Trace Id is missing
Pereiti prie pagrindinio turinio
Security Insider

Reketo ekonomika

Atsisiųsti
Bendrinti
Baltas labirintas su spalvingais ratais ir taškeliais

„Cyber Signals“ leidimas Nr. 2: Naujas išpirkos reikalaujančios programos veikimo modelis

Nors išpirkos reikalaujančios programos išlieka gariausiai aptariama tema, išties šiais kibernetiniais nusikaltimais užsiima nedidelė, glaudžiai susieta veikėjų ekosistema. Kibernetinių nusikaltimų ekonomikos specializacija ir konsolidacija padėjo išpirkos reikalaujančioms programoms kaip paslaugai (RaaS) tapti dominuojančiu verslo modeliu, įgalinančiu platesnį nusikaltėlių ratą, nepaisant jų techninių žinių, naudotis išpirkos reikalaujančiomis programomis
Daugiau kaip 80 proc. išpirkos reikalaujančių programų atakų kyla dėl įprastų programinės įrangos ir įrenginių konfigūracijos klaidų.1

Pasižiūrėkite „Cyber Signals“ skaitmeninį apžvalgą, kurioje „Microsoft“ saugos CVP Vasu Jakkal kalbina geriausius grėsmių žvalgybos ekspertus apie išpirkos reikalaujančių programų ekonomiką ir kaip organizacijos gali apsiginti pačios.

Skaitmeninė santrauka: Kaip apsisaugoti nuo išpirkos reikalaujančių programų ekonomikos

Naujasis verslo modelis suteikia naujų įžvalgų sargybiniams

Kaip daugelis pramonės šakų ėmė naudotis laisvai samdomais darbuotojais, taip kibernetiniai nusikaltėliai nuomojasi arba parduoda savo išpirkos reikalaujančias programas už pelno dalį, užuot patys vykdę atakas.

Išpirkos reikalaujanti programa kaip paslauga suteikia kibernetiniams nusikaltėliams galimybę įsigyti prieigą prie išpirkos reikalaujančių programų turinio ir duomenų nutekinimo bei mokėjimo infrastruktūros. Išpirkos reikalaujančių programų „gaujos“ iš tikrųjų tėra tokios RaaS programos, kaip „Conti“ arba „REvil“, kuriomis naudojasi skirtingi veikėjai, kurie kaitalioja RaaS programas ir jų turinį.

RaaS sumažina įsibrovimo kliūtis ir paslepia išpirkos reikalaujančių įsibrovėlių tapatybę. Kai kurios programos turi daugiau kaip 50 „narių“, kaip jie vadina paslaugos naudotojus, kurie pasižymi skirtingais įrankiais, veiklos būdais ir siekiais. Kaip kiekvienas vairuotojas gali dirbti pavežėju, taip kiekvienas turintis nešiojamąjį kompiuterį ir kreditinę kortelę gali tapti šios ekonomikos dalimis, „dark net“ tinkle atlikęs prasiskverbimo patikros įrankių arba gatavų kenkėjiškų programų paiešką.

Tokia kibernetinių nusikaltimų industrializacija sukūrė specializuotus vaidmenis, pvz., prieigos tarpininkus, kurie pardavinėja prieigą prie tinklų. Vieno įsilaužimo metu paprastai veikia keli kibernetiniai nusikaltėliai skirtingais įsilaužimo etapais.

RaaS rinkinius lengva rasti „dark net“ tinkle ir juos reklamuoja taip pat, kaip ir internete reklamuojamas prekes.

RaaS rinkinį gali sudaryti klientų aptarnavimo tarnyba, pasiūlymų paketai, naudotojų apžvalgos, forumai ir kitos funkcijos. Kibernetiniai nusikaltėliai gali sumokėti už RaaS rinkinį fiksuotą kainą, nors kitos RaaS pardavinėjančios grupuotės atsiriekia iš narių dalį pelno.

Išpirkos reikalaujančių programų atakoms reikia priimti sprendimus pagal tinklo konfigūracijas, kurios skiriasi atsižvelgiant į auką, net jei išpirkos reikalaujančios programos turinys yra toks pat. Išpirkos reikalaujanti programa sudaro sąlygas įvykdyti ataka, per kurią neteisėtai perkeliami duomenys ar padaroma kita žala. Dėl susieto kibernetinių nusikaltėlių ekonomikos pobūdžio, iš pažiūros nesusiję įsilaužimai gali papildyti vienas kitą. Kenkėjiška programa „Infostealer“, kuri grobia slaptažodžius ir slapukus, nekelia tokios didelės grėsmės, bet kibernetiniai nusikaltėliai parduoda šiuos slaptažodžius, kurie padeda vykdyti kitas atakas.

