Ransomware ca serviciu: Noua formă a infracționalității cibernetice industrializate

Modelul ransomware ca serviciu a facilitat o perfecționare rapidă și o industrializare a ceea ce pot realiza infractorii mai puțin capabili. În trecut, acești infractori mai puțin sofisticați ar fi putut utiliza malware de bază, fie construit, fie achiziționat, pentru a efectua atacuri cu un domeniu de aplicare limitat, însă acum pot obține tot ceea ce au nevoie – de la acces la rețele la sarcini ransomware – de la operatorii RaaS (contra cost, desigur). Numeroase programe RaaS includ și un pachet complet de servicii de asistență pentru extorcare, care cuprinde găzduirea site-urilor de scurgeri de informații și integrarea acestora în notele de răscumpărare, precum și negocierea decriptării, presiunea pentru plată și serviciile pentru tranzacții cu criptomonede.

Acest lucru înseamnă că impactul unui atac ransomware și de extorcare de fonduri reușit va rămâne același, indiferent de competențele atacatorului.

Una dintre modalitățile prin care operatorii RaaS le asigură valoare afiliaților este furnizarea accesului la rețele compromise. Brokerii de acces scanează internetul în căutare de sisteme vulnerabile, pe care le pot compromite și rezerva pentru un profit ulterior.

Pentru a reuși, atacatorii au nevoie de acreditări. Acreditările compromise sunt atât de importante pentru aceste atacuri încât, atunci când infractorii cibernetici vând accesul la rețele, în multe cazuri, prețul include un cont de administrator garantat.

Măsurile pe care le iau infractorii după ce au obținut accesul pot varia foarte mult în funcție de grupări și de sarcinile de lucru sau motivațiile acestora. Prin urmare, intervalul de timp dintre accesul inițial și implementarea unei intervenții directe poate varia de la câteva minute la câteva zile sau mai mult, dar, atunci când circumstanțele permit acest lucru, daunele pot fi provocate cu o viteză amețitoare. În fapt, s-a observat că intervalul de timp dintre accesul inițial și răscumpărarea completă (inclusiv transferul de la un broker de acces la un afiliat RaaS) durează mai puțin de o oră.

Odată ce atacatorii obțin accesul la o rețea, nu vor mai pleca, chiar și după ce și-au încasat răscumpărarea. De fapt, este posibil ca plata răscumpărării să nu reducă riscul pentru o rețea afectată și, eventual, să servească doar la finanțarea infractorilor cibernetici, care vor continua să încerce să-și rentabilizeze atacurile cu diferite sarcini malware sau ransomware până când vor fi evacuați.

Schimbul care are loc între diferiți atacatori pe măsură ce se produc tranziții în economia infracțională cibernetică înseamnă că mai multe grupări de activitate pot rămâne într-un mediu utilizând metode variate, diferite de instrumentele utilizate într-un atac ransomware. De exemplu, accesul inițial obținut de un troian bancar duce la o implementare Cobalt Strike, însă afiliatul RaaS care a cumpărat accesul poate alege să utilizeze un instrument de acces de la distanță, cum ar fi TeamViewer, pentru a-și desfășura campania.

Utilizarea instrumentelor legitime și a setărilor pentru a-și menține prezența, spre deosebire de implanturile malware precum Cobalt Strike, este o strategie frecvent adoptată de atacatorii ransomware pentru a eluda detectarea și a se menține activi într-o rețea timp îndelungat.

O altă tehnică populară a atacatorilor constă în crearea de noi conturi de utilizator backdoor, fie locale, fie în Active Directory, care pot fi apoi adăugate la instrumente de acces la distanță, cum ar fi o rețea particulară virtuală (VPN) sau un Desktop la distanță. De asemenea, atacatorii ransomware pot modifica setările sistemelor pentru a activa un Desktop la distanță, pentru a reduce securitatea protocolului și pentru a adăuga noi utilizatori în grupul de utilizatori de Desktop la distanță.

Una dintre caracteristicile RaaS care amplifică îngrijorarea legată de această amenințare este dependența de atacatorii umani, care pot lua decizii informate și calculate și pot varia modelele de atac în funcție de ceea ce descoperă în rețelele în care pătrund, asigurându-se astfel că își ating obiectivele.

Microsoft a introdus termenul de „ransomware operat de oameni” pentru a defini această categorie de atacuri ca fiind o succesiune de activități care culminează cu o sarcină de ransomware și nu ca un set de sarcini malware care trebuie blocat.

Deși majoritatea campaniilor de acces inițial se bazează pe recunoaștere automatizată, odată ce atacul trece în faza de intervenție directă, atacatorii își vor utiliza cunoștințele și competențele pentru a încerca să învingă produsele de securitate din mediul respectiv.

Atacatorii ransomware sunt motivați de profiturile ușoare, prin urmare, adăugarea la cost prin consolidarea securității este esențială pentru a perturba economia cibernetică infracțională. Această capacitate umană de luare a deciziilor înseamnă că, chiar dacă produsele de securitate detectează anumite etape ale atacului, atacatorii înșiși nu sunt eliminați complet; ei vor încerca să continue, dacă nu sunt blocați de un control de securitate. În multe cazuri, dacă este detectat și blocat un instrument sau o sarcină de către un produs antivirus, atacatorii apelează pur și simplu la un alt instrument sau își modifică sarcina.

De asemenea, atacatorii sunt conștienți de timpii de răspuns ai centrelor de operațiuni de securitate (SOC) și de capacitățile și limitările instrumentelor de detectare. Odată ce atacul atinge faza eliminării copiilor de backup sau a copiilor în umbră, se află la numai câteva minute distanță de implementarea ransomware. Este posibil ca adversarul să fi efectuat deja acțiuni dăunătoare, cum ar fi exfiltrarea de date. Aceste cunoștințe sunt esențiale pentru SOC-urile care răspund la ransomware: investigarea detectărilor precum Cobalt Strike înainte de etapa de implementare a ransomware-ului și realizarea unor acțiuni rapide de remediere și a unor proceduri de răspuns la incidente (IR) sunt esențiale pentru a limita un adversar uman.