Trace Id is missing

Løsepengevirus som tjeneste: Industrialisert nettkriminalitet satt i et nytt lys

Del
To piler som er lagt over på en linje og peker mot hverandre i ulike baner

 Nettkriminalitetens nyeste bedriftsmodell, menneskestyrte angrep, oppmuntrer kriminelle med varierende evner.

Løsepengevirus, en av de mest vedvarende og gjennomtrengende nettruslene, fortsetter å utvikle seg, og den nyeste formen fremstiller en ny trussel for organisasjoner over hele verden. Utviklingen av løsepengevirus involverer ikke nye fremskritt innen teknologi. Det involverer i stedet for en ny bedriftsmodell: løsepengevirus som tjeneste (RaaS).

Løsepengevirus som tjeneste (RaaS) er en avtale mellom en operatør, som utvikler og vedlikeholder verktøyene for å drifte utpressingsoperasjoner, og en partner, som distribuerer nyttelasten til løsepengeviruset. Når en partner gjennomfører et vellykket løsepengevirus- og utpressingsangrep, drar begge parter nytte av dette.

RaaS-modellen senker tilgangsbarrieren for angripere som ikke har evner eller tekniske midler til å utvikle egne verktøy, men klarer å administrere ferdiglagde verktøy for inntrengingstesting og systemansvarlig for å utføre angrep. Disse kriminelle på lavere nivå kan også bare kjøpe nettverkstilgang fra en mer sofistikert gruppe med kriminelle som allerede har brutt en perimeter.

Selv om RaaS-partnere bruker nyttelastene til løsepengeviruset som leveres av mer avanserte operatører, er de ikke en del av den samme løsepengevirus-«gjengen». Disse eier heller egne distinkte virksomheter som opererer i den generelle økonomien til nettkriminelle.

Fremskritt innen funksjonalitetene til nettkriminelle og vekst i den generelle økonomien til nettkriminelle

Løsepengevirus som tjeneste-modellen har lagt til rette for en rask forbedring og industrialisering av det mindre dyktige kriminelle kan oppnå. Tidligere har disse mindre avanserte kriminelle brukt handelsprogramvare som de enten har bygd eller kjøpt, for å utføre angrep i begrenset i omfang, men nå kan de få alt de trenger – fra tilgang til nettverk til nyttelaster for løsepengevirus – fra RaaS-operatørene (ved å betale for det, naturligvis). Mange RaaS-programmer inkluderer også en serie med utpressingsstøttetilbud, inkludert drift av lekkasjenettsteder og integrasjon i løsepengenotater, samt dekrypteringsforhandling, betalingspress, og transaksjonstjenester for kryptotjenester.

Dette betyr at virkningen av et løsepengevirus- og utpressingsangrep forblir det samme uavhengig av angriperens ferdigheter.

Oppdagelse og utpressing av nettverkssårbarheter ... hvis du betaler for det

Én måte RaaS-operatører gir verdi til partnerne sine er ved å gi tilgang til kompromitterte nettverk. Tilgangsprogrammer skanner Internett for sårbare systemer, som de kan kompromittere og reservere for senere fortjeneste.

For å lykkes trenger angriperne legitimasjon. Kompromittert legitimasjon er så viktig for disse angrepene, at når nettkriminelle selger nettverkstilgang, inkluderer prisen i mange tilfeller en garantert administratorkonto.

Hva de kriminelle gjør med tilgangen så fort den er oppnådd, kan variere veldig, avhengig av grupper og arbeidsbelastningen eller motivasjon. Tiden mellom innledningsvis tilgang til en praktisk tastaturdistribusjon kan derfor strekke seg fra minutter til dager eller lenger, men når omstendighetene tillater det, kan skade påføres ved halsbrekkende hastighet. Tiden det tar fra innledningsvis tilgang til fullstendig løsepengesum (inkludert overføring fra et tilgangsprogram til en RaaS-partner) er observert å være mindre enn en time.

Holde økonomien i gang – vedvarende og snikende tilgangsmetoder

Når angripere få tilgang til et nettverk, er de lite villige til å forlate det – selv etter å ha hentet løsepengene. Det er faktisk ikke sikkert at det å betale løsepenger reduserer risikoen for et påvirket nettverk, og hjelper potensielt bare med å finansiere nettkriminelle, som vil fortsette å prøve å generere inntekter fra angrep med ulike nyttelaster for skadelig programvare eller løsepengevirus, til de blir utestengt.

Overføringen som skjer mellom ulike angripere, mens overganger i økonomien til nettkriminelle oppstår, betyr at flere aktivitetsgrupper kan bestå i et miljø som bruker ulike metoder som er annerledes enn verktøyene som brukes et angrep med løsepengevirus. Innledende tilgang som oppnås av en bank-trojaner, fører for eksempel til en Cobalt Strike-distribusjon, men RaaS-partneren som kjøpte tilgangen, kan velge å bruke et eksternt tilgangsverktøy, som TeamViewer, til å drive kampanjen.