Šios atakos vykdomos pradedant nuo prieigos įgijimo naudojant kenkėjiškos programos užkratą arba išnaudojant pažeidžiamas vietas, o tada pavagiant kredencialus, kad įsibrovėlis įgytų daugiau teisių ir galėtų judėti horizontaliai. Industrializacija suteikia ypatingų žinių ar įgūdžių neturintiems įsibrovėliams atlikti didelio masto ir žalingas išpirkos reikalaujančių programų atakas. Nuo „Conti“ uždarymo stebime pokyčius išpirkos reikalaujančių programų lauke. Kai kurie nariai, kurie naudojosi „Conti“ perėjo prie tokių įsitvirtinusių RaaS ekosistemų, kaip „LockBit“ ir „Hive“, o kiti vienu metu naudojasi kelių RaaS ekosistemų turiniu.

Naujos RaaS, pvz., „QuantumLocker“ ir „Black Basta“ po truputį užima uždarytos „Conti“ vietą. Kadangi daugeliui išpirkos reikalaujančių programų svarbesnis jų turinys o ne veikėjai, turinio kaitaliojimas dažnai apgauna valstybines institucijas, teisėtvarką, žiniasklaidą, saugos analitikus ir saugos specialistus, kas iš tikrųjų vykdo šias atakas.

Ataskaitų rengimas apie išpirkos reikalaujančias programas atrodo problema be sprendimo, tačiau iš tikrųjų atitinkamu metodų rinkiniu naudojasi ribotas veikėjų skaičius.

Rekomendacijos:

  • Užtikrinkite kredencialų higieną: logiškai suskirstykite tinklą pagal teises, kurias galima suteikti atitinkamiems tinklo segmentams, kad būtų sunkiau judėti horizontaliai.
  • Tikrinkite kredencialų atskleidimą: kredencialų atskleidimo tikrinimas yra būtinas, siekiant apsisaugoti nuo išpirkos reikalaujančių programų atakų ir bendrai nuo kibernetinių nusikaltimų. IT saugos komandos ir SOC gali bendromis jėgomis sumažinti administravimo teises ir išsiaiškinti, kuriame lygmenyje atskleidžiami jų kredencialai.
  • Sumažinkite atakos pažeidžiamą sritį: Nustatykite atakos pažeidžiamos srities mažinimo taisykles, kad užkirstumėte kelią dažniausiems įsilaužimo metodams, naudojamiems išpirkos reikalaujančių programų atakose. Stebėdami skirtingų grupuočių išpirkos reikalaujančių programų atakas, matome, kad aiškiai apibrėžtas taisykles taikančios organizacijos sugeba sumažinti atakų žalą pradiniuose etapuose ir užkerta kelią naudotis klaviatūra.

Kibernetiniai nusikaltėliai papildo įsilaužimo strategiją dvigubu reketu

Išpirkos reikalaujančios programos skirtos išsireikalauti iš aukos pinigų. Naujausios RaaS programos taip pat nutekina pagrobtus duomenis – tai vadinama dvigubu reketu. Kadangi paslaugų sutrikimas sukelia pasipiktinimą ir valstybinės institucijos vis dažniau ardo išpirkos reikalaujančių programų operatorių veiklą, kai kurios grupės nebereikalauja išpirkos, o tiesiog grobia duomenis.

Dvi reketu užsiimančios grupuotės yra DEV-0537 (vadinama LAPSUS$) ir DEV-0390 (buvęs „Conti“ narys). DEV-0390 įsilaužimai prasideda nuo kenkėjiškos programos, bet neteisėtam duomenų perkėlimui ir pinigų reikalavimui naudojasi teisėtais įrankiais. Jie naudojasi tokiais prasiskverbimo tikrinimo įrankiais, kaip „Cobalt Strike“, „Brute Ratel C4“ ir teisėta „Atera“ nuotolinio valdymo priemone prieigai prie aukos. DEV-0390 padidina prieigos teises, pagrobdama kredencialus, susiranda slaptus duomenis (dažniausiai įmonės atsarginių duomenų kopijose ir failų serveriuose) ir siunčia duomenis į debesies failų bendrinimo svetainę, naudodamasi atsarginės failų kopijos kūrimo priemone.

