Trace Id is missing

Ucjenjivački softver kao usluga: Novo lice industrijaliziranog računalnog zločina

Dvije strelice nalaze se iznad linije i okrenute su jedna prema drugoj na različitom putu

 Najnoviji poslovni model računalnog zločina, napadi kojima upravljaju ljudi, ohrabruje zločince različitih sposobnosti.

Ucjenjivački softver, jedan od najupornijih i najrasprostranjenijih računalnih prijetnji, i dalje se razvija, a njegov najnoviji oblik predstavlja opasnost organizacijama diljem svijeta. Evolucija ucjenjivačkog softvera ne obuhvaća nove napretke u tehnologiji. Umjesto toga, obuhvaća novi poslovni model: ucjenjivački softver kao uslugu (RaaS).

Ucjenjivački kao usluga (RaaS) dogovor je između operatora koji razvija i održava alate za pokretanje operacija iznuđivanja i suradnika koji implementira korisne podatke ucjenjivačkog softvera. Kada suradnik provede uspješan napad ucjenjivačkog softvera i iznuđivanje, obje strane imaju koristi.

RaaS model spušta letvicu za ulazak napadačima koji možda nemaju vještinu ili tehničke resurse za razvoj vlastitih alata, ali mogu upravljati već gotovim alatima za testiranje proboja i administratore sustava radi provođenja napada. Ovi zločinci niže razine također mogu samo kupiti pristup mreži od sofisticiranije zločinačke grupe koja je već probila vanjsku granicu.

Iako RaaS suradnici koriste korisne podatke ucjenjivačkog softvera koje pružaju sofisticiranih operatori, nisu dio iste „ekipe” ucjenjivačkog softvera. Zapravo su do različite korporacije koje rade u sveukupnoj ekonomiji računalnog zločina.

Napredovanje sposobnosti računalnih zločinaca i rast sveukupne ekonomije kibernetičkog zločina

Model ucjenjivačkog softvera kao usluge omogućio je brzo usavršavanje i industrijalizaciju onog što manje uspješni zločincu mogu ostvariti. U prošlosti su ovi manje sofisticirani zločinci možda koristili zlonamjerni softver kao proizvod koji su ugradili ili kupili radi provođenja napada koji su ograničeni u opsegu, ali sada mogu dobiti sve što im je potrebno – od pristupa mrežama do korisnih podataka ucjenjivačkog softvera – od svojih RaaS operatora (naravno, po određenoj cijeni). Mnogi RaaS programi nadalje obuhvaćaju paket ponuda za podršku u iznuđivanju, uključujući hostiranje web-mjesta koje je procurilo i integraciju u bilješke o otkupnini, kao što je pregovaranje o dešifriranju, pritisak u vezi plaćanja te usluge transakcije kriptovaluta.

To znači da utjecaj uspješnog ucjenjivačkog softvera i napad iznuđivanjem ostaje isti bez obzira na vještine napadača.

Otkrivanje i iskorištavanje ranjivosti mreže...za određenu cijenu

Jedan od načina kojim RaaS operatori pružaju vrijednost svojim suradnicima je pružanje pristupa ugroženim mrežama. Agenti za pristup pretražuju ranjive sustave na internetu, a koje mogu ugroziti i rezervirati za kasniji profit.

Da bi bili uspješni, napadačima su potrebne vjerodajnice. Ugrožene vjerodajnice toliko su važne ovim napadima da kada računalni zločinci prodaju pristup mrežama, u mnogim slučajevima cijena obuhvaća zajamčeni administratorski račun.

Ono što zločinci rade s pristupom kada ga ostvare može uvelike ovisiti o grupama i njihovim radnim opterećenjima i motivacijama. Vrijeme između inicijalnog pristupa i implementacije s rukama na tipkovnici može se stoga razlikovati od minuta do dana ili dulje, ali kada okolnosti dopuštaju, šteta se može nanijeti brzinom munje. Zapravo, uočeno je da je vrijeme od inicijalnog pristupa do potpune otkupnine (uključujući predaju od agenta za pristup do RaaS suradnika) manje od sat vremena.

Održavanje ekonomije u pokretu – uporne i podle metode pristupa

Kada napadači dobiju ostvare pristup mreži, teško im je otići – čak i kada dobiju svoju otkupninu. Zapravo, plaćanje otkupnine ne mora smanjiti rizik pogođenoj mreži i potencijalno samo služi za financiranje računalnih zločinaca koji će i dalje pokušavati monetizirati napade različitim korisnim podacima zlonamjernog ili ucjenjivačkog softvera sve dok se ne izbace.

Predaja koja se otkriva između različitih napadača kao prijelazi u ekonomiji računalnog zločina znači da više grupa aktivnosti može ustrajati u okruženju koristeći razne metode različite od alata koji se koriste u napadu ucjenjivačkog softvera. Na primjer, inicijalni pristup koji je ostvaren bankarskim trojancem vodi do Cobalt Strike implementacije, ali RaaS suradnik koji je kupio pristup može odabrati korištenje alata za pristup na daljinu kao što je TeamViewer kako bi upravljao svojom kampanjom.

