Trace Id is missing
Przejdź do głównej zawartości
Security Insider

Oprogramowanie ransomware jako usługa: nowe oblicze uprzemysłowionego cyberprzestępstwa

Udostępnij
Dwie strzałki nałożone na linii, skierowane do siebie na różnych ścieżkach

 Najnowszy model biznesowy w cyber­przestępczości, ataki kierowane przez ludzi, ośmielenie przestępców o różnych zdolnościach.

Oprogramowanie ransomware, jedno z najbardziej uporczywych i powszechnych zagrożeń w świecie cyfrowym ciągle się rozwija, a jego najnowsza forma stanowi nowe zagrożenie dla organizacji na całym świecie. Ewolucja oprogramowania ransomware nie wykorzystuje nowinek technologicznych. Zamiast tego wykorzystuje model biznesowy: oprogramowanie ransomware jako usługa (RaaS).

Oprogramowanie ransomware jako usługa (RaaS) to umowa między operatorem, który opracowuje i zajmuje się narzędziami wymuszającymi, a podmiotem stowarzyszonym, który wdraża ładunek oprogramowania ransomware. Kiedy podmiot stowarzyszony skutecznie wdroży oprogramowanie ransomware i doprowadzi do wymuszenia, obie strony odniosą z tego korzyści.

Model RaaS obniża poprzeczkę i ułatwia dostęp atakującym, którzy mogą nie mieć wymaganych umiejętności lub zasobów technicznych, aby stworzyć własne narzędzia, ale mogą zarządzać gotowymi testami penetracyjnymi i narzędziami administratora systemu w celu przeprowadzenia ataków. Tacy niewykwalifikowani przestępcy mogą po prostu kupić dostęp sieciowy od bardziej wyspecjalizowanej grupy przestępczej, która ma już w tym doświadczenie.

Chociaż podmioty stowarzyszone wykorzystują ładunki ransomware dostarczone przez wyspecjalizowanych operatorów, nie są one częścią tego samego „gangu” ransomware’owego. Są to raczej odrębne przedsiębiorstwa działające w całej gospodarce cyberprzestępczej.

Rozwój umiejętności cyberprzestępców oraz ogólnej gospodarki cyberprzestępczej

Model oprogramowania ransomware jako usługa ułatwił szybkie udoskonalenie i uprzemysłowienie działań mniej wyspecjalizowanych przestępców. Dawniej tacy mniej doświadczeni przestępcy mogli wykorzystywać stworzone przez siebie lub kupione oprogramowanie malware, aby przeprowadzać ataki o ograniczonym zakresie. Jednak obecnie mogą osiągnąć wszystkie swoje cele — od dostępu do sieci po ładunki ransomware’owe — z pomocą operatorów RaaS (oczywiście za odpowiednią opłatą). Wiele programów RaaS oferuje inne możliwości wymuszeń, w tym hosting witryn z wyciekami danych, integracja z żądaniami okupu, a także negocjacje dotyczące odszyfrowywania, wymuszania zapłaty i transakcji w kryptowalutach.

Oznacza to, że skuteczne oprogramowanie ransomware i ataki wymuszające okup pozostają takie same bez względu na umiejętności atakujących.

Odkrywanie i wykorzystywanie luk w sieci… za odpowiednią cenę

Jednym ze sposobów, w jaki operatorzy RaaS zapewniają korzyści podmiotom stowarzyszonym, jest zapewnienie dostępu do sieci z naruszonymi zabezpieczeniami. Brokerzy dostępu skanują internet pod kątem systemów podatnych na ataki. Następnie naruszają ich zabezpieczenia i zachowują takie zasoby, by później czerpać z nich korzyści.

Aby odnieść sukces, atakujący potrzebują informacji logowania. Naruszone dane logowania odgrywają kluczową rolę w takich atakach, ponieważ kiedy cyberprzestępcy sprzedają dostęp do sieci, to w wielu przypadkach w cenę wliczone jest gwarantowane konto administratora.

