Trace Id is missing

Kiristysohjelma palveluna: Teollistuneen kyberrikollisuuden uudet kasvot

Kaksi nuolta päällekkäin viivalla ja ne osoittavat toisiaan kohti eri reittiä

 Kyberrikollisuuden uusin liiketoimintamalli, ihmisten tekemät hyökkäykset, rohkaisee erilaisia kykyjä omaavia rikollisia.

Kiristysohjelmat, yksi sitkeimmistä ja laajimmalle levinneistä verkkouhista, kehittyy jatkuvasti, ja sen uusin muoto on uusi uhka organisaatioille kaikkialla maailmassa. Kiristysohjelmien kehittymiseen ei liity uusia teknologisia edistysaskeleita. Sen sijaan kyse on uudesta liiketoimintamallista: kiristysohjelma palveluna (Ransomware as a service, RaaS).

Kiristysohjelma palveluna (RaaS) on järjestely operaattorin, joka kehittää ja ylläpitää työkaluja kiristysoperaatioita varten, ja kumppanin, joka ottaa käyttöön kiristysohjelman hyötykuorman, välillä. Kun kumppani tekee onnistuneen kiristysohjelmahyökkäyksen, molemmat osapuolet hyötyvät.

RaaS-malli madaltaa kynnystä hyökkääjille, joilla ei ehkä ole taitoja tai teknisiä edellytyksiä kehittää omia työkalujaan, mutta jotka voivat käyttää valmiita tunkeutumistestaus- ja järjestelmänvalvojatyökaluja hyökkäysten suorittamiseen. Nämä alemman tason rikolliset voivat myös vain ostaa pääsyn verkkoon kehittyneemmältä rikollisryhmältä, joka on jo tunkeutunut alueelle.

Vaikka RaaS-kumppanit käyttävät kehittyneempien toimijoiden tarjoamia kiristysohjelmia, ne eivät kuulu samaan kiristysohjelmajengiin. Ne ovat pikemminkin omia erillisiä yrityksiä, jotka toimivat osana yleistä kyberrikollisuutta.

Kyberrikollisten valmiuksien parantaminen ja kyberrikollisuuden kokonaistalouden kasvattaminen

Palveluna tarjottava kiristysohjelma on mahdollistanut sen, että vähemmän kyvykkäät rikolliset ovat pystyneet nopeasti vahvistumaan ja teollistumaan. Aiemmin nämä vähemmän kehittyneet rikolliset ovat saattaneet käyttää joko rakentamiaan tai ostamiaan tavanomaisia haittaohjelmia tehdäkseen laajuudeltaan rajallisia hyökkäyksiä, mutta nyt he voivat saada RaaS-operaattoreilta kaiken tarvitsemansa – verkkoihin pääsystä kiristysohjelmien hyötykuormiin – (tietysti maksua vastaan). Monet RaaS-ohjelmat sisältävät lisäksi kiristystukipalveluja, kuten vuotosivuston isännöintiä ja integrointia kiristysmuistiinpanoihin sekä salauksen purku-, maksupaine- ja kryptovaluuttatransaktiopalveluja.

Tämä tarkoittaa, että onnistuneen kiristysohjelmahyökkäyksen vaikutukset pysyvät samoina hyökkääjän taidoista riippumatta.

Verkon haavoittuvuuksien havaitseminen ja hyödyntäminen... maksua vastaan

Yksi tapa, jolla RaaS-operaattorit tuottavat lisäarvoa yhteistyökumppaneilleen, on tarjota pääsy vaarantuneisiin verkkoihin. Pääsynvälittäjät etsivät internetistä haavoittuvia järjestelmiä, jotka he voivat vaarantaa ja varata myöhempää hyötyä varten.

Onnistuakseen hyökkääjät tarvitsevat kirjautumistietoja. Vaarantuneet kirjautumistiedot ovat niin tärkeitä näissä hyökkäyksissä, että kun kyberrikolliset myyvät pääsyn verkkoon, monissa tapauksissa hintaan sisältyy taattu järjestelmänvalvojan tili.

Se, mitä rikolliset tekevät pääsyn saatuaan, voi vaihdella suuresti ryhmien ja niiden kuormitusten tai motiivien mukaan. Aika, joka kuluu ensimmäisestä pääsystä näppäimistön käyttöönottoon, voi siis vaihdella minuuteista päiviin tai pidempäänkin, mutta olosuhteiden salliessa vahinkoa voidaan aiheuttaa hurjaa vauhtia. Itse asiassa on havaittu, että aika ensimmäisestä pääsystä täydelliseen kiristykseen (mukaan lukien siirto pääsyn välittäjältä RaaS-kumppanille) on kestänyt alle tunnin.