Bruk av legitime verktøy og innstillinger for å fortsette, kontra skadelig programvare-implantater som Cobalt Strike, er en populær teknikk blant løsepengevirusangripere for å unngå gjenkjenning og forbli lenger i et nettverk.

En annen populær angriperteknikk er å lage nye bakdørbrukerkontoer, enten lokale eller i Active Directory, som deretter kan legge til i eksterne tilgangsverktøy, som virtuelt privat nettverk (VPN) eller eksternt skrivebord. Det har også blitt observert at løsepengevirusangripere redigerer innstillinger i systemer for å aktivere eksternt skrivebord, redusere protokollens sikkerhet og legge til nye brukere i brukergruppen til eksternt skrivebord.

Flytdiagram so, forklarer hvordan RaaS-angrep planlegges og implementeres

Håndtere de mest flyktige og listige motstanderne i verden

En av kvalitetene til RaaS som gjør trusselen så bekymringsverdig, er hvordan den avhenger av menneskelige angripere som kan foreta informerte og kalkulerte beslutninger, og variere angrepsmønstre basert på hva de finner i nettverkene der de lander, for å sikre at de når målene sine.

Microsoft lagde uttrykket menneskestyrt løsepengevirus for å definere denne angrepskategorien som en kjede med aktivitet, som kulminerer i en nyttelast for løsepengevirus, og ikke som et sett med skadelig programvare-nyttelaster som skal blokkeres.

Selv om de fleste tilgangskampanjer avhenger av automatisk rekognosering, bruker angriperne kunnskapen og ferdighetene de har, til å prøve å tilintetgjøre sikkerhetsproduktene i miljøet så fort angrepet skifter til den praktiske tastaturfasen.

Angripere med løsepengevirus er motivert av enkel fortjeneste. Å øke kostnadene deres med sikkerhetsherding er dermed viktig for å bryte ned økonomien til nettkriminelle. Denne menneskelige beslutningtakingen betyr at selv om sikkerhetsprodukter kjenner igjen bestemte angrepsstadier, blir ikke angriperne helt utestengt. De prøver å fortsette hvis de ikke blir blokkert av en sikkerhetskontroll. I mange tilfeller, hvis et verktøy eller en nyttelast gjenkjennes og blokkeres av et antivirusprodukt, henter angriperne bare et annet verktøy eller endrer nyttelasten.

Angriperne er også oppmerksomme på responstidene til sikkerhetsoperasjonssenteret (SOC) og funksjonene og begrensningene til gjenkjenningsverktøyene. Innen angrepet når stadiet for sletting av sikkerhetskopier eller skyggekopier, er det bare minutter unna distribusjon av løsepengeviruset. Motstanderen har sannsynligvis allerede da utført skadelige handlinger som eksfiltrasjon av data. Denne kunnskapen er avgjørende for SOC-er som responderer på løsepengevirus: å undersøke gjenkjenninger som Cobalt Strike, før stadiet for distribusjon av løsepengevirus, og utføre raske utbedringshandlnger og hendelsesrespons (IR) -prosedyrer, er avgjørende for å holde tilbake en menneskelig motstander.

Styrke sikkerheten mot trusler og unngå varslingstretthet

En solid sikkerhetsstrategi mot målbevisste menneskelige motstandere må omfatte gjenkjennings- og reduksjonsmål. Det holder ikke å stole på gjenkjenning alene, fordi: 1) noen infiltrasjonshendelseer mer eller mindre ugjenkjennelige (de ser ut som flere uskyldige handlinger), og 2) det er ikke uvanlig at angrep med løsepengevirus blir oversett på grunn av varslingstretthet forårsaket av flere ulike sikkerhetsproduktvarslinger.

Med tanke på at angriperne har flere måter å unngå og deaktivere sikkerhetsprodukter på, og er i stand til å etterligne ufarlig administratoratferd for å gå mest mulig i ett med omgivelsene, bør IT-sikkerhetsteamene og SOC-ene sikkerhetskopiere gjenkjenningsarbeidet med styrkende sikkerhetstiltak.

Angripere med løsepengevirus er motivert av enkel fortjeneste. Å øke kostnadene deres med sikkerhetsherding er dermed viktig for å bryte ned økonomien til nettkriminelle.

