Utpressingsøkonomi
Se den digitale orienteringen i Cyber Signals hvor Vasu Jakkal, visedirektør i Microsoft Sikkerhet, intervjuer de beste trusselinformasjonekspertene om løsepengevirusøkonomien og hvordan organisasjoner kan beskytte seg.
Digital orientering: Beskytte deg mot løsepengevirusøkonomien
Nye forretningsmodeller gir ny innsikt til forsvarerne
Akkurat som mange bransjer i større grad har begynt å bruke gig-arbeidere for effektivisering, har nettkriminelle begynt å leie ut eller selge løsepengevirusverktøy mot en andel av utbyttet heller enn å utføre angrepene selv.
RaaS senker barrieren for å delta og skjuler identiteten til angriperne bak løsepengekravet. Noen programmer har over 50 «medlemmer», som de kaller brukere av tjenesten, med forskjellige verktøy, metoder og målsettinger. Akkurat som alle med en bil kan kjøre for en bildelingstjeneste, kan alle med en bærbar datamaskin og et kredittkort som er villig til å søke det mørke nettet etter verktøy til inntrengingstesting eller bruksklar skadelig programvare, bli med i denne økonomien.
Industrialiseringen av nettkriminalitet har skapt spesialiserte roller, for eksempel tilgangsmeglere som selger tilgang til nettverk. Ett enkelt innbrudd har ofte flere nettkriminelle innblandet i forskjellige stadier av inntrengingen.
Det er lett å finne RaaS-sett på det mørke nettet, og de averteres på samme måten som varer averteres på Internett.
En RaaS-pakke kan omfatte kundestøtte, tilbudspakker, brukeranmeldelser, forumer og andre funksjoner. Nettkriminelle kan betale en fast pris for et RaaS-sett, mens andre grupper selger RaaS etter medlemsmodellen og tar en prosentandel av utbyttet.
Løsepengevirusangrep omfatter avgjørelser basert på konfigurasjoner av nettverk og er forskjellige fra offer til offer selv om nyttelasten til løsepengeviruset er den samme. Løsepengevirus kulminerer et angrep som kan inkludere dataeksfiltrasjon og andre følger. Siden den nettkriminelle økonomien er så sammenkoblet, kan tilsynelatende urelaterte inngrep bygge på hverandre. Infostealer-programvare som stjeler passord og informasjonskapsler blir tatt mindre alvorlig, men nettkriminelle selger disse passordene for å gjøre andre angrep mulig.
Disse angrepene følger mønsteret med innledende tilgang via infisering med skadelig programvare eller utnyttelse av sårbarhet, deretter tyveri av legitimasjon for å tilegne flere privilegier og trenge dypere inn. Industrialisering gjør det mulig med produktive og effektive løsepengevirusangrep av angripere som hverken er sofistikerte eller har avanserte ferdigheter. Siden Conti ble nedlagt, har vi observert endringer i løsepengeviruslandskapet. Enkelte medlemmer som brukte Conti, flyttet over til nyttelaster fra etablerte RaaS-økosystemer, for eksempel LockBit og Hive, mens andre ruller ut nyttelaster fra flere RaaS-økosystemer samtidig.
Nye RaaS, blant annet QuantumLocker og Black Basta fyller tomrommet etter Conti. Siden omtale av løsepengevirus vanligvis fokuserer på nyttelasten heller enn aktørene, kommer nok denne byttingen mellom nyttelaster til å forvirre myndigheter, politi, medier, sikkerhetsforskere og forsvarere når det gjelder hvem som står bak angrepene.
Rapportering om løsepengevirus kan virke som et evig skaleringsproblem, men i realiteten er det et begrenset antall aktører som bruker disse teknikkene.
Anbefalinger:
- Utvikle legitimasjonshygiene: Utvikle en logisk nettverkssegmentering basert på privilegier som kan implementeres sammen med nettverkssegmentering for å begrense dypere inntrenging.
- Overvåk legitimasjonseksponering: Overvåking av legitimasjonseksponering er viktig for å hindre løsepengevirusangrep og nettkriminalitet generelt. IT-sikkerhetsteam og sikkerhetssentre kan jobbe sammen for å redusere administrative privilegier og forstå i hvilken grad legitimasjonen er eksponert.
- Reduser angrepsoverflaten: Opprett regler som reduserer angrepsoverflaten for å hindre vanlige angrepsteknikker som brukes i løsepengevirusangrep. I observerte angrep fra flere aktivitetsgrupper knyttet til løsepengevirus har organisasjoner med klart definerte regler kunnet avdempe angrepene i begynnerstadiene og forhindre direkte tastaturaktivitet.