Talouden liikkeessä pitäminen – pysyvät ja salakavalat pääsymenetelmät

Kun hyökkääjät ovat päässeet verkkoon, he eivät mielellään poistu sieltä – edes lunnaiden keräämisen jälkeen. Itse asiassa lunnaiden maksaminen ei välttämättä vähennä verkkoon kohdistuvaa riskiä, ja se mahdollisesti vain rahoittaa kyberrikollisia, jotka jatkavat hyökkäyksiä erilaisilla haittaohjelmien tai kiristysohjelmien hyötykuormilla, kunnes heidät häädetään.

Eri hyökkääjien välillä tapahtuu siirtymiä, kun kyberrikollisuuden taloudessa tapahtuu siirtymiä, mikä tarkoittaa, että useat toimintaryhmät voivat jatkaa toimintaansa ympäristössä käyttäen erilaisia menetelmiä, jotka poikkeavat kiristysohjelmahyökkäyksessä käytetyistä työkaluista. Esimerkiksi pankkitroijalaisen avulla saatu alkuperäinen pääsy johtaa Cobalt Striken käyttöönottoon, mutta pääsyn ostanut RaaS-kumppani voi käyttää kampanjan toteuttamiseen etäkäyttötyökalua, kuten TeamVieweria.

Laillisten työkalujen ja asetusten käyttäminen Cobalt Striken kaltaisiin haittaohjelmaimplantteihin nähden on suosittu tekniikka kiristysohjelmahyökkääjien keskuudessa, jotta he voivat välttää havaitsemisen ja pysyä verkossa pidempään.

Toinen suosittu hyökkääjien tekniikka on luoda uusia takaporttikäyttäjätilejä joko paikallisesti tai Active Directoryyn, jotka voidaan sitten lisätä etäkäyttövälineisiin, kuten näennäiseen yksityisverkkoon (VPN) tai etätyöpöytään. Kiristysohjelmahyökkääjien on myös havaittu muokkaavan järjestelmien asetuksia siten, että ne ottavat etätyöpöydän käyttöön, heikentävät protokollan tietoturvaa ja lisäävät uusia käyttäjiä etätyöpöydän käyttäjät -ryhmään.

Virtauskaavio, jossa selitetään, miten RaaS-hyökkäykset suunnitellaan ja toteutetaan

Vastassa ovat maailman vaikeasti lähestyttävimmät ja ovelimmat vastustajat

Yksi RaaS:n ominaisuuksista, jotka tekevät uhasta niin huolestuttavan, on se, että se luottaa ihmishyökkääjiin, jotka voivat tehdä tietoon perustuvia ja laskelmoituja päätöksiä ja vaihdella hyökkäysmalleja sen mukaan, mitä he löytävät verkoista, joihin he laskeutuvat, varmistaen, että he saavuttavat tavoitteensa.

Microsoft on luonut termin ihmisten ohjaamat kiristysohjelmat määritelläkseen tämän hyökkäysluokan toimintaketjuksi, joka huipentuu kiristysohjelman hyötykuormaan, eikä joukoksi estettäviä haittaohjelmien hyötykuormia.

Vaikka useimmat ensimmäiset hyökkäyskampanjat perustuvat automaattiseen tiedusteluun, kun hyökkäys siirtyy näppäimistön käyttöönottoon, hyökkääjät käyttävät tietojaan ja taitojaan yrittäessään päihittää ympäristön tietoturvatuotteet.

Kiristysohjelmahyökkääjien motiivina on helppo tuotto, joten heidän kustannuksiensa lisääminen tietoturvaa vahvistamalla on tärkeää kyberrikollisen ekonomian häiritsemisessä. Tämä inhimillinen päätöksenteko tarkoittaa sitä, että vaikka tietoturvatuotteet havaitsevat tietyt hyökkäysvaiheet, hyökkääjiä itseään ei häädetä kokonaan, vaan he yrittävät jatkaa, jos tietoturvavalvonta ei estä heitä. Jos virustorjuntaohjelma havaitsee työkalun tai hyötykuorman ja estää sen käytön, hyökkääjät käyttävät usein yksinkertaisesti toista työkalua tai muokkaavat hyötykuormaa.