Korištenje zakonitih alata i postavki za upornost naspram umetanja zlonamjernog softvera kao što je Cobalt Strike popularna je tehnika među napadačima ucjenjivačkog softvera radi izbjegavanja otkrivanja i duljeg boravka u mreži.

Druga popularna tehnika napadača je stvoriti nove korisničke račune za programe za neovlašten ulazak u sustav, ili lokalne ili na servisu Active Directory, koji se zatim mogu dodati alatima za pristup na daljinu kao što su virtualna privatna mreža (VPN) ili udaljena radna površina. Također je uočeno da napadači ucjenjivačkim softverom uređuju postavke na sustavima kako bi omogućili udaljenu radnu površinu, smanjili sigurnost protokola i dodali nove korisnike grupi korisnika udaljene radne površine.

Dijagram tijeka s objašnjenjem kako se RaaS napadi planiraju i implementiraju

Suočavanje s najneuhvatljivim i najlukavijim protivnicima na svijetu

Jedna od kvaliteta RaaS-a zbog čega je računalna prijetnja tako zabrinjavajuća jest kako se oslanja na ljudske napadače koji donose informirane i proračunate odluke te koji variraju u obrascima napada ovisno o tome što će pronaći na mrežama gdje dospiju, osiguravajući da zadovoljavaju njihove ciljeve.

Microsoft je skovao pojam ucjenjivački softver kojim upravlja čovjek kako bi definirao ovu kategoriju napada kao lanca aktivnosti koji kulminira u korisnim podacima ucjenjivačkog softvera, ne kao niz korisnih podataka zlonamjernog softvera koje treba blokirati.

Dok se većina inicijalnih kampanja oslanja na automatiziranu izvidnicu, kada se napad prebaci na fazu s rukama na tipkovnici, napadači će koristiti svoje znanje i vještinu i pokušati poraziti sigurnosne proizvode u okruženju.

Napadači koji koriste ucjenjivački softver motivirani su lakom zaradom pa je povećavanje njihovih troškova jačanjem sigurnosti ključno za ometanje ekonomije računalnog zločina. Ovo ljudsko donošenje odluka znači da čak i ako sigurnosni proizvodi otkriju određene faze napada, sami se napadači neće u potpunosti izbaciti, pokušavaju nastavljati ako ih ne blokira sigurnosna kontrola. U mnogim slučajevima, ako antivirusni proizvod otkrije alat ili korisni podatak, napadači jednostavno grabe različit alat ili mijenjaju svoje korisne podatke.

Napadači su također svjesni vremena reagiranja centra za sigurnosne operacije (SOC) i sposobnosti i ograničenja alata otkrivanja. Dok napad ne dođe do faze brisanja sigurnosnih kopija ili kopija u sjeni, malo minuta još treba do implementacije ucjenjivačkog softvera. Protivnik je vjerojatno već proveo štetne radnje poput izvlačenja podataka. Ovo je znanje ključno za SOC-ove koji odgovaraju na ucjenjivački softver i istražuju detekcije kao što je Cobalt Strike prije faze implementacije ucjenjivačkog softvera te je provođenje brzih radnji popravka i procedura odgovora na incident (IR) ključno za suzbijanje ljudskog protivnika.

Jačanje sigurnosti od prijetnji uz izbjegavanje zamora od upozorenja

Izdržljiva sigurnosna strategija protiv odlučnih ljudskih protivnika mora obuhvaćati otkrivanje i ciljeve ublažavanja. Nije dovoljno osloniti se na samo otkrivanje jer 1) neki se događaji infiltracije praktički ne mogu detektirati (izgledaju poput više nevinih akcija) i 2) nije neobično da se napadi ucjenjivačkog softvera previde zbog zamora upozorenjima uzrokovanog višestrukim, nejednakim sigurnosnim upozorenjima za proizvode.

Budući da napadači imaju više načina izbjegavanja i onemogućivanja sigurnosnih proizvoda i mogu imitirati benigno administratorsko ponašanje kako bi se što više uklopili, timovi za sigurnost IT-ja i SOC-ovi trebali bi podržati njihove napore otkrivanja s mjerama jačanja sigurnosti.

Napadači koji koriste ucjenjivački softver motivirani su lakom zaradom pa je povećavanje njihovih troškova jačanjem sigurnosti ključno za ometanje ekonomije računalnog zločina.

Slijedi nekoliko koraka koje organizacije mogu poduzeti radi vlastite zaštite:

 