Nettkriminelle bruker dobbel utpressing som angrepsstrategi
Poenget med løsepengevirus er å presse penger fra et offer. De fleste RaaS-programmene lekker også stjålne data, noe som kalles dobbel utpressing. Etter hvert som det har kommet motreaksjoner etter driftsstans, og myndighetene klarer å forstyrre flere operatører av løsepengevirus, dropper enkelte grupper løsepengene og går etter datautpressing.
To grupper som konsentrere seg om slik utpressing er DEV-0537 (alias LAPSUS$) og DEV-0390 (tidligere Conti-medlem). Inngrep fra DEV-0390 kommer fra skadelig programvare, men de bruker legitime verktøy til å trekke ut data og presse ut penger. De ruller ut inntrengingstestverktøy som Cobalt Strike, Brute Ratel C4 og det legitime fjernadministrasjonsverktøyet Atera til å få tilgang til et offer. DEV-0390 eskalerer privilegier ved å stjele legitimasjon, lokale sensitive data (ofte på bedrifters sikkerhets- og filservere) og sender dataene til et fildelingsnettsted i skyen ved hjelp av et verktøy for sikkerhetskopiering av filer.
DEV-0537 bruker en helt annen strategi og metode. Innledningsvis tilgang sikres ved å kjøpe legitimasjon fra den kriminelle underverdenen eller fra ansatte i de aktuelle organisasjonene.
Problemer
- Stjålne passord og ubeskyttede identiteter
Tilgang til legitimasjon er viktigere enn skadelig programvare for at angriperne skal lykkes. I nesten alle vellykkede utrullinger av løsepengevirus får angriperne tilgang til privilegerte kontoer på administratornivå, noe som gir dem bred tilgang til organisasjonens nettverk. - Manglende eller deaktiverte sikkerhetsprodukter
I nesten hver eneste løsepengevirushendelse hadde minst ett av systemene som ble utnyttet i angrepet, manglende eller feilkonfigurerte produkter som tillot inntrengere å tukle med eller deaktivere visse beskyttelser. - Feilkonfigurerte eller misbrukte programmer
Du bruker kanskje en populær app til ett formål, men det betyr ikke at kriminelle ikke kan bruke det som våpen til noe annet. Altfor ofte betyr «eldre» konfigurasjoner at en app er i standardtilstanden, noe som gir en bruker bredere tilgang til hele organisasjoner. Ikke overse denne risikoen eller nøl med å endre appinnstillinger i frykt for forstyrrelser. - Treg sikkerhetsoppdatering
Det er en klisjé: «Spis grønnsakene dine!» – men det er et viktig faktum: Den beste måten å styrke programvaren på, er å holde den oppdatert. Mens enkelte skybaserte apper oppdateres uten inngripen fra en bruker, må bedrifter bruke sikkerhetsoppdateringer fra andre leverandører umiddelbart. I 2022 observerte Microsoft at eldre sårbarheter fortsatt er en primær drivkraft for angrep. - Stjålne passord og ubeskyttede identiteter
Tilgang til legitimasjon er viktigere enn skadelig programvare for at angriperne skal lykkes. I nesten alle vellykkede utrullinger av løsepengevirus får angriperne tilgang til privilegerte kontoer på administratornivå, noe som gir dem bred tilgang til organisasjonens nettverk. - Manglende eller deaktiverte sikkerhetsprodukter
I nesten hver eneste løsepengevirushendelse hadde minst ett av systemene som ble utnyttet i angrepet, manglende eller feilkonfigurerte produkter som tillot inntrengere å tukle med eller deaktivere visse beskyttelser. - Feilkonfigurerte eller misbrukte programmer
Du bruker kanskje en populær app til ett formål, men det betyr ikke at kriminelle ikke kan bruke det som våpen til noe annet. Altfor ofte betyr «eldre» konfigurasjoner at en app er i standardtilstanden, noe som gir en bruker bredere tilgang til hele organisasjoner. Ikke overse denne risikoen eller nøl med å endre appinnstillinger i frykt for forstyrrelser. - Treg sikkerhetsoppdatering
Det er en klisjé: «Spis grønnsakene dine!» – men det er et viktig faktum: Den beste måten å styrke programvaren på, er å holde den oppdatert. Mens enkelte skybaserte apper oppdateres uten inngripen fra en bruker, må bedrifter bruke sikkerhetsoppdateringer fra andre leverandører umiddelbart. I 2022 observerte Microsoft at eldre sårbarheter fortsatt er en primær drivkraft for angrep.