To, co przestępcy zrobią z dostępem, zależy od danej grupy, ich specjalizacji lub motywów działania. Zatem czas między pierwszym dostępem a wdrożeniem może wynosić od kilku minut do kilku dni lub dłużej, ale gdy okoliczności są sprzyjające, może do tego dojść błyskawicznie. Tak naprawdę, szacuje się, że od pierwszego dostępu do pełnego wymuszenia okupu (łącznie z przekazaniem dostępu podmiotowi stowarzyszonemu RaaS przez brokera) może minąć niecała godzina.

Napędzanie gospodarki — uporczywe i podstępne metody dostępu

Gdy atakujący uzyskają dostęp do sieci, nie są skłonni jej opuszczasz, nawet po odebraniu okupu. W zasadzie to zapłata okupu nie oznacza, że niebezpieczeństwo dla danej sieci minęło. Może ona nadal służyć cyberprzestępcom do zarabiania na atakach z użyciem innych ładunków oprogramowania malware lub ransomware, dopóki nie opuszczą sieci.

Przekazanie dostępów między różnymi atakującymi w trakcie zmian w gospodarce cyberprzestępczej oznacza, że w środowisku może działać wiele grup, które korzystają z różnych metod, w zależności od narzędzi używanych podczas ataków ransomware’owych. Na przykład początkowy dostęp uzyskany przez trojana bankowego prowadzi do wdrożenia Cobalt Strike, ale podmiot stowarzyszony RaaS, który zakupił dostęp, może zechcieć wykorzystać do zarządzania kampanią narzędzie dostępu zdalnego, takie jak TeamViewer.

Używanie legalnych narzędzi i ustawień w celu utrzymania się w walce z elementami złośliwego oprogramowania, takimi jak Cobalt Strike, to popularna technika wśród atakujących oprogramowaniem ransomware, pozwalająca uniknąć wykrycia i umożliwiająca dłuższe działanie w sieci.

Inną popularną techniką jest stworzenie nowego konta użytkownika typu backdoor, lokalnie lub w Active Directory, które można potem dodać do narzędzi dostępu zdalnego, takich jak VPN lub pulpit zdalny. Atakujący oprogramowaniem ransomware zmieniają także ustawienia systemów, aby umożliwić działanie pulpitu zdalnego, ograniczyć bezpieczeństwo protokołu i dodać nowych użytkowników do grupy użytkowników pulpitu zdalnego.

Schemat blokowy wyjaśniający, jak planowane i wdrażane są ataki RaaS

Walka z najbardziej nieuchwytnymi i podstępnymi wrogami na świecie

Jedną z cech RaaS, która sprawia, że jest to tak poważne zagrożenie, jest to, że atakującymi są ludzie, którzy mogą podejmować świadome i przemyślane decyzje oraz zmieniać wzorce ataków w oparciu o to, co znajdą w sieci, w której się znajdą, przez co osiągają swoje cele.

Microsoft stworzył pojęcie oprogramowania ransomware obsługiwanego przez człowieka, aby określić tę kategorię ataków jako łańcuch działań, których kulminacją jest ładunek oprogramowania ransomware, a nie zestaw ładunków, które należy zablokować.

Podczas gdy większość kampanii początkowego dostępu opiera się na automatycznym rozpoznaniu, gdy atak przejdzie do fazy „ręce na klawiaturze”, atakujący wykorzystają swoją wiedzę i umiejętności, aby spróbować pokonać produkty zabezpieczające zasoby w środowisku.

Atakujący używający oprogramowania wymuszającego okup są motywowani łatwymi zyskami, więc zwiększenie ich kosztów poprzez utwardzenie zabezpieczeń jest kluczem do zakłócenia ekonomii cyberprzestępców. Taka ludzka decyzja oznacza, że nawet jeśli produkt zabezpieczający wykryje poszczególne etapy ataku, sami atakujący nie zostaną usunięci z sieci. Jeśli nie zostaną zablokowani przez kontrolę bezpieczeństwa, będą próbować kontynuować działania. W wielu przypadkach, jeśli narzędzie lub ładunek zostanie wykryty i zablokowany przez program antywirusowy, atakujący po prostu wykorzystują inne narzędzie lub modyfikują ładunek.