DEV-0537 pasitelkia visiškai kitokią strategiją ir technikas. Pirminę prieigą ji įgyja įsigydama kredencialus nusikaltėlių pogrindyje arba iš tikslinių organizacijų darbuotojų.

Problemos

  • Pavogti slaptažodžiai ir neapsaugotos tapatybės
    Užpuolikams labiau reikia kredencialų, o ne kenkėjiškos programos, kad jie galėtų sėkmingai atlikti operacijas. Beveik visais sėkmingo išpirkos reikalaujančių programų panaudojimo atvejais užpuolikai įgyja prieigą prie visateisių, administratoriaus lygio paskyrų, kurios suteikia prieigą prie plataus organizacijos tinklo.
  • Trūkstami arba išjungti apsaugos produktai
    Beveik visais stebėtais išpirkos reikalaujančių programų panaudojimo atvejais, bent viena atakai išnaudota sistema neturėjo saugos produktų arba jie buvo netinkamai sukonfigūruoti, tad įsibrovėliai galėjo ją modifikuoti arba išjungti kai kurias apsaugas.
  • Netinkamai sukonfigūruotos arba netinkamai naudojamos programos
    Populiaria programa galima naudotis viena paskirtimi, bet tai nereiškia, kad nusikaltėliai negali jos panaudoti kita paskirtimi. Labai dažnai dėl „pasenusios“ konfigūracijos programa veikia numatytuoju režimu, tad bet kuris naudotojas gali įgyti prieigą prie visos organizacijos. Nenumokite ranka į šią riziką ir nedvejokite pakeisti programos parametrų, baimindamiesi, kad sutriks jos veikimas.
  • Pavėluotos pataisos
    Šis patarimas tapo toks nuvalkiotas, kaip „Valgyk daržoves!“ – bet tai yra būtina: Geriausias būdas užgrūdinti programinę įrangą ir ją naujinti. Nors kai kurios debesies technologijos pagrindu veikiančios programos atsinaujina be vartotojo sutikimo, įmonės privalo nedelsdamos įdiegti gamintojų pataisas. 2022 metais „Microsoft“ pastebėjo, kad senosios pažeidžiamos vietos vis dar sėkmingai išnaudojamos atakų metu.
  • Pavogti slaptažodžiai ir neapsaugotos tapatybės
    Užpuolikams labiau reikia kredencialų, o ne kenkėjiškos programos, kad jie galėtų sėkmingai atlikti operacijas. Beveik visais sėkmingo išpirkos reikalaujančių programų panaudojimo atvejais užpuolikai įgyja prieigą prie visateisių, administratoriaus lygio paskyrų, kurios suteikia prieigą prie plataus organizacijos tinklo.
  • Trūkstami arba išjungti apsaugos produktai
    Beveik visais stebėtais išpirkos reikalaujančių programų panaudojimo atvejais, bent viena atakai išnaudota sistema neturėjo saugos produktų arba jie buvo netinkamai sukonfigūruoti, tad įsibrovėliai galėjo ją modifikuoti arba išjungti kai kurias apsaugas.
  • Netinkamai sukonfigūruotos arba netinkamai naudojamos programos
    Populiaria programa galima naudotis viena paskirtimi, bet tai nereiškia, kad nusikaltėliai negali jos panaudoti kita paskirtimi. Labai dažnai dėl „pasenusios“ konfigūracijos programa veikia numatytuoju režimu, tad bet kuris naudotojas gali įgyti prieigą prie visos organizacijos. Nenumokite ranka į šią riziką ir nedvejokite pakeisti programos parametrų, baimindamiesi, kad sutriks jos veikimas.
  • Pavėluotos pataisos
    Šis patarimas tapo toks nuvalkiotas, kaip „Valgyk daržoves!“ – bet tai yra būtina: Geriausias būdas užgrūdinti programinę įrangą ir ją naujinti. Nors kai kurios debesies technologijos pagrindu veikiančios programos atsinaujina be vartotojo sutikimo, įmonės privalo nedelsdamos įdiegti gamintojų pataisas. 2022 metais „Microsoft“ pastebėjo, kad senosios pažeidžiamos vietos vis dar sėkmingai išnaudojamos atakų metu.

