Trace Id is missing

Ransomware ca serviciu: Noua formă a infracționalității cibernetice industrializate

Două săgeți suprapuse pe o linie și care se îndreaptă una spre cealaltă pe o traiectorie diferită

 Cel mai nou model de business din domeniul infracțiunilor cibernetice, atacurile operate de oameni, încurajează infractorii cu grade diferite ale abilităților.

Ransomware, una dintre cele mai perseverente și omniprezente amenințări cibernetice, continuă să evolueze, iar cea mai recentă formă a sa reprezintă o nouă amenințare pentru organizațiile din întreaga lume. Evoluția ransomware-ului nu implică noi progrese tehnologice. În schimb, implică un nou model de business: ransomware ca serviciu (RaaS).

Ransomware-ul ca serviciu (RaaS) este o înțelegere între un operator, care dezvoltă și întreține instrumentele necesare operațiunilor de extorcare, și un afiliat, care implementează sarcina ransomware-ului. Atunci când afiliatul desfășoară cu succes un atac ransomware și de extorcare, ambele părți au de câștigat.

Modelul RaaS facilitează accesul atacatorilor care nu dețin abilitățile sau mijloacele tehnice necesare pentru a-și dezvolta propriile instrumente, dar care pot gestiona instrumente de testare a penetrării și instrumente de administrare de sistem predefinite pentru a efectua atacuri. De asemenea, acești infractori de nivel inferior pot pur și simplu să cumpere accesul la rețea de la o grupare infracțională mai sofisticată care a încălcat deja un perimetru.

Deși afiliații RaaS utilizează sarcini ransomware furnizate de operatori mai sofisticați, aceștia nu fac parte din aceeași „bandă” de ransomware. Mai degrabă, este vorba de propriile lor întreprinderi distincte care operează în cadrul economiei globale a infracțiunilor cibernetice.

Îmbunătățirea capacităților infractorilor cibernetici și creșterea economiei globale a infractorilor cibernetici

Modelul ransomware ca serviciu a facilitat o perfecționare rapidă și o industrializare a ceea ce pot realiza infractorii mai puțin capabili. În trecut, acești infractori mai puțin sofisticați ar fi putut utiliza malware de bază, fie construit, fie achiziționat, pentru a efectua atacuri cu un domeniu de aplicare limitat, însă acum pot obține tot ceea ce au nevoie – de la acces la rețele la sarcini ransomware – de la operatorii RaaS (contra cost, desigur). Numeroase programe RaaS includ și un pachet complet de servicii de asistență pentru extorcare, care cuprinde găzduirea site-urilor de scurgeri de informații și integrarea acestora în notele de răscumpărare, precum și negocierea decriptării, presiunea pentru plată și serviciile pentru tranzacții cu criptomonede.

Acest lucru înseamnă că impactul unui atac ransomware și de extorcare de fonduri reușit va rămâne același, indiferent de competențele atacatorului.

Descoperirea și exploatarea vulnerabilităților rețelelor... contra cost

Una dintre modalitățile prin care operatorii RaaS le asigură valoare afiliaților este furnizarea accesului la rețele compromise. Brokerii de acces scanează internetul în căutare de sisteme vulnerabile, pe care le pot compromite și rezerva pentru un profit ulterior.

Pentru a reuși, atacatorii au nevoie de acreditări. Acreditările compromise sunt atât de importante pentru aceste atacuri încât, atunci când infractorii cibernetici vând accesul la rețele, în multe cazuri, prețul include un cont de administrator garantat.

Măsurile pe care le iau infractorii după ce au obținut accesul pot varia foarte mult în funcție de grupări și de sarcinile de lucru sau motivațiile acestora. Prin urmare, intervalul de timp dintre accesul inițial și implementarea unei intervenții directe poate varia de la câteva minute la câteva zile sau mai mult, dar, atunci când circumstanțele permit acest lucru, daunele pot fi provocate cu o viteză amețitoare. În fapt, s-a observat că intervalul de timp dintre accesul inițial și răscumpărarea completă (inclusiv transferul de la un broker de acces la un afiliat RaaS) durează mai puțin de o oră.

Menținerea economiei în mișcare – metode de acces persistente și clandestine

Odată ce atacatorii obțin accesul la o rețea, nu vor mai pleca, chiar și după ce și-au încasat răscumpărarea. De fapt, este posibil ca plata răscumpărării să nu reducă riscul pentru o rețea afectată și, eventual, să servească doar la finanțarea infractorilor cibernetici, care vor continua să încerce să-și rentabilizeze atacurile cu diferite sarcini malware sau ransomware până când vor fi evacuați.

Schimbul care are loc între diferiți atacatori pe măsură ce se produc tranziții în economia infracțională cibernetică înseamnă că mai multe grupări de activitate pot rămâne într-un mediu utilizând metode variate, diferite de instrumentele utilizate într-un atac ransomware. De exemplu, accesul inițial obținut de un troian bancar duce la o implementare Cobalt Strike, însă afiliatul RaaS care a cumpărat accesul poate alege să utilizeze un instrument de acces de la distanță, cum ar fi TeamViewer, pentru a-și desfășura campania.