Atakujący wiedzą też o czasie odpowiedzi Security Operations Center (SOC) oraz możliwościach i ograniczeniach narzędzi wykrywających. Gdy atak dojdzie do etapu skasowania kopii zapasowej lub kopii w tle, wystarczą minuty, aby wdrożyć oprogramowanie ransomware. W tym czasie wróg prawdopodobnie dokonał już szkód, na przykład wykradł dane. Ta wiedza jest kluczowa dla reakcji SOC na oprogramowanie ransomware: wykrywanie narzędzi, takich jak Cobalt Strike, zanim oprogramowanie ransomware zostanie wdrożone i sprawne działania korygujące oraz reagowanie na zdarzenia są niezwykle istotne w walce z ludzkim wrogiem.

Wzmocnienie zabezpieczeń przed zagrożeniami przy jednoczesnym unikaniu zmęczenia alertami

Długotrwała strategia bezpieczeństwa przeciwko zdeterminowanym ludzkim wrogom musi obejmować cele w zakresie wykrywania i ograniczenia ryzyka. Nie wystarczy polegać wyłącznie na wykrywaniu, ponieważ 1) niektóre zdarzenia infiltrujące są praktycznie niewykrywalne (przypominają niewinne działania w systemie) oraz 2) nierzadko zdarza się, że ataki oprogramowania ransomware zostają przeoczone z powodu zmęczenia alertami spowodowanego wieloma różnymi alertami produktów zabezpieczających.

Atakujący mają wiele sposobów na ominięcie i wyłączenie produktów zabezpieczających, a także potrafią naśladować nieszkodliwe zachowanie administratorów, aby jak najbardziej wtopić się w otoczenie, dlatego zespoły ds. bezpieczeństwa IT i SOC powinny wspierać swoje wysiłki w zakresie wykrywania poprzez wzmacnianie zabezpieczeń.

Atakujący używający oprogramowania wymuszającego okup są motywowani łatwymi zyskami, więc zwiększenie ich kosztów poprzez utwardzenie zabezpieczeń jest kluczem do zakłócenia ekonomii cyberprzestępców.

Oto kilka kroków, jakie organizacje mogą podjąć, by się chronić:

 

  • Dbaj o higienę poświadczeń: Należy stworzyć segmentację sieci logicznej w oparciu o przywileje, które można wdrożyć wraz z segmentacją sieci, aby ograniczyć „ruchy boczne”.
  • Kontroluj stopień zagrożenia poświadczeń: Kontrola stopnia zagrożenia poświadczeń jest kluczowa w przeciwdziałaniu atakom ransomware i cyberprzestępstwom. Zespoły ds. bezpieczeństwa IT i SOC mogą współpracować, aby ograniczać uprawnienia administratora i wykryć poziom, na którym poświadczenia są najbardziej zagrożone.
  • Wzmocnienie zabezpieczeń w chmurze: Atakujący wykorzystują także zasoby w chmurze, więc ważne jest zabezpieczenie zasobów i tożsamości w chmurze, a także kont lokalnych. Zespoły ds. bezpieczeństwa powinny skupić się na wzmocnieniu infrastruktury zabezpieczeń tożsamości, uwierzytelniania wieloskładnikowego na wszystkich kontach oraz traktowaniu administratorów i administratorów-dzierżawców na tym samym poziomie bezpieczeństwa i z taką samą higieną poświadczeń, co administratorów domeny.
  • Usuwanie martwych punktów bezpieczeństwa: Organizacje powinny weryfikować, czy ich narzędzia zabezpieczające są optymalnie skonfigurowane oraz przeprowadzać regularne skanowanie sieci, aby zapewnić, że produkt zabezpieczający chroni wszystkie systemy.
  • Zmniejsz obszar podatny na ataki: Należy ustanowić zasady zmniejszania obszaru podatnego na ataki, aby zapobiegać powszechnym atakom oprogramowania ransomware. W zaobserwowanych atakach grup związanych z oprogramowaniem ransomware organizacje posiadające jasno określone zasady były w stanie złagodzić ataki na ich początkowych etapach, jednocześnie zapobiegając działaniom „ręce na klawiaturze”.
  • Oceń obwód zabezpieczeń: Organizacje muszą zidentyfikować i zabezpieczyć systemy obwodowe, które atakujący mogą wykorzystać do uzyskania dostępu do sieci. Interfejsy publicznego skanowania mogą być wykorzystywane do wzmocnienia danych.
  • Wzmocnienie zasobów widocznych z Internetu: Osoby atakujące przy użycia oprogramowania ransomware i brokerzy dostępu wykorzystują luki w zabezpieczeniach, niezależnie od tego, czy zostały już ujawnione, czy też nie są jeszcze typu zero-day, zwłaszcza na etapie początkowego dostępu. Ponadto szybko adaptują nowe luki. Aby jeszcze bardziej ograniczyć narażenie na ataki, organizacje mogą korzystać z zarządzania lukami w zabezpieczeniach w produktach EDR, aby wykrywać, ustalać priorytety i eliminować luki w zabezpieczeniach, a także błędne konfiguracje.
  • Przygotuj się na odzyskiwanie: Najlepsza obrona przed oprogramowaniem ransomware powinna obejmować plany szybkiego przywrócenia systemu w przypadku ataku. Przywrócenie systemu po ataku będzie tańsze niż zapłacenie okupu, dlatego należy regularnie tworzyć kopie zapasowe najważniejszych systemów i chronić je przed celowym usunięciem czy szyfrowaniem. Jeśli to możliwe, należy przechowywać kopie zapasowe w magazynie niezmienialnym online, całkowicie offline lub poza siedzibą organizacji.
  • Chroń się przed oprogramowaniem ransomware: Zróżnicowane zagrożenie, jakie stwarza nowa gospodarka oprogramowania ransomware i nieuchwytny charakter ataków oprogramowania ransomware obsługiwanych przez człowieka wymagają przyjęcia kompleksowego podejścia do bezpieczeństwa przez organizację.