Veiksmai

  • Autentifikuokite tapatybes Taikykite kelių dalių autentifikavimą (MFA) visoms paskyroms, ypač administratoriams ir kitoms svarbioms pareigoms. Jei turite nuotolinių darbuotojų, MFA būtina visuomet taikyti visuose įrenginiuose ir visose vietovėse. Įgalinkite autentifikavimą be slaptažodžio, pvz., FIDO raktais arba „Microsoft Authenticator“, jį palaikančiose programose.
  • Pasirūpinkite aklosiomis saugos zonomis
    Saugos produktus, kaip ir kai kuriuos dūmų jutiklius, būtina diegti tinkamose vietose ir juos dažnai tikrinti. Patikrinkite, ar saugos įrankiai veikia naudodami saugiausią konfigūraciją, ir ar tinkle nėra likę neapsaugotų sričių.
  • Sustiprinkite prie interneto prijungto turto apsaugą
    Apsvarstykite, ar nevertėtų pašalinti vienodų arba nenaudojamų programų, kad pašalintumėte pavojingas, nenaudojamas paslaugas. Būkite atidūs, kur leidžiate tokias nuotolinės pagalbos programas, kaip „TeamViewer“. Į jas labai dažnai taikosi grėsmių sukėlėjai, kad gauti greitą prieigą prie nešiojamųjų kompiuterių.
  • Nuolat atnaujinkite sistemas
    Nuolat inventorizuokite programinę įrangą. Stebėkite, kas veikia jūsų sistemoje ir skirkite joms didžiausią palaikymą. Naudokitės galimybe greitai diegti pataisas ir taip įvertindami, kur būtų pravartu pereiti prie debesies technologija grįstų paslaugų.

Suprasdami, kaip glaudžiai susietos tapatybės ir patikimi ryšiai šiuolaikinių technologijų ekosistemose, jie taikosi į telekomunikacijų, technologijų, IT paslaugų ir palaikymo įmones, kad išnaudoti prieigą prie vienos organizacijos prieigai prie jos partnerių arba tiekėjų tinklų. Vien į reketą orientuotos atakos atskleidžia, kad tinklų sargybiniai privalo žvelgti į išpirkos reikalaujančių programų užkulisius ir atidžiai stebėti neteisėtą duomenų perkėlimą bei horizontalų judėjimą.

Jei grėsmės sukėlėjas planuoja reketuoti organizaciją, grasindamas paviešinti jos duomenis, išpirkos reikalaujančios programos turinys yra nesvarbiausia ir nevertingiausia tokios atakos strategijos dalis. Galiausiai operatorius sprendžia, ką panaudoti ir išpirkos reikalaujanti programa ne visada padeda išsireikalauti grėsmės sukėlėjo geidžiamą išpirką.

Nors išpirkos reikalaujanti programa arba dvigubas reketas gali atrodyti kaip neišvengiama patyrusio įsibrovėlio atakos atomazga, išpirkos reikalaujančios programos galima išvengti. Kadangi įsilaužėliai išnaudoja silpnąsias saugos vietas, rūpestis kibernetine higiena gali atsipirkti su kaupu.

Unikalus „Microsoft“ matomumas suteikia mums galimybę stebėti grėsmių sukėlėjo veiklą. Užuot pasikliaudama forumų įrašais arba nutekintais pokalbiais, mūsų saugos ekspertų komanda tiria naujas išpirkos reikalaujančių programų taktikas ir kuria grėsmių žvalgybą, kuri padeda ieškoti saugos sprendimų.

