Trace Id is missing

Ekonomija iznuđivanja

Preuzmi
Zajedničko korištenje
Bijeli labirint sa šarenim krugovima i točkicama

Cyber Signals izdanje 2: Novi poslovni model za ucjenjivački softver

Dok je ucjenjivački softver i dalje tema koja privlači pažnju, u konačnici postoji relativno malen, povezan ekosustav igrača koji potiče ovaj sektor ekonomije računalnog zločina. Specijalizacija i konsolidacija ekonomije računalnog zločina potaknule su ucjenjivački softver kao uslugu (RaaS) da postane dominantni poslovni model, koji omogućava širem rasponu zločinaca, bez obzira na njihovu stručnost, da implementiraju ucjenjivački softver.
Preko 80 posto napada ucjenjivačkog softvera može se povezati s uobičajenim konfiguracijskim greškama u softveru i uređajima.1

Pogledajte digitalno izvješće Cyber Signals gdje Vasu Jakkal, potpredsjednik uprave za Microsoft Security, intervjuira najbolje stručnjake za obavještavanje o prijetnjama o ekonomiji ucjenjivačkog softvera i kako se organizacije mogu zaštititi.

Digitalno izvješće: zaštitite se od ekonomije ucjenjivačkog softvera

Novi poslovni model nudi svježe uvide za branitelje

Kao što su se mnogi sektori prebacili prema nezavisne radnike radi učinkovitosti, računalni zločinci iznajmljuju ili prodaju svoje alate za ucjenjivački softver za udio u profitima, umjesto vlastitog provođenja napada.

Ucjenjivački softver kao usluga omogućava računalnim zločincima da kupe pristup korisnim podacima ucjenjivačkog softvera i curenjima podataka kao i platnoj infrastrukturi. „Bande” ucjenjivačkog softvera u stvarnosti su RaaS programi kao Conti ili REvil koje koriste mnogi različiti akteri koji se prebacuju između RaaS programa i korisnih podataka.

RaaS snižava barijeru za ulazak i čini nerazumljivim identitet napadača iza ucjenjivanja. Neki programi imaju više od 50 „suradnika”, kako zovu korisnike svoje usluge, s raznim alatima, vještinama u trgovini i ciljevima. Kao što svatko tko ima auto može voziti i pružati uslugu dijeljenja vožnje, svatko s prijenosnim računalom i kreditnom karticom tko želi pronaći na tamnom webu alate za testiranje ili spreman zlonamjerni softver može se pridružiti ovoj ekonomiji.

Ova industrijalizacija računalnog zločina stvorila je specijalizirane uloge, kao pristup brokerima koji prodaju pristup mrežama. Jedan kompromis često obuhvaća više računalnih zločinaca u različitim fazama neovlaštena pristupa.

Setove alata za RaaS lako je pronaći na tamnom webu i oglašavaju se na isti način na koji se roba oglašava na internetu.

Set alata za RaaS može obuhvaćati službu za korisnike, komplete ponuda, recenzije korisnika, forume i druge značajke. Računalni zločinci mogu platiti određenu cijenu za set alata za RaaS, dok druge grupe koje prodaju RaaS sukladno suradničkom modelu uzimaju postotak profita.

Napadi ucjenjivačkog softvera uključuju odluke temeljene na konfiguracijama mreža i razlikuju se za svaku žrtvu čak i ako su korisni podaci ucjenjivačkog softvera isti. Ucjenjivački softver doseže vrhunac napadom koji može obuhvaćati izvlačenje podataka i drugi utjecaj. Zbog međupovezane prirode ekonomije računalnog zločina, naizgled nevezani neovlašteni upadi mogu se graditi jedan na drugog. Zlonamjerni softver kradljivac informacija koji krade lozinke i kolačić smatra se manje ozbiljnim, ali računalni zločinci prodaju ove lozinke kako bi omogućili druge napade.

Ovi napadi prate predložak inicijalnog pristupa preko infekcije zlonamjernim softverom ili iskorištavanjem ranjivosti pa krađom vjerodajnica radi podizanja privilegija i lateralnog kretanja. Industrijalizacija omogućava bogate i utjecajne napade ucjenjivačkog softvera koje provode napadači bez sofisticiranosti ili naprednih vještina. Od zatvaranja Contija primijetili smo promjene u krajoliku ucjenjivačkog softvera. Neki su se suradnici koji su implementirali Conti prebacili na korisne podatke uspostavljenih RaaS ekosustava kao što su LockBit i Hive, a drugi su istovremeno implementirali korisne podatke iz više RaaS ekosustava.

