita kiristysohjelmien talousjärjestelmästä sekä siitä, miten organisaatiot voivat suojautua.
Digitaalinen yleiskatsaus: Suojautuminen kiristysohjelmien talousjärjestelmältä
Uusi liiketoimintamalli tarjoaa tuoreita tietoja puolustajille
Siinä missä moni toimiala on siirtynyt tehokkuuden vuoksi keikkatyöntekijöihin, myös kyberrikolliset vuokraavat tai myyvät kiristysohjelmatyökaluja tuotto-osuutta vastaan hyökkäysten suorittamisen sijaan.
Kyberrikolliset voivat ostaa kiristysohjelma palveluna -mallissa käyttöoikeuden kiristysohjelman tietoihin ja vuodettuun dataan sekä maksuinfrastruktuuriin. Kiristysohjelmien "jengit" ovat todellisuudessa RaaS-ohjelmia, kuten Conti tai REvil, joita käyttävät useat eri toimijat, jotka vaihtavat RaaS-ohjelmien ja -tietojen välillä.
RaaS madaltaa kynnystä luvattomaan käyttöön ja piilottaa kiristyksen takana olevien hyökkääjien identiteetin. Joillakin ohjelmilla on yli 50 käyttäjää, eli niin sanottua kumppania, joilla on erilaiset työkalut, taidot ja tavoitteet. Samalla tavalla kuin kyytipalveluun voi osallistua kuka tahansa, kenellä on auto, tähän talousjärjestelmään voi osallistua kuka tahansa kannettavan tietokoneen ja luottokortin haltija, joka haluaa löytää pimeästä verkosta testityökaluja tai valmiita haittaohjelmia hyökkäystä varten.
Tietoverkkorikosten teollistuminen on luonut erikoistuneita rooleja, kuten verkkojen käyttöoikeuksia myyviä välittäjiä. Yksittäinen vaarantuminen sisältää usein monia kyberrikollisia hyökkäyksen eri vaiheissa.
RaaS-paketteja on helppo löytää pimeästä verkosta ja niitä mainostetaan samalla tavalla kuin muitakin tuotteita Internetissä.
RaaS-pakettiin saattaa sisältyä asiakastuki, pakettitarjouksia, käyttäjien arvosteluja, keskustelupalstoja sekä muita ominaisuuksia. Kyberrikolliset voivat maksaa RaaS-paketista tietyn hinnan, ja muut RaaS-ohjelmia kumppanimallin kautta myyvät ryhmät saavat tuotoista prosenttiosuuden.
Kiristysohjelmahyökkäyksiin kuuluu päätöksiä, jotka perustuvat verkkojen määrityksiin. Ne ovat erilaisia jokaiselle uhrille, vaikka kiristysohjelman tiedot olisivat samat. Kiristysohjelma kulminoituu hyökkäykseen, johon voi sisältyä tietojen luvatonta siirtoa sekä muita vaikutuksia. Koska kyberrikollisten talousjärjestelmä on luonteeltaan yhdistynyt, erillisiltä vaikuttavat hyökkäykset voivat hyödyntää toisiaan. Salasanoja ja evästeitä varastavaa tietojen haittaohjelmaa ei pidetä yhtä vakavana kuin muita ohjelmia, mutta kyberrikolliset myyvät salasanoja muiden hyökkäysten mahdollistamiseksi.
Hyökkäykset seuraavat mallia, joka alkaa käytöllä haittaohjelman tai heikkoutta hyödyntävän ohjelman kautta ja jatkuu tunnistetietojen varastamisella oikeuksien ylentämistä ja poikittaista siirtymistä varten. Teollistuminen mahdollistaa sen, että hyökkääjät ilman osaamista tai edistyneitä taitoja voivat suorittaa tuottoisia ja vaikuttavia kiristysohjelmahyökkäyksiä. Contin lopettamisen jälkeen kiristysohjelmaympäristössä on havaittu muutoksia. Jotkut Contia käyttäneet kumppanit siirtyivät LockBitin ja Hiven kaltaisten vakiintuneiden RaaS-ekosysteemien tietoihin ja toiset taas käyttävät samanaikaisesti useiden RaaS-ekosysteemien tietoja.
Uudet RaaS-ohjelmat, kuten QuantumLocker ja Black Basta, täyttävät Contin lopettamisesta aiheutuneen tyhjiön. Koska suurin osa kiristysohjelmien käsittelystä keskittyy tietoihin toimijoiden sijaan, tämä tietojen välillä vaihtaminen hämmentää todennäköisesti valtionhallintoja, viranomaisia, mediaa, tietoturvatutkijoita ja puolustajia sen suhteen, kuka hyökkäysten takana on.