  • Izgradite higijenu vjerodajnica: Razvijte logičku mrežu segmentacije koja se temelji na privilegijama koje se mogu implementirati uz mrežnu segmentaciju radi ograničavanja bočnog kretanja.
  • Nadzor izloženosti vjerodajnice: Nadzor izloženosti vjerodajnica ključan je u sprječavanju napada ucjenjivačkog softvera te računalnog zločina općenito. IT sigurnosni timovi i SOC-ovi mogu zajedno raditi na smanjenju administrativnih ovlasti te razumjeti razinu na kojoj su njihove vjerodajnice izložene.
  • Ojačajte oblak: Kako se napadači pomiču prema izvorima u oblaku, važno je osigurati resurse u oblaku i identitete kao i na lokalnim računima. Timovi za sigurnost trebali bi se fokusirati na jačanje infrastrukture sigurnosnog identiteta, primjenu višestruke provjere autentičnosti (MFA) na svim računima te tretiranje administratora u oblaku/klijentskih administratora s istom razinom sigurnosti i higijenom vjerodajnica kao i administratore domena.
  • Zatvorite sigurnosne slijepe točke: Organizacije trebaju provjeriti imaju li njihovi sigurnosni alati optimalnu konfiguraciju te provoditi redovite preglede mreže radi osiguranja da sigurnosni proizvod štiti sve sustave.
  • Smanjite površinu za napad: Utvrdite pravila za smanjenje površine za napad radi sprječavanja čestih tehnika napada korištenih u napadima ucjenjivačkog softvera. U promatranim napadima iz nekoliko povezanih akcijskih grupa za ucjenjivački softver, organizacije s jasno definiranim pravilima mogle su ublažavati napade u svojim inicijalnim fazama dok su sprječavale aktivnosti s rukama na tipkovnici.
  • Procijenite vanjsku granicu: Organizacije moraju utvrditi i osigurati sustave vanjskih granica koje napadači mogu koristiti za pristup mreži. Za povećavanje podataka moguće je koristiti javna sučelja za skeniranje.
  • Ojačajte internetske resurse: Napadači ucjenjivačkim softverom i agenti za pristup koriste nezakrpane ranjivosti, bez obzira jesu li već otkrivene ili su dosad nepoznate, posebice u fazi inicijalnog pristupa. Također brzo usvajaju nove ranjivosti. Da bi dodatno smanjile izloženost, organizacije mogu koristiti sposobnosti upravljanja prijetnjama i ranjivostima u proizvodima prepoznavanja krajnjih točaka i odgovora radi otkrivanja, prioritizacije i popravljanja ranjivosti i pogrešnih konfiguracija.
  • Pripremite se za oporavak: Najbolja obrana od ucjenjivačkog softvera treba obuhvaćati planove za brzi oporavak u slučaju napada. Trošak oporavka od napada manji je od troška plaćanja otkupnine, stoga svakako provodite redovita sigurnosna kopiranja svojih ključnih sustava i zaštitite te sigurnosne kopije od brisanja i šifriranja. Ako je moguće, pohranite sigurnosne kopije na nepromjenjivoj pohrani na mreži ili u potpunosti van mreže ili van lokacije.
  • Dodatna zaštita od napada ucjenjivačkim softverom: Sigurnosna prijetnja s više aspekata u novoj ekonomiji ucjenjivačkog softvera i neuhvatljivi napadi ucjenjivačkim softverom kojima upravlja čovjek zahtijevaju da organizacije usvoje sveobuhvatan pristup sigurnosti.

Koraci koje smo gore naveli pomažu u obrani od uobičajenih obrazaca napada i bit će jako uspješni u sprječavanju napada ucjenjivačkim softverom. Da bi se dodatno ojačale obrane od tradicionalnog ucjenjivačkog softvera i ucjenjivačkog softvera kojima upravlja čovjek te drugih sigurnosnih prijetnji, koristite sigurnosne alate koji mogu pružiti duboku vidljivost preko više domena te objedinjene sposobnosti istraživanja.

Dodatan pregled ucjenjivačkog softvera sa savjetima i najboljim praksama za sprječavanje, otkrivanje i popravak pogledajte u članku Zaštitite organizaciju od ucjenjivačkog softvera, a još dublje informacije o ucjenjivačkom softveru kojim upravlja čovjek pročitajte u članku više istraživačice za sigurnost, Jessice Payne, Ucjenjivački softver kao usluga: razumijevanje ekonomije honorarnih poslova u računalnom zločinu i kako se zaštititi.

Povezani članci

Cyber Signals izdanje 2: Ekonomija iznuđivanja

Saznajte više od stručnjaka za zaposlenike za komunikaciju s klijentima o razvoju ucjenjivačkog softvera kao usluge. Od programa i korisnih podataka do pristupnih agenata i povezanih programa, saznajte više o alatima, taktikama i ciljevima koje računalni zločinci više vole i dobijte smjernice kako biste pridonijeli zaštiti svoje organizacije.

Profil stručnjaka: Nick Carr

Nick Carr, voditelj tima za obavještavanje o računalnom zločinu u Microsoftovu centru za obavještavanje o prijetnjama, govori o trendovima zlonamjernog softvera, objašnjava što Microsoft čini kako bi zaštitio klijente od zlonamjernog softvera i opisuje što tvrtke ili ustanove mogu napraviti ako su njime pogođene.

Zaštitite tvrtku ili ustanovu od ucjenjivačkog softvera

Brzo pogledajte zločinačke igrače koji operiraju u underground ekonomiji ucjenjivačkog softvera. Pomoći ćemo vam da razumijete motivacije i mehaniku napada zlonamjernog softvera i pružiti vam najbolje prakse za zaštitu, kao i za sigurnosno kopiranje i vraćanje podataka.