Novi RaaS-ovi kao što su QuantumLocker i Black Basta ispunjavaju prazninu koju je ostavilo zatvaranje Contija. Kako se većina pokrivenosti ucjenjivačkog softvera fokusira na korisne podatke umjesto na aktere, ovaj će prelazak korisnih podataka vjerojatno zbuniti vlade, tijela za provođenje zakona, medije, istražitelje sigurnosti i branitelje o tome tko stoji iza napada.

Izvješćivanje o ucjenjivačkom softveru može se činiti kao beskrajan skalirajući problem; međutim, stvarnost je konačni set aktera koji koristi set tehnika.

Preporuke:

  • Izgradite higijenu vjerodajnica: razvijte logičku mrežu segmentacije koja se temelji na privilegijama koje se mogu implementirati uz mrežnu segmentaciju radi ograničavanja lateralnog kretanja.
  • Nadzirite izloženost vjerodajnica: nadzor izloženosti vjerodajnica ključan je u sprječavanju napada ucjenjivačkog softvera te računalnog zločina općenito. IT sigurnosni timovi i SOC-ovi mogu zajedno raditi na smanjenju administrativnih ovlasti te razumjeti razinu na kojoj su njihove vjerodajnice izložene.
  • Smanjite površinu za napad: Utvrdite pravila za smanjenje površine za napad radi sprječavanja čestih tehnika napada korištenih u napadima ucjenjivačkog softvera. U promatranim napadima iz nekoliko povezanih akcijskih grupa za ucjenjivački softver, organizacije s jasno definiranim pravilima mogle su ublažavati napade u svojim inicijalnim fazama dok su sprječavale aktivnosti s rukama na tipkovnici.

Računalni zločinci dodaju duplo iznuđivanje strategiji napada

Ucjenjivački softver postoji kako bi se iznudilo plaćanje od žrtve. Najnoviji RaaS programi također objavljuju ukradene podatke, poznato kao duplo iznuđivanje. Kako prekidi u radu uzrokuju usporavanje i kako se povećava vladino ometanje operator ucjenjivačkog softvera, neke skupine napuštaju ucjenjivački softver i bave se izvlačenjem podataka.

Dvije skupine usmjerene na izvlačenje jesu DEV-0537 (poznata i kao LAPSUS$) i DEV-0390 (bivši Conti suradnik). Neovlašteni napadi skupine DEV-0390 počinju od zlonamjernog softvera, ali koriste zakonite alate za izvlačenje podataka i iznuđivanje plaćanja. Implementiraju alate za ispitivanje proboja kao što su Cobalt Strike, Brute Ratel C4 i zakoniti uslužni program za upravljanje na daljinu Atera radi održavanja pristupa žrtvi. DEV-0390 će eskalirati privilegije krađom vjerodajnica, pronaći povjerljive podatke (često na korporativnim sigurnosnim kopijama i datotečnim poslužiteljima) te slati podatke na web-mjesto za zajedničko korištenje datoteka koristeći uslužni program za sigurnosno kopiranje datoteka.

DEV-0537 primjenjuje jako različitu strategiju i trgovačke vještine. Početni pristup dobiva se kupnjom vjerodajnica u zločinačkom podzemlju ili od zaposlenika u ciljanim tvrtkama ili ustanovama.