Hyökkääjät ovat myös tietoisia tietoturvakeskuksen (SOC) vasteajoista ja havaitsemisvälineiden kyvyistä ja rajoituksista. Kun hyökkäys pääsee vaiheeseen, jossa varmuuskopiot tai varjokopiot poistetaan, kiristysohjelman käyttöönotto on vain muutaman minuutin päässä. Vastustaja on todennäköisesti jo suorittanut haitallisia toimia, kuten poistanut tietoja. Tämä tieto on avainasemassa kiristysohjelmiin reagoiville SOC:ille: Cobalt Striken kaltaisten havaintojen tutkiminen ennen kiristysohjelman käyttöönottovaihetta sekä nopeat korjaustoimet ja tapausten käsittely (IR) ovat kriittisen tärkeitä inhimillisen vastustajan hillitsemiseksi.

Turvallisuuden vahvistaminen uhkia vastaan välttäen samalla hälytysväsymystä

Kestävässä tietoturvastrategiassa määrätietoisia inhimillisiä hyökkääjiä vastaan on oltava havaitsemis- ja lieventämistavoitteet. Pelkkä havaitseminen ei riitä, koska 1) jotkin soluttautumistapahtumat ovat käytännössä havaitsemattomia (ne näyttävät useilta viattomilta toiminnoilta) ja 2) ei ole harvinaista, että kiristysohjelmahyökkäykset jäävät huomaamatta useiden erilaisten tietoturvatuotteiden hälytysten aiheuttaman hälytysväsymyksen vuoksi.

Koska hyökkääjillä on useita tapoja kiertää ja poistaa tietoturvatuotteet käytöstä ja koska he pystyvät jäljittelemään hyvänlaatuista hallintakäyttäytymistä sulautuakseen mahdollisimman hyvin joukkoon, tietoturvaryhmien ja SOC:ien olisi tuettava havaitsemispyrkimyksiään tietoturvan koventamistoimilla.

Kiristysohjelmahyökkääjien motiivina on helppo tuotto, joten heidän kustannuksiensa lisääminen tietoturvaa vahvistamalla on tärkeää kyberrikollisen ekonomian häiritsemisessä.

Seuraavassa on joitakin toimia, joilla organisaatiot voivat suojautua:

 

  • Luo uskottava hygienia: Kehitä oikeuksiin perustuva looginen verkon segmentointi, joka voidaan toteuttaa verkon segmentoinnin ohella poikittaisen liikkeen rajoittamiseksi.
  • Valvo tunnistetietojen altistumista: Tunnistetietojen altistumisen valvonta on olennaista niin kiristysohjelmahyökkäysten kuin tietoverkkorikosten estämiseksi. IT-tietoturvatiimit ja SOC:t voivat työskennellä yhdessä järjestelmänvalvojan oikeuksien vähentämiseksi sekä selvittää sen tason, jolla heidän tunnistetietonsa altistuvat.
  • Vahvista pilvipalveluita: Hyökkääjien siirtyessä kohti pilviresursseja on tärkeää turvata pilviresurssit ja käyttäjätiedot paikallisten tilien ohella. Tietoturvatiimien tulisi keskittyä suojaustunnusten infrastruktuuriin ja pakottaa monimenetelmäinen todentaminen (MFS) kaikille tileille sekä käsitellä pilvipalvelun tai vuokraajan järjestelmänvalvojia samalla suojaustasolla ja tunnistetietojen hygienialla kuin toimialueen järjestelmänvalvojia.
  • Sulje suojauksen sokeat pisteet: Organisaatioiden tulee vahvistaa, että niiden suojaustyökalut toimivat optimaalisella määrityksellä, sekä suorittaa säännöllisiä verkon tarkistuksia sen varmistamiseksi, että suojaustuote kattaa kaikki järjestelmät.
  • Pienennä hyökkäyspintaa: Määritä hyökkäyspinta-alan rajoittamisen sääntöjä kiristysohjelmahyökkäyksissä yleisesti käytettyjen hyökkäysmenetelmien estämiseksi. Kiristysohjelmaan liittyvän toiminnan ryhmien havaituissa hyökkäyksissä sellaiset organisaatiot, joilla oli selkeästi määritetyt säännöt, ovat kyenneet lieventämään hyökkäyksiä niiden alkuvaiheessa sekä estämään manuaalisten toimintojen suorittamisen.
  • Arvioi raja: Organisaatioiden on tunnistettava ja suojattava rajajärjestelmät, joita hyökkääjät saattavat käyttää verkkoon pääsemiseksi. Julkisia skannausrajapintoja, kuten , voidaan käyttää tietojen täydentämiseen.
  • Vahvista Internetiä kohti olevia resursseja: Kiristysohjelmahyökkääjät ja pääsynvälittäjät käyttävät korjaamattomia haavoittuvuuksia, olivatpa ne sitten jo paljastuneita tai nollapäivän haavoittuvuuksia, erityisesti pääsyn alkuvaiheessa. He omaksuvat myös nopeasti uusia haavoittuvuuksia. Organisaatiot voivat vähentää altistumista entisestään käyttämällä uhkien ja haavoittuvuuksien hallinnan ominaisuuksia haavoittuvuuksien ja vääränlaisten määritysten löytämiseksi, priorisoimiseksi ja korjaamiseksi.
  • Valmistaudu palautumiseen: Parhaaseen kiristysohjelmapuolustukseen pitäisi sisältyä suunnitelmat nopeasta palautumisesta hyökkäyksen sattuessa. Hyökkäyksestä palautuminen maksaa vähemmän kuin lunnaiden maksaminen, joten varmista, että teet säännöllisesti varmuuskopioita kriittisistä järjestelmistäsi ja suojaat nämä varmuuskopiot tahalliselta poistamiselta ja salaamiselta. Jos mahdollista, säilytä varmuuskopiot muuttumattomassa verkkotallennustilassa tai täysin offline-tilassa tai muualla kuin toimipaikassa.
  • Lisäsuojaus kiristysohjelmahyökkäyksiltä: Uuden kiristysohjelmatalouden monitahoinen uhka ja ihmisten tekemien kiristysohjelmahyökkäysten vaikeasti havaittavissa oleva luonne edellyttävät organisaatioilta kokonaisvaltaista lähestymistapaa tietoturvaan.