Integruota apsauga nuo grėsmių visuose įrenginiuose, tapatybėse, programose, el. pašte, duomenyse ir debesyje gali mums padėti atpažinti vienos kibernetinių nusikaltėlių grupuotės vykdomą ataką, kuri anksčiau buvo laikoma keleto veikėjų ataka. Mūsų Skaitmeninių nusikaltėlių būrį sudaro technologijų, teisės ir verslo ekspertai, toliau bendradarbiauja su teisėsauga, kad ardytų kibernetinių nusikaltėlių veiklą

Rekomendacijos:

Debesies grūdinimas: Įsibrovėliams kėsinantis į debesies išteklius, labai svarbu saugoti šiuos išteklius ir tapatybes kaip ir vietines paskyras. Saugos komandoms vertėtų susitelkti į saugos identifikatorių infrastruktūros stiprinimą, taikant kelių dalių autentifikavimą (MFA) visose paskyrose ir taikant debesies administratoriams / nuomotojų administratoriams tokį pat saugos lygį ir kredencialų higieną kaip ir domenų administratoriams.
Užkirskite kelią pirminei prieigai: užkirskite kelią kodo paleidimui, valdydami makrokomandas ir scenarijus bei taikydami atakos pažeidžiamos srities mažinimo taisykles.
Pašalinkite akląsias saugos zonas: organizacijoms būtina patikrinti, ar jų saugos įrankiai veikia su optimaliomis konfigūracijomis, ir reguliariai tikrinti tinklą, kad saugos produktai garantuotai saugotų visas sistemas.

„Microsoft“ teikia išsamias rekomendacijas svetainėje  https://go.microsoft.com/fwlink/?linkid=2262350.

Pasiklausykite, ką grėsmių žvalgybos analitikė Emily Hacker turi pasakyti apie tai, kaip jos komandai pavyksta neatsilikti nuo kintančios išpirkos reikalaujančių programų kaip paslaugos lauko.

„Microsoft“ skaitmeninių nusikaltimų skyrius (DCU):
Nuo 2021 m. liepos iki 2022 m. birželio „Microsoft“ skaitmeninių nusikaltimų padalinys nurodė pašalinti daugiau kaip 531 000 unikalių sukčiavimo URL adresų ir 5 400 sukčiavimo apsimetant rinkinių, todėl buvo nustatyta ir uždaryta daugiau kaip 1 400 kenkėjiškų el. pašto paskyrų, naudojamų vogtai klientų prisijungimo informacijai rinkti.1
El. pašto grėsmės:
jei jūs tampate sukčiavimo apsimetant el. laiško auka, užpuolikas prisikasa prie jūsų asmeninių duomenų vidutiniškai per vieną valandą ir 12 minučių.1
Galinių punktų grėsmės:
įsibrovęs į įrenginį užpuolikas pradeda judėti horizontaliai vidutiniškai per vieną valandą ir 42 minutes.1
  1. [1]

    Metodika: Momentiniams duomenims gauti „Microsoft“ platformos, įskaitant, „Defender“ ir „Azure Active Directory“, o mūsų Skaitmeninių nusikaltimų būrys pateikė anoniminių duomenų apie grėsmes keliančią veiklą, pavyzdžiui, kenkėjiškas el. pašto paskyras, sukčiavimo apsimetant el. laiškus ir įsilaužėlių judėjimą tinkluose. Papildomos įžvalgos yra gaunamos iš 43 trilijonų kasdien gaunamų „Microsoft“ saugos signalų, įskaitant debesį, galinius punktus, intelektualiąją duomenų analizę ir mūsų grėsmių prevencijos saugos tarnybos bei aptikimo ir reagavimo komandas.

Kibernetiniai signalai Kibernetinis atsparumas Išpirkos reikalaujančios programos Grėsmių sukėlėjai

„Expert Profile“: Emily Hacker

Grėsmių analizės specialistė Emili Hacker pasakoja, kaip jos komanda keičia išpirkos reikalaujančių programų paslaugų rinką ir kokių priemonių imasi siekdama užkirsti kelią asmenims ar organizacijoms, ketinantiems naudoti išpirkos reikalaujančias programas.
Sužinokite daugiau

„Cyber Signals“: 3 leidimas: Augantis IoT tinklas ir OT rizika

Dėl didėjančio daiktų interneto paplitimo kyla pavojus operacinėms technologijoms, nes atsiranda daugybė galimų pažeidžiamumų ir grėsmių sukėlėjų poveikis. Sužinokite, kaip apsaugoti savo organizaciją
Sužinokite daugiau

„Cyber Signals“: 1 leidimas

Tapatybė yra naujasis mūšio laukas. Pasisemkite įžvalgų apie kibernetinių grėsmių evoliuciją ir kokiomis priemonėmis gali apsaugoti savo organizaciją.
Sužinokite daugiau

Stebėkite „Microsoft“ saugą