Opisane powyżej kroki pomagają bronić się przed typowymi wzorcami ataków i znacznie pomogą w zapobieganiu atakom oprogramowania ransomware. Aby jeszcze bardziej wzmocnić ochronę przed tradycyjnym i obsługiwanym przez człowieka oprogramowaniem ransomware oraz innymi zagrożeniami, należy korzystać z narzędzi bezpieczeństwa, które zapewniają głęboką widoczność w wielu domenach i jednolite możliwości wykrywania.

Dodatkowe omówienie oprogramowania ransomware wraz ze wskazówkami i najlepszymi praktykami w zakresie zapobiegania, wykrywania i rozwiązywania problemów znajdują się w artykule  Ochrona organizacji przed oprogramowaniem wymuszającym okup. Bardziej szczegółowe informacje na temat oprogramowania ransomware obsługiwanego przez człowieka można znaleźć w artykule starszej analityk ds. bezpieczeństwa Jessiki Payne  RaaS: zrozumienie gospodarki cyberprzestępczej i jak się przed nią chronić.

Artykuły pokrewne

Cyber Signals, wydanie 2: Zarabianie na wymuszeniach

Dowiedz się więcej o tworzeniu oprogramowania ransomware jako usługi od ekspertów pierwszej linii. Od programów i ładunków po brokerów dostępu i powiązane podmioty — zapoznaj się z preferowanymi narzędziami, taktykami i celami cyberprzestępców oraz uzyskaj wskazówki, które ułatwią ochronę Twojej organizacji.
Dowiedz się więcej

Profil eksperta: Nick Carr

Nick Carr, kierownik zespołu ds. analizy cyber­przestępczości w Centrum analizy zagrożeń Microsoft, omawia trendy w oprogramowaniu ransomware, wyjaśnia działania firmy Microsoft w zakresie ochrony klientów przed tym oprogramowaniem i nakreśla działania, które mogą podejmować organizacje dotknięte atakiem z jego udziałem.
Dowiedz się więcej

Ochrona organizacji przed oprogramowaniem wymuszającym okup

Przyjrzyj się przestępcom, którzy działają w ramach podziemnej ekonomii wymuszania okupów przy użyciu oprogramowania ransomware. Pomożemy zrozumieć motywy i mechanizmy ataków z użyciem oprogramowania ransomware i zapewnimy najlepsze rozwiązania w zakresie ochrony oraz tworzenia kopii zapasowych i odzyskiwania.
Dowiedz się więcej