Edellä kerrotut vaiheet auttavat suojautumaan yleisiltä hyökkäysmalleilta ja auttavat pitkälle kiristysohjelmahyökkäysten estämisessä. Perinteisiä ja ihmisten tekemiä kiristysohjelmia ja muita uhkia vastaan suojaudutaan entistä tehokkaammin käyttämällä tietoturvatyökaluja, jotka tarjoavat syvän näkyvyyden yli toimialueiden ja yhtenäiset tutkintaominaisuudet.

Lisää yleiskatsausta kiristysohjelmista sekä vinkkejä ja parhaita käytäntöjä niiden ennaltaehkäisyyn, havaitsemiseen ja korjaamiseen on artikkelissa Suojaa organisaatiosi kiristysohjelmilta, ja jos haluat vielä syvällisempää tietoa ihmisten tekemistä kiristysohjelmista, lue Senior Security Researcher Jessica Paynen Kiristysohjelma palveluna: Kyberrikollisuuden keikkatalouden ymmärtäminen ja suojautuminen.

Aiheeseen liittyviä artikkeleita

Cyber Signals Issue 2: Extortion Economics

Kuuntele etulinjan asiantuntijoiden mielipiteitä palveluina tarjottavien kiristysohjelmien kehityksestä. Ohjelmista ja kuormituksista laitonta pääsyä kauppaaviin kyberrikollisiin ja kumppaneihin: lue lisätietoja kyberrikollisten suosimista työkaluista, taktiikoista ja kohteista sekä vinkkejä organisaatiosi suojaamiseen.

Asiantuntijan profiili: Nick Carr

Nick Carr, Microsoft Threat Intelligence Center -keskuksen tietoverkkorikostietojen tiiminvetäjä, kertoo kiristysohjelmien trendeistä, selittää Microsoftin toimet asiakkaiden suojaamiseksi kiristysohjelmilta ja kuvailee organisaatioiden toimia tilanteessa, jossa niihin on kohdistunut hyökkäys.

Suojaa organisaatiotasi kiristysohjelmilta

Hanki yleiskatsaus rikollisiin toimijoihin, jotka operoivat alamaailman kiristysohjelmataloudessa. Autamme sinua ymmärtämään kiristysohjelmahyökkäysten tarkoitusperiä sekä toimintaperiaatteita ja tarjoamme parhaita käytäntöjä suojaukseen, varmuuskopiointiin ja palautukseen.