Utilizarea instrumentelor legitime și a setărilor pentru a-și menține prezența, spre deosebire de implanturile malware precum Cobalt Strike, este o strategie frecvent adoptată de atacatorii ransomware pentru a eluda detectarea și a se menține activi într-o rețea timp îndelungat.

O altă tehnică populară a atacatorilor constă în crearea de noi conturi de utilizator backdoor, fie locale, fie în Active Directory, care pot fi apoi adăugate la instrumente de acces la distanță, cum ar fi o rețea particulară virtuală (VPN) sau un Desktop la distanță. De asemenea, atacatorii ransomware pot modifica setările sistemelor pentru a activa un Desktop la distanță, pentru a reduce securitatea protocolului și pentru a adăuga noi utilizatori în grupul de utilizatori de Desktop la distanță.

Diagrama flux care explică modul în care sunt planificate și implementate atacurile RaaS

Confruntarea cu cei mai evazivi și vicleni adversari din lume

Una dintre caracteristicile RaaS care amplifică îngrijorarea legată de această amenințare este dependența de atacatorii umani, care pot lua decizii informate și calculate și pot varia modelele de atac în funcție de ceea ce descoperă în rețelele în care pătrund, asigurându-se astfel că își ating obiectivele.

Microsoft a introdus termenul de „ransomware operat de oameni” pentru a defini această categorie de atacuri ca fiind o succesiune de activități care culminează cu o sarcină de ransomware și nu ca un set de sarcini malware care trebuie blocat.

Deși majoritatea campaniilor de acces inițial se bazează pe recunoaștere automatizată, odată ce atacul trece în faza de intervenție directă, atacatorii își vor utiliza cunoștințele și competențele pentru a încerca să învingă produsele de securitate din mediul respectiv.

Atacatorii ransomware sunt motivați de profiturile ușoare, prin urmare, adăugarea la cost prin consolidarea securității este esențială pentru a perturba economia cibernetică infracțională. Această capacitate umană de luare a deciziilor înseamnă că, chiar dacă produsele de securitate detectează anumite etape ale atacului, atacatorii înșiși nu sunt eliminați complet; ei vor încerca să continue, dacă nu sunt blocați de un control de securitate. În multe cazuri, dacă este detectat și blocat un instrument sau o sarcină de către un produs antivirus, atacatorii apelează pur și simplu la un alt instrument sau își modifică sarcina.

De asemenea, atacatorii sunt conștienți de timpii de răspuns ai centrelor de operațiuni de securitate (SOC) și de capacitățile și limitările instrumentelor de detectare. Odată ce atacul atinge faza eliminării copiilor de backup sau a copiilor în umbră, se află la numai câteva minute distanță de implementarea ransomware. Este posibil ca adversarul să fi efectuat deja acțiuni dăunătoare, cum ar fi exfiltrarea de date. Aceste cunoștințe sunt esențiale pentru SOC-urile care răspund la ransomware: investigarea detectărilor precum Cobalt Strike înainte de etapa de implementare a ransomware-ului și realizarea unor acțiuni rapide de remediere și a unor proceduri de răspuns la incidente (IR) sunt esențiale pentru a limita un adversar uman.

Întărirea securității împotriva amenințărilor, evitând în același timp epuizarea provocată de avertizări

O strategie de securitate durabilă împotriva adversarilor umani determinați trebuie să includă obiective de detectare și reducere a impactului. Nu este suficient să ne bazăm doar pe detectare, deoarece 1) unele evenimente de infiltrare sunt practic nedetectabile (par a fi simple acțiuni nevinovate) și 2) se întâmplă frecvent ca atacurile ransomware să fie trecute cu vederea din cauza epuizării cauzate de avertizările multiple și disparate ale produselor de securitate.

Deoarece atacatorii au mai multe modalități de a eluda și de a dezactiva produsele de securitate și sunt capabili să imite comportamentul benign al administratorilor pentru a se integra cât mai bine, echipele de securitate IT și SOC-urile ar trebui să-și consolideze acțiunile de detectare prin măsuri de întărire a securității.

Atacatorii ransomware sunt motivați de profiturile ușoare, prin urmare, adăugarea la cost prin consolidarea securității este esențială pentru a perturba economia cibernetică infracțională.