Handlinger
- Godkjenning av identiteter Håndhev flerfaktorautentisering på alle kontoer med prioritering av administratorer og andre sensitive roller. Med en hybrid arbeidsstyrke må det være krav om flerfaktorautentisering på alle enheter, på alle steder, hele tiden. Aktiver godkjenning uten passord, for eksempel FIDO-nøkler eller Microsoft Authenticator, for apper som støtter det.
- Innfør tiltak mot svake punkter i sikkerheten
Som røykvarslere må sikkerhetsprodukter installeres på riktig sted og testes med jevne mellomrom. Bekreft at sikkerhetsverktøyene opererer i sin sikreste konfigurasjon, og at ingen del av nettverket er ubeskyttet. - Styrk ressurser på Internett-siden
Vurder å slette apper som er duplikater eller ubrukte, for å fjerne risikable, ubrukte tjenester. Vær påpasselig med hvor du tillater eksterne hjelpeapper, for eksempel TeamViewer. Disse er kjent for å bli utnyttet av trusselaktører til å få tilgang til bærbare datamaskiner. - Holde systemene oppdatert
Hold konstant oversikt over programvareinnholdet. Hold følge med hva du kjører, og prioriter støtte for disse produktene. Vurder om det lønner seg å gå over til skybaserte tjenester ved å måle evnene til å foreta raske og avgjørende sikkerhetsoppdateringer.
Fordi de forstår hvordan identiteter og tillitsforhold henger sammen i moderne teknologiske økosystemer, går de etter telekommunikasjon, teknologi, IT-tjenester og støttebedrifter for å få tilgang til en organisasjon eller innpass i partner- eller leverandørnettverk. Rene utpressingsangrep demonstrerer at nettverksforsvarere må se utenom endestadiet for løsepengevirus og holde et godt øye med dataeksfiltrasjon og dypere inntrenging.
Hvis en trusselaktør planlegger å utpresse en organisasjon for å holde dataene deres private, er en nyttelast fra et løsepengevirus den minst betydningsfulle og minst verdifulle delen av angrepsstrategien. I siste instans er det operatørens valg hva de velger å rulle ut, og løsepengevirus er ikke alltid den store inntektskilden som alle trusselaktører er ute etter.
Mens skadelig programvare eller dobbel utpressing kan se ut som et uunngåelig resultat av et angrep fra en sofistikert angriper, er løsepengevirus en katastrofe som kan unngås. Angriperne er avhengige av sikkerhetssvakheter, som betyr at investering i sikkerhetshygiene rekker langt.
Microsofts unike synlighet gir oss et innsyn i trusselaktøraktivitet. Teamet med sikkerhetseksperter er ikke avhengig av innlegg i forumer eller lekkede chatter, men studerer heller nye løsepengevirustaktikker og utvikler trusselinformasjon som legges til grunn for sikkerhetsløsningene.
Integrert trusselbeskyttelse på tvers av enheter, apper, e-post, data og skyen hjelper oss med å registrere angrep som ville blitt identifisert som flere aktører, når de egentlig er ett sett med nettkriminelle. Avdelingen vår for nettkriminalitet består av tekniske og juridiske eksperter og forretningseksperter som stadig samarbeider med politiet for å stanse nettkriminalitet
Anbefalinger:
Du finner inngående anbefalinger fra Microsoft her: https://go.microsoft.com/fwlink/?linkid=2262350.
Hør fra trusselinformasjonanalytiker Emily Hacker om hvordan teamet hennes holder oversikten over endringene i landskapet rundt løsepengevirus som tjeneste.
Ledet fjerning av mer enn 531 000 unike phishing-nettadresser og 5400 phishing-sett mellom juli 2021 og juni 2022, noe som førte til identifisering og stenging av over 1400 skadelige e-postkontoer brukt til å samle inn stjålet kundelegitimasjon.1
Median tid som en angriper bruker på å få tilgang til private data hvis du blir offer for en phishing-e-post, er én time og 12 minutter.1
Median tid som en angriper bruker på å trenge seg dypere inn i nettverket ditt på hvis en enhet blir kompromittert, er én time og 42 minutter.1
- [1]
Metode: Når det gjelder øyeblikksbildedata, leverte Microsoft-plattformer, blant annet Defender og Azure Active Directory og avdelingen for nettkriminalitet, anonymiserte data om trusselaktivitet, for eksempel skadelige e-postkontoer, phishing-e-post og angrepsbevegelser i nettverk. Ytterligere innsikt kommer fra de 43 billionene med sikkerhetssignaler som mottas av Microsoft, inkludert skyen, endepunkter, den intelligente kanten og våre team for gjenoppretting etter sikkerhetsbrudd og oppdagelse og svar.
Følg Microsoft Sikkerhet