Her er noen tiltak organisasjoner kan iverksette for å beskytte seg selv:

 

  • Bygg god legitimasjonshygiene: Utvikle en logisk nettverkssegmentering basert på privilegier som kan implementeres sammen med nettverkssegmentering for å begrense dypere inntrenging.
  • Overvåk legitimasjonseksponering: Overvåking av legitimasjonseksponering er avgjørende for å forebygge angrep med løsepengevirus og nettkriminalitet generelt. IT-sikkerhetsteam og sikkerhetssentre kan jobbe sammen for å redusere administrative privilegier og forstå i hvilken grad legitimasjonen er eksponert.
  • Styrk skyen: Etter hvert som angripere trekker mot skyressursene, er det viktig å sikre skyressursene og identitetene i tillegg til lokale kontoer. Sikkerhetsteamene burde konsentrere seg om å styrke infrastrukturen for sikkerhetsidentiteter, håndheve flerfaktorautentisering på alle kontoer og behandle skyadministratorer/leieradministratorer med samme grad av sikkerhets- og legitimasjonshygiene som domeneadministratorer.
  • Fjern svake punkter i sikkerheten: Organisasjoner burde bekrefte at sikkerhetsverktøyet kjøres i optimal konfigurasjon, og utføre jevnlig skanning av nettverket for å sikre at sikkerhetsproduktet beskytter alle systemene.
  • Reduser angrepsoverflaten: Opprett regler som reduserer angrepsoverflaten for å hindre vanlige angrepsteknikker som brukes i angrep med løsepengevirus. I observerte angrep fra flere aktivitetsgrupper knyttet til løsepengevirus har organisasjoner med klart definerte regler kunnet avdempe angrepene i begynnerstadiene og forhindre direkte tastaturaktivitet.
  • Evaluer perimeteren: Organisasjoner må identifisere og sikre perimetersystemer som angripere kan bruke for å få tilgang til nettverket. Offentlige skannegrensesnitt, for eksempel, kan brukes til å styrke dataene.
  • Styrk ressurser på Internett-siden: Løsepengevirus-angripere og tilgangsprogrammer bruker sårbarheter som ikke er oppdaterte, enten de er allerede utlevert eller nulldagssårbarheter, særlig i den første tilgangsfasen. De tar også raskt i bruk nye sårbarheter. For å redusere eksponeringen ytterligere kan organisasjoner bruke funksjonene for håndtering av trusler og sikkerhetsproblemer i endepunktsoppdagelse og -svarprodukter for å oppdage, prioritere og utbedre sårbarheter og feilkonfigurasjoner.
  • Vær forberedt på gjenoppretting: Det beste forsvaret mot løsepengevirus bør omfatte planer for å gjenopprette raskt i tilfelle et angrep skjer. Det koster mindre å gjenopprette fra et angrep enn å betale løsepenger, så sørg for å foreta regelmessige sikkerhetskopier av kritiske systemer og beskytt disse sikkerhetskopiene mot bevisst sletting og kryptering. Hvis mulig, lagre sikkerhetskopier i uforanderlige lagringsplasser på nettet eller fullstendig frakoblet eller eksternt.
  • Ytterligere forsvar mot angrep med løsepengevirus: Den mangefasetterte trusselen til den nye løsepengevirusøkonomien og det flyktige aspektet ved menneskestyrte angrep med løsepengevirus krever at organisasjoner bruker en omfattende tilnærming til sikkerhet.

Fremgangsmåten vi har skissert over, bidrar til å beskytte mot vanlige angrepsmønster og rekker langt for å hindre angrep med løsepengevirus. For å forsterke forsvaret ytterligere mot tradisjonelle og menneskestyrt løsepengevirus og andre trusler, kan du bruke sikkerhetsverktøy som kan gi dypere synlighet på tvers av domener og enhetlige undersøkelsesfunksjoner.

Hvis du vil ha en ekstra oversikt over løsepengevirus, komplett med tips og anbefalte fremgangsmåter for forebygging, gjenkjenning og utbedring, kan du se Beskytt organisasjonen mot løsepengevirus, og for enda mer dyptgående informasjon om menneskestyrt løsepengevirus, kan du se Senior sikkerhetsforsker Jessica Paynes Løsepengevirus som tjeneste: Forstå nettkriminalitetens delingsøkonomi og hvordan du beskytter deg selv.

Relaterte artikler

Cyber Signals utgave 2: Utpressingsøkonomi

Hør om utviklingen innen løsepengevirus-som-en-tjeneste fra frontlinjeeksperter. Fra programmer og nyttelaster til tilgangsmeglere og partnere – lær om verktøyene, taktikkene og målene cyberkriminelle foretrekker, og få veiledning for å få hjelp til å beskytte organisasjonen.
Mer informasjon

Ekspertprofil: Nick Carr

Nick Carr, leder for teamet som analyserer nettkriminalitet ved senteret for Microsoft trusselinformasjon, diskuterer trender for løsepengevirus, forklarer hva Microsoft gjør for å beskytte kunder mot løsepengevirus, og beskriver hva organisasjoner kan gjøre hvis de har blitt berørt av det.
Mer informasjon

Beskytt organisasjonen mot løsepengevirus

Få et glimt av de kriminelle spillerne som opererer i den skjulte løsepengevirusøkonomien. Vi hjelper deg med å forstå motivasjonen og mekanikken til løsepengevirusangrep og gir deg anbefalte fremgangsmåter for beskyttelse i tillegg til sikkerhetskopiering og gjenoppretting.
Mer informasjon