Kiristysohjelmista raportointi saattaa tuntua loputtomalta skaalausongelmalta. Totuus kuitenkin on, että rajallinen joukko toimijoita käyttää menetelmien joukkoa.
Suositukset:
- Paranna tunnistetietojen hygieniaa: Kehitä oikeuksiin perustuva looginen verkon segmentointi, joka voidaan toteuttaa verkon segmentoinnin ohella poikittaisen liikkeen rajoittamiseksi.
- Valvo tunnistetietojen altistumista: Tunnistetietojen altistumisen valvonta on olennaista niin kiristysohjelmahyökkäysten kuin tietoverkkorikosten estämiseksi. IT-tietoturvatiimit ja SOC:t voivat työskennellä yhdessä järjestelmänvalvojan oikeuksien vähentämiseksi sekä selvittää sen tason, jolla heidän tunnistetietonsa altistuvat.
- Pienennä hyökkäyspintaa: Määritä hyökkäyspinta-alan rajoittamisen sääntöjä kiristysohjelmahyökkäyksissä yleisesti käytettyjen hyökkäysmenetelmien estämiseksi. Kiristysohjelmaan liittyvän toiminnan ryhmien havaituissa hyökkäyksissä sellaiset organisaatiot, joilla oli selkeästi määritetyt säännöt, ovat kyenneet lieventämään hyökkäyksiä niiden alkuvaiheessa sekä estämään manuaalisten toimintojen suorittamisen.
Kyberrikolliset lisäävät tuplakiristyksen hyökkäysstrategiaan
Kiristysohjelmien tarkoitus on kiristää uhrilta maksu. Uusimmat RaaS-ohjelmat myös vuotavat varastetut tiedot, mitä kutsutaan tuplakiristykseksi. Katkosten aiheuttaessa takaiskuja ja kun kiristysohjelmatoimijoiden estäminen valtionhallintojen toimesta lisääntyy, jotkut ryhmät luopuvat kiristysohjelmista ja pyrkivät kiristämään tiedoilla.
Kaksi kiristykseen keskittyvää ryhmää ovat DEV-0537 (eli LAPSUS$) ja DEV-0390 (entinen Conti-kumppani). DEV-0390:n hyökkäykset alkavat haittaohjelmasta mutta käyttävät laillisia työkaluja tietojen siirtämiseen ja maksun kiristämiseen. Ryhmä käyttää hyökkäyksen testityökaluja, kuten Cobalt Strikea ja Brute Ratel C4:ää, sekä laillista Atera-etähallintatyökalua saadakseen käyttöoikeuden kohteeseen. DEV-0390 ylentää oikeudet varastamalla tunnistetiedot, etsii arkaluonteiset tiedot (usein yritysten varmuuskopio- ja tiedostopalvelimista) ja lähettää datan pilvitiedostojen jakamissivustoon tiedostojen varmuuskopiointityökalun avulla.
DEV-0537 käyttää hyvin erilaista strategiaa ja taitoja. Aluksi käyttöoikeus saadaan ostamalla tunnistetiedot alamaailman rikollisilta tai kohdeorganisaatioiden työntekijöiltä.