Problemi

  • Ukradene lozinke i nezaštićeni identiteti
    Napadačima su potrebne vjerodajnice više nego zlonamjerni softver. U gotovo svim uspješnim implementacijama ucjenjivačkog softvera, napadači dobivaju pristup privilegiranim računima na razini administratora koji pružaju širi pristup mreži neke tvrtke ili ustanove.
  • Sigurnosni proizvodi koji nedostaju ili koji su onemogućeni
    U gotovo svakom promatranom incidentu ucjenjivačkog softvera, najmanje jedan sustav iskorišten u napadu nije imao sigurnosne proizvode ili su bili krivo konfigurirani pa su zbog toga napadači mogli poremetiti ili onemogućiti određene zaštite.
  • Krivo konfigurirane ili zlouporabljene aplikacije
    Možete koristiti popularnu aplikaciju za jednu svrhu, ali to ne znači da je zločini ne mogu iskoristiti kao oružje za neki drugi cilj. Prečesto „naslijeđene” konfiguracije znače da je aplikacija u svojoj zadanoj vrijednosti pa bilo koji korisnik može imati široki pristup u cijelim organizacijama. Nemojte previdjeti ovaj rizik ili oklijevati u vezi promjene postavki aplikacije iz straha od poremećaja.
  • Sporo krpanje
    To je cliché poput „Jedite povrće!” – ali je ključna činjenica: Najbolji način jačanja softvera je držati ga ažuriranim. Dok se neke aplikacije koje se temelje na oblaku ažuriraju bez radnje korisnika, poduzeća moraju odmah primijeniti druge zakrpe dobavljača. Microsoft je 2022. primijetio da su starije ranjivosti još uvijek primarni pokretač u napadima.
  • Ukradene lozinke i nezaštićeni identiteti
    Napadačima su potrebne vjerodajnice više nego zlonamjerni softver. U gotovo svim uspješnim implementacijama ucjenjivačkog softvera, napadači dobivaju pristup privilegiranim računima na razini administratora koji pružaju širi pristup mreži neke tvrtke ili ustanove.
  • Sigurnosni proizvodi koji nedostaju ili koji su onemogućeni
    U gotovo svakom promatranom incidentu ucjenjivačkog softvera, najmanje jedan sustav iskorišten u napadu nije imao sigurnosne proizvode ili su bili krivo konfigurirani pa su zbog toga napadači mogli poremetiti ili onemogućiti određene zaštite.
  • Krivo konfigurirane ili zlouporabljene aplikacije
    Možete koristiti popularnu aplikaciju za jednu svrhu, ali to ne znači da je zločini ne mogu iskoristiti kao oružje za neki drugi cilj. Prečesto „naslijeđene” konfiguracije znače da je aplikacija u svojoj zadanoj vrijednosti pa bilo koji korisnik može imati široki pristup u cijelim organizacijama. Nemojte previdjeti ovaj rizik ili oklijevati u vezi promjene postavki aplikacije iz straha od poremećaja.
  • Sporo krpanje
    To je cliché poput „Jedite povrće!” – ali je ključna činjenica: Najbolji način jačanja softvera je držati ga ažuriranim. Dok se neke aplikacije koje se temelje na oblaku ažuriraju bez radnje korisnika, poduzeća moraju odmah primijeniti druge zakrpe dobavljača. Microsoft je 2022. primijetio da su starije ranjivosti još uvijek primarni pokretač u napadima.

Radnje

  • Provjerite autentičnost identiteta Uvedite višestruku provjeru autentičnosti (MFA) na sve račune, prioritet dajte administratorskim i drugim osjetljivim ulogama. Kod hibridnih zaposlenika tražite MFA na svim uređajima, na svim lokacijama, u svakom trenutku. Omogućite provjeru autentičnosti bez lozinke kao što su FIDO ključevi ili Microsoft Authenticator za aplikacije koje ga podržavaju.
  • Riješiti sigurnosne slijepe točke
    Poput detektora dima, sigurnosni proizvodi moraju se instalirati na točnim mjestima te se redovito testirati. Provjerite rade li sigurnosni alati u svojoj najsigurnijoj konfiguraciji i da je svaki dio mreže zaštićen.
  • Ojačajte internetske resurse
    Razmislite o brisanju duplih ili nekorištenih aplikacija radi eliminiranja rizičnih, nekorištenih usluga. Pripazite gdje dozvoljavate aplikacije za pomoć na daljinu kao što je TeamViewer. Zloglasne su po tome što su meta zlonamjernih aktera radi dobivanja brzog pristupa prijenosnim računalima.
  • Održavajte sustave ažuriranima
    Napravite inventar softvera kontinuiranim procesom. Pratite što pokrećete i prioritet dajte podršci za te proizvode. Primijenite svoju sposobnost brzog i definitivnog krpanja kako biste jamčili tamo gdje je prijelaz na usluge koje se temelje na oblaku koristan.

Razumijevanjem međupovezane prirode identiteta i odnose povjerenja u modernim tehnološkim ekosustavima ciljaju na telekomunikacije, tehnologiju, IT usluge i poduzeća za podršku kako bi iskoristili pristup iz jedne organizacije za dobivanje ulaska u partnerske ili dobavljačke mreže. Napadi koji za svrhu imaju samo iznuđivanje pokazuju da branitelji mreže moraju gledati izvan ucjenjivačkog softvera zadnjeg stadija i dobro promatrati izvlačenje podataka i lateralno kretanje.

Ako zlonamjerni akter namjerava iznuditi organizaciju kako bi držao njezine podatke privatnima, korisni podaci ucjenjivačkog softvera najmanje su značajan i najmanje dragocjen dio strategije napada. U konačnici, operator odlučuje što želi implementirati, a ucjenjivački softver nije uvijek isplata velikog iznosa koju svaki zlonamjerni akter želi.

Dok se ucjenjivački softver ili duplo iznuđivanje mogu činiti neizbježnim ishodom od napada od strane sofisticiranog napadača, ucjenjivački softver je katastrofa koja se ne može izbjeći. Napadači se oslanjaju na slabosti u sigurnosti, a to znači da ulaganja u kibernetičku higijenu puno znače.