Iată câteva măsuri pe care organizațiile le pot lua pentru a se proteja:

 

  • Construiți o igienă a acreditărilor: Dezvoltați o segmentare a rețelei logice în funcție de privilegii, care poate fi implementată împreună cu segmentarea rețelei pentru a limita deplasarea laterală.
  • Auditați expunerea acreditărilor: Auditarea expunerii informațiilor de conectare este esențială pentru prevenirea atacurilor ransomware și a infracțiunilor cibernetice în general. Echipele de securitate IT și centrele de operațiuni de securitate lucrează împreună pentru a reduce privilegiile de admin și a înțelege nivelul la care le sunt expuse informațiile de conectare.
  • Întăriți mediul cloud: Pe măsură ce atacatorii se mută spre resursele din cloud, este important să securizați resursele și identitățile din cloud, pe lângă conturile locale. Echipele de securitate ar trebui să se concentreze pe întărirea infrastructurii de securitate a identității, impunând autentificarea multifactor (MFA) pe toate conturile și tratând administratorii mediului cloud sau ai entităților găzduite cu același nivel de securitate și igienă în ceea ce privește acreditările ca și al administratorilor de domeniu.
  • Închideți unghiurile moarte în materie de securitate: Organizațiile trebuie să verifice că instrumentele de securitate rulează cu configurația optimă și să scaneze regulat rețeaua pentru a se asigura că un produs de securitate protejează toate sistemele.
  • Reduceți suprafața de atac: Stabiliți reguli pentru reducerea suprafeței de atac pentru a împiedica tehnicile de atac comune folosite în atacurile ransomware. În atacurile observate ale mai multor grupuri cu activități asociate ransomware-ului, organizațiile care aveau reguli clar definite au putut atenua atacurile în etapele inițiale, împiedicând activitatea manuală de la tastatură.
  • Evaluați perimetrul: Organizațiile trebuie să identifice și să securizeze sistemele perimetrale pe care atacatorii le-ar putea folosi pentru a accesa rețeaua. Interfețele publice de scanare, cum ar fi , pot fi utilizate pentru a suplimenta datele.
  • Consolidați activele care intră în contact cu internetul: Atacatorii ransomware și brokerii de acces utilizează vulnerabilități fără corecții, fie că sunt deja dezvăluite, fie că sunt de tip „ziua zero”, în special în etapa inițială de acces. De asemenea, aceștia adoptă rapid noi vulnerabilități. Pentru a reduce și mai mult expunerea, organizațiile pot utiliza capacitățile de gestiune a amenințărilor și a vulnerabilităților ale produselor de detectare și răspuns pentru puncte finale pentru a descoperi, prioritiza și remedia vulnerabilitățile și configurările eronate.
  • Pregătiți-vă pentru recuperare: Cea mai bună apărare împotriva ransomware ar trebui să includă planuri de recuperare rapidă în cazul unui atac. Va fi mai puțin costisitor să vă recuperați în urma unui atac decât să plătiți o răscumpărare, așa că asigurați-vă că efectuați în mod regulat copii de rezervă ale sistemelor dvs. critice și protejați aceste copii de rezervă împotriva ștergerii intenționate și a criptării. Dacă este posibil, stocați copiile de backup în medii de stocare online imuabile sau complet offline sau externe.
  • Apărare suplimentară împotriva atacurilor ransomware: Amenințarea multifațetată a noii economii ransomware și natura evazivă a atacurilor de ransomware operate de oameni determină organizațiile să adopte o abordare cuprinzătoare în materie de securitate.

Pașii pe care i-am descris mai sus vă vor proteja împotriva modelelor de atac frecvente și vor contribui în mare măsură la prevenirea atacurilor ransomware. Pentru a vă întări și mai mult apărarea împotriva ransomware-ului tradițional și uman și a altor amenințări, utilizați instrumente de securitate care pot oferi o vizibilitate profundă în toate domeniile și capacitățile de investigare unificate.

Pentru o prezentare generală suplimentară a ransomware-ului, însoțită de sfaturi și cele mai bune practici de prevenire, detectare și remediere, consultați Protejați-vă organizația împotriva ransomware-ului, iar pentru informații și mai detaliate despre ransomware-ul operat de oameni, citiți articolul elaborat de Jessica Payne, cercetător principal în domeniul securității,  Ransomware ca serviciu: Cum să înțelegem economia infracțiunilor cibernetice și cum să ne protejăm.

Articole asociate

Semnale cibernetice, nr. 2: Știința extorcării

Ascultați ce au de spus experții din prima linie în legătură cu dezvoltarea ransomware-ului ca serviciu. De la programe și sarcini la afiliați și agenți de acces, aflați despre instrumentele, tacticile și țintele preferate de infractorii cibernetici și obțineți îndrumare pentru a vă proteja organizația.

Profilul expertului: Nick Carr

Nick Carr, șeful echipei de investigare a infracțiunilor cibernetice din Centrul de investigare a amenințărilor Microsoft, discută despre tendințele ransomware, explică ce face Microsoft pentru a proteja clienții de ransomware și descrie ce pot face organizațiile care au fost afectate astfel.

Protejați-vă organizația împotriva ransomware-ului

Aruncați o privire asupra infractorilor care operează în economia ransomware subterană. Vă ajutăm să înțelegeți motivațiile și mecanica atacurilor ransomware și vă oferim cele mai bune practici pentru protecție, precum și pentru backup și recuperare.