Ongelmat
- Varastetut salasanat ja suojaamattomat käyttäjätiedot
Kiristysohjelmiakin enemmän hyökkääjät tarvitsevat tunnistetietoja voidakseen onnistua. Lähes kaikissa onnistuneissa kiristysohjelman käyttöönotoissa hyökkääjät saavat etuoikeutettujen, järjestelmänvalvojatason tilien käyttöoikeudet, joilla voi myöntää organisaation verkostojen laajan käytön. - Puuttuvat tai käytöstä poistetut suojaustuotteet
Lähes jokaisessa havaitussa kiristysohjelmatapauksessa vähintään yhdestä hyödynnetystä järjestelmästä puuttui suojaustuotteita tai ne oli määritetty väärin, minkä vuoksi hyökkääjät pystyivät peukaloimaan tiettyjä suojaustoimia tai poistamaan ne käytöstä. - Väärin määritetyt tai hyväksikäytetyt sovellukset
Suosittua sovellusta saatetaan käyttää yhteen tarkoitukseen, mutta rikolliset voivat hyväksikäyttää sitä toista tavoitetta varten. Hyvin usein vanhat määritykset aiheuttavat sen, että sovellus on sen oletusarvoisessa tilassa, ja kuka tahansa käyttäjä voi saada koko organisaation käyttöoikeuden. Älä jätä tätä riskiä huomiotta tai epäröi sovellusasetusten muuttamista häiriöiden pelossa. - Hitaat korjaukset
Tämä on todellinen klisee, kuten kasvisten syömisestä muistuttaminen, mutta tärkeä fakta: paras tapa vahvistaa ohjelmistoa on päivittää se. Jotkut pilvipohjaiset sovellukset päivittyvät ilman käyttäjän toimia, mutta yritysten on otettava muiden toimittajien korjaukset käyttöön välittömästi. Vuonna 2022 Microsoft havaitsi, että vanhat haavoittuvuudet ovat edelleen hyökkäysten ensisijainen aiheuttaja. - Varastetut salasanat ja suojaamattomat käyttäjätiedot
Kiristysohjelmiakin enemmän hyökkääjät tarvitsevat tunnistetietoja voidakseen onnistua. Lähes kaikissa onnistuneissa kiristysohjelman käyttöönotoissa hyökkääjät saavat etuoikeutettujen, järjestelmänvalvojatason tilien käyttöoikeudet, joilla voi myöntää organisaation verkostojen laajan käytön. - Puuttuvat tai käytöstä poistetut suojaustuotteet
Lähes jokaisessa havaitussa kiristysohjelmatapauksessa vähintään yhdestä hyödynnetystä järjestelmästä puuttui suojaustuotteita tai ne oli määritetty väärin, minkä vuoksi hyökkääjät pystyivät peukaloimaan tiettyjä suojaustoimia tai poistamaan ne käytöstä. - Väärin määritetyt tai hyväksikäytetyt sovellukset
Suosittua sovellusta saatetaan käyttää yhteen tarkoitukseen, mutta rikolliset voivat hyväksikäyttää sitä toista tavoitetta varten. Hyvin usein vanhat määritykset aiheuttavat sen, että sovellus on sen oletusarvoisessa tilassa, ja kuka tahansa käyttäjä voi saada koko organisaation käyttöoikeuden. Älä jätä tätä riskiä huomiotta tai epäröi sovellusasetusten muuttamista häiriöiden pelossa. - Hitaat korjaukset
Tämä on todellinen klisee, kuten kasvisten syömisestä muistuttaminen, mutta tärkeä fakta: paras tapa vahvistaa ohjelmistoa on päivittää se. Jotkut pilvipohjaiset sovellukset päivittyvät ilman käyttäjän toimia, mutta yritysten on otettava muiden toimittajien korjaukset käyttöön välittömästi. Vuonna 2022 Microsoft havaitsi, että vanhat haavoittuvuudet ovat edelleen hyökkäysten ensisijainen aiheuttaja.
Toiminnot
- Käyttäjätietojen todentaminen Pakota monimenetelmäinen todentaminen (MFA) kaikilla tileillä ja aseta järjestelmänvalvoja sekä muut arkaluonteiset roolit etusijalle. Kun kyseessä on hybridityövoima, vaadi monimenetelmäinen todentaminen aina kaikilla laitteilla ja kaikissa sijainneissa. Ota käyttöön salasanaton todentaminen, kuten FIDO-avaimet tai Microsoft Authenticator, sitä tukeville sovelluksille.
- Suojauksen sokeiden pisteiden käsittely
Palohälyttimien tapaan myös suojaustuotteet tulee asentaa oikeisiin tiloihin ja niitä on testattava säännöllisesti. Vahvista, että suojaustyökalut toimivat niiden kaikista turvallisimmilla määrityksillä ja että mikään verkon osa ei toimi ilman suojausta. - Vahvista Internetiä kohti olevia resursseja
Harkitse monistuvien tai käyttämättömien sovellusten poistamista riskialttiiden ja käyttämättömien palveluiden karsimiseksi. Ole tarkkana siitä, missä sallit TeamViewerin kaltaiset etätukisovellukset. Uhkaavat toimijat tunnetusti kohdistavat hyökkäyksiä niihin saadakseen nopean pääsyn kannettaviin tietokoneisiin. - Pidä järjestelmät ajan tasalla
Tee ohjelmistoinventaariosta jatkuva prosessi. Pysy ajan tasalla suoritettavista tuotteista ja aseta niiden tuki etusijalle. Hyödynnä kykyäsi korjata nopeasti ja perusteellisesti selvittääksesi, millä alueilla siirtyminen pilvipohjaisiin palveluihin on kannattavaa.