Microsoftova jedinstvena vidljivost daje nam uvid u aktivnost zlonamjernih aktera. Umjesto oslanjanja na objave na forumima ili curenja u čavrljanjima, naš tim stručnjaka za sigurnost proučava nove taktike ucjenjivačkog softvera i razvija obavještavanje o prijetnjama koje našim sigurnosnim rješenjima pruža informacije.

Integrirana zaštita od prijetnji na svim uređajima, identitetima, aplikacijama, e-pošti, podacima i oblaku pomaže nam da identificiramo napade koji bi bilo označeni kao višestruki akteri, a zapravo je riječ o jednoj skupini računalnih zločinaca. Naša Jedinica za digitalne zločine koju čine tehnički, pravni i poslovni stručnjaci i dalje surađuje s tijelima za provedbu zakona kako bi se poremetile aktivnosti računalnog zločina

Preporuke:

Ojačajte oblak: Kako se napadači pomiču prema izvorima u oblaku, važno je osigurati ove resurse i identitete kao i na lokalnim računima. Timovi za sigurnost trebali bi se fokusirati na jačanje infrastrukture sigurnosnog identiteta, primjenu višestruke provjere autentičnosti (MFA) na svim računima te tretiranje administratora u oblaku/klijentskih administratora s istom razinom sigurnosti i higijenom vjerodajnica kao i administratore domena.
Spriječite inicijalni pristup: Spriječite provođenje koda upravljanjem makronaredbi i skripta te omogućivanjem pravila za smanjenje površine za napad.
Zatvorite sigurnosne slijepe točke: Organizacije trebaju provjeriti imaju li njihovi sigurnosni alati optimalnu konfiguraciju te provoditi redovite preglede mreže radi osiguranja da sigurnosni proizvod štiti sve sustave.

Microsoft ima detaljne preporuke na  https://go.microsoft.com/fwlink/?linkid=2262350.

Saslušajte analitičarku obavještavanja o prijetnjama Emily Hacker o tome kako je njezin tim stalno u tijeku s promjenjivim ucjenjivačkim softverom kao krajolikom usluge.

Microsoftova jedinica za digitalne zločine (DCU):
upravljala je uklanjanjem više od 531 000 jedinstvenih URL-ova krađe identiteta i 5400 setova alata za krađu identiteta između srpnja 2021. i lipnja 2022., što je dovelo do identifikacije zatvaranja više od 1400 zlonamjernih računa e-pošte korištenih za prikupljanje ukradenih korisničkih vjerodajnica1
Prijetnje putem e-pošte:
Srednja vrijednost vremena potrebnog napadaču da pristupi vašim privatnim podacima ako ste žrtva krađe identiteta putem e-pošte je jedan sat, 12 minuta.1
Prijetnje krajnjim točkama:
Srednja vrijednost vremena potrebnog napadaču da se pomiče lateralno u vašoj korporativnoj mreži ako je uređaj ugrožen je jedan sat, 42 minute.1
  1. [1]

    Metodologija: Za podatke iz snimke stanja Microsoftove platforme, uključujući Defender i Azure Active Directory te naša Jedinica za digitalne zločine pružili su anonimizirane podatke o zlonamjernoj aktivnosti, kao što su zlonamjerni računi e-pošte, poruke e-pošte za krađu identiteta i kretanja napadača unutar mreža. Dodatni uvidi dolaze od 43 bilijuna dnevnih sigurnosnih signala prikupljenih u Microsoftu, uključujući oblak, krajnje točke, inteligentni rub te našu praksu za oporavak kompromitirane sigurnost i timove za detekciju i odgovor.

Cyber Signals Kibernetička otpornost Ucjenjivački softver Zlonamjerni akteri

Profil stručnjaka: Emily Hacker

Analitičarka za obavještavanje o prijetnjama Emily Hacker raspravlja kao njezin tim ostaje u tijeku s promjenama u ucjenjivačkom softveru kao krajoliku usluge te mjerama koje poduzimaju kako bi se uhvatili akteri prije ucjenjivačkog softvera.
Saznajte više

Cyber Signals: 3. izdanje: Rast IoT-ja i rizik OT-ju

Sve veća cirkulacija IoT-ja stavlja OT pod rizik, uz niz potencijalnih ranjivosti i izloženosti zlonamjernim akterima. Saznajte kako očuvati svoju tvrtku ili ustanovu sigurnom
Saznajte više

Cyber Signals: 1. izdanje

Nova bitka vodi se na području identiteta. Dobijte uvide u razvijajuće računalne prijetnje i koje korake poduzeti kako biste bolje zaštitili svoju tvrtku ili ustanovu.
Saznajte više

Pratite Microsoft Security