He ymmärtävät modernien teknologiaekosysteemien käyttäjätietojen ja luottamussuhteiden yhteyttä toisiinsa ja kohdistavat hyökkäyksiä televiestintään, teknologiaan, IT-palveluihin sekä tukiyrityksiin hyödyntääkseen yhdeltä organisaatiolta saatua käyttöoikeutta kumppaneiden ja toimittajien verkostoihin pääsemiseksi. Vain kiristykseen perustuvat hyökkäykset osoittavat, että verkkojen puolustajien on huomioitava muutkin kuin loppuvaiheen kiristysohjelmat ja pidettävä silmällä tietojen luvatonta siirtoa ja poikittaista liikettä.
Jos uhkaava toimija suunnittelee organisaation kiristämistä datan pitämiseksi yksityisinä, kiristysohjelman tiedot on vähiten merkittävä ja vähiten arvokas osa hyökkäysstrategiaa. Loppujen lopuksi käytettävät toimet ovat toimijan päätettävissä, eikä kiristysohjelma johda aina jokaisen uhkaavan toimijan toivomaan suureen maksuun.
Vaikka kiristysohjelma tai tuplakiristys voi vaikuttaa kehittyneen hyökkääjän suorittaman hyökkäyksen väistämättömältä lopputulokselta, kiristysohjelma on vältettävissä oleva katastrofi. Se, että hyökkääjät luottavat suojauksen heikkouksiin, tarkoittaa kyberturvallisuuteen investoimisen toimivan.
Microsoftin ainutlaatuinen näkyvyys tarjoaa meille linssin uhkaavien toimijoiden toimintaan. Foorumijulkaisujen ja keskusteluvuotojen sijaan tietoturva-ammattilaisten tiimimme tutkii uusia kiristysohjelmataktiikoita ja kehittää uhkatietämystä, johon suojausratkaisumme perustuvat.
Integroitu uhilta suojautuminen kaikissa laitteissa, käyttäjätiedoissa, sovelluksissa, sähköpostissa, datassa ja pilvipalveluissa auttaa meitä tunnistamaan hyökkäyksiä, jotka olisi todettu useiksi toimijoiksi, vaikka kyseessä on yksi kyberrikollisten joukko. Tekniikan, lainsäädännön ja liiketoiminnan asiantuntijoista koostuva Digital Crimes Unit -yksikkö jatkaa työtään viranomaisten kanssa tietoverkkorikosten estämiseksi
Suositukset:
Microsoftilla on syväluotaavia suosituksia kohteessa https://go.microsoft.com/fwlink/?linkid=2262350.
Tutustu uhkatietämysanalyytikko Emily Hackerin näkemyksiin siitä, miten hänen tiiminsä pysyy ajan tasalla muuttuvassa kiristysohjelma palveluna -toimintaympäristössä.
Järjesti yli 531 000 yksittäisen tietojen kalastelun URL-osoitteen sekä 5 400 tietojen kalastelupaketin poistamisen heinäkuun 2021 ja kesäkuun 2022 välillä, mikä johti yli 1 400 sellaisen haitallisen sähköpostitilin sulkemiseen, jota käytettiin asiakkailta varastettujen tunnistetietojen käyttämiseen.1
Jos päädyt tietojenkalastelusähköpostin uhriksi, hyökkääjältä yksityisten tietojesi käyttöön kuluva mediaaniaika on 1 tunti 12 minuuttia.1
Jos laite vaarantuu, hyökkääjältä poikittaisen liikkeen yrityksen verkossa aloittamiseen kuluva mediaaniaika on 1 tunti 42 minuuttia.1
- [1]
Metodologia: Tilannekuvatiedoissa Microsoftin ympäristöt, esimerkiksi Defender ja Azure Active Directory, sekä Digital Crimes Unit -yksikkö tarjosivat anonymisoitua tietoa uhkatoiminnasta, kuten haitallisista sähköpostitileistä, tietojenkalastelusähköposteista ja hyökkääjien liikkumisesta verkoissa. Lisätietoa saatiin 43 biljoonasta päivittäisestä turvallisuussignaalista, jotka on kerätty kaikesta Microsoftin toiminnasta, mukaan lukien pilvi, päätepisteet, älykäs reuna sekä Compromise Security Recovery Practice- ja Detection and Response -tiimit.
Seuraa Microsoft Securitya