Ekonomika vydierania
Pozrite si digitálny brífing Cyber Signals, kde Vasu Jakkal, viceprezident pre zabezpečenie od spoločnosti Microsoft, vedie rozhovory s poprednými odborníkmi na analýzu hrozieb o ekonomike ransomwaru a o tom, ako sa môžu organizácie chrániť.
Digitálny prehľad: Ochrana pred ekonomikou ransomwaru
Nové perspektívy pre ochrancov bezpečnosti vďaka novátorskému obchodnému modelu
Ako sa mnohé odvetvia zamerali na dočasných pracovníkov na voľnej nohe pre efektívnosť, tak aj počítačoví zločinci im prenajímajú alebo predávajú nástroje ransomwaru za časť zisku namiesto toho, aby útoky vykonávali sami.
RaaS znižuje bariéru na vstupe a zahmlieva identitu útočníkov, ktorí stoja za výkupným. Niektoré programy majú viac ako 50 „partnerov“, keďže odkazujú na používateľov ich služby, s rôznymi nástrojmi, obchodnými postupmi a cieľmi. Ako každý, kto má auto, môže jazdiť a ponúkať spolujazdu ako službu, tak aj každý s prenosným počítačom a kreditnou kartou, kto je ochotný vyhľadávať na dark webe penetračné testovacie nástroje alebo hotový malvér, môže vstúpiť do tejto ekonomiky.
S touto industrializáciou počítačového zločinu prišli špecializované roly, ako sú sprostredkovatelia prístupu, ktorí predávajú prístup k sieťam. Aj pri jedinom ohrození často ide o viacerých počítačových zločincov v rôznych štádiách neoprávneného vniknutia.
Súpravy RaaS sa dajú ľahko nájsť na dark webe a inzerujú sa rovnakým spôsobom, akým sa inzeruje tovar na celom internete.
Súprava RaaS môže obsahovať podporu služieb pre zákazníkov, zbalené ponuky, používateľské recenzie, fóra a ďalšie prvky. Počítačoví zločinci môžu zaplatiť stanovenú cenu za súpravu RaaS, zatiaľ čo iné skupiny, ktoré predávajú RaaS podľa partnerského modelu, si zoberú percento zo zisku.
Pri ransomwarových útokoch dochádza k rozhodnutiam založeným na konfiguráciách sietí a v prípade každej obete sa líšia, a to aj vtedy, keď je obsah ransomwaru rovnaký. Ransomware vrcholí útokom, ktorý môže predstavovať exfiltráciu údajov a iné vplyvy. Vzhľadom na prepojený charakter ekonomiky počítačového zločinu môžu zdanlivo nesúvisiace neoprávnené vniknutia na seba nadväzovať. S malvérom Infostealer, ktorý kradne heslá a súbory cookie, sa zaobchádza menej prísne, ale počítačoví zločinci tieto heslá predávajú a umožňujú tak ďalšie útoky.
Tieto útoky postupujú podľa šablóny počiatočného prístupu cez malvérovú infekciu alebo zneužitie zraniteľnosti a následne krádeže prihlasovacích údajov na zvýšenie úrovne oprávnení a bočný pohyb. Industrializácia umožňuje útočníkom vykonávať rozsiahle a vplyvné ransomwarové útoky bez vysokej úrovne alebo pokročilých zručností. Od vypnutia ransomwaru Conti sme v oblasti ransomwaru pozorovali zmeny. Niektorí partneri, ktorí nasadzovali Conti, prešli na údajové časti zo zavedených ekosystémov RaaS, ako sú LockBit a Hive, zatiaľ čo iní súčasne nasadzovali údajové časti z viacerých ekosystémov RaaS.
Prázdny priestor, ktorý zostal po vypnutí ransomwaru Conti, vypĺňajú nové RaaS, ako sú QuantumLocker a Black Basta. Keďže väčšina ransomwarového pokrytia je zameraná na údajové časti namiesto aktérov, tento prechod na údajové časti pravdepodobne spôsobí to, že štátna správa, orgány činné v trestnom konaní, médiá, výskumníci v oblasti zabezpečenia a obrancovia nebudú môcť jednoducho zistiť, kto za útokmi stojí.
Nahlasovanie ransomwaru môže vyzerať ako nekonečný problém so škálovaním, realitou je však konečná množina aktérov, ktorí využívajú množinu techník.
Odporúčania:
- Budujte hygienu prihlasovacích údajov: Vytvorte logickú segmentáciu siete na základe oprávnení, ktoré sa dajú implementovať spolu so segmentáciou siete, aby sa obmedzil bočný pohyb.
- Vykonávajte audit miery rizika prihlasovacích údajov: Audit miery rizika prihlasovacích údajov je rozhodujúci pri predchádzaní ransomwarovým útokom a počítačovému zločinu všeobecne. Bezpečnostné IT tímy a SOC môžu spolupracovať na redukcii oprávnení správcu a vysvetlení úrovne, na ktorej sú prihlasovacie údaje vystavené riziku.
- Zredukujte možné miesta útokov: Stanovte pravidlá redukcie možných miest útokov, aby ste zabránili bežným útočným technikám využívaným v rámci ransomwarových útokov. V rámci pozorovaných útokov niekoľkých skupín aktivít súvisiacich s ransomwarom sa organizáciám s jasne definovanými pravidlami podarilo zmierniť útoky už v počiatočných fázach, a zároveň zabrániť aktivite typu hands-on-keyboard.
Počítačoví zločinci pridávajú do stratégie útoku dvojité vydieranie
Ransomware existuje na to, aby vynútil platbu od obete. Z väčšiny súčasných programov RaaS aj unikajú ukradnuté údaje, čo sa označuje ako dvojité vydieranie. Keďže výpadky spôsobujú spätnú reakciu a narastá miera narušenia aktivity operátorov ransomwaru zo strany štátnej správy, niektoré skupiny sa ransomwaru vzdávajú a venujú sa dátovému vydieraniu.
Dve skupiny zamerané na vydieranie sú DEV-0537 (aka LAPSUS $) a DEV-0390 (bývalý partner Conti). Neoprávnené vniknutia DEV-0390 začínajú malvérom, ale na exfiltráciu údajov a vynútenie platby používajú legitímne nástroje. Nasadzujú penetračné testovacie nástroje, ako sú Cobalt Strike, Brute Ratel C4, a legitímny nástroj na vzdialenú správu Atera, aby si udržali prístup k obeti. DEV-0390 eskaluje oprávnenia odcudzením prihlasovacích údajov, vyhľadá citlivé údaje (často na podnikových záložných a súborových serveroch) a odošle tieto údaje na lokalitu, kde sa zdieľajú cloudové súbory, pomocou nástroja na zálohovanie súborov.
DEV-0537 používa významne odlišnú stratégiu a obchodné postupy. Počiatočný prístup získa zakúpením prihlasovacích údajov v zločineckom prostredí alebo od zamestnancov cielených organizácií.
Problémy
- Odcudzené heslá a nechránené identity
Útočníkom nestačí iba malvér, na úspech potrebujú prihlasovacie údaje. Takmer vo všetkých úspešných nasadeniach ransomwaru získajú útočníci prístup k privilegovaným kontám na úrovni správcu, ktoré poskytujú široký prístup k sieti organizácie. - Chýbajúce alebo deaktivované produkty zabezpečenia
Takmer v každom pozorovanom ransomwarovom incidente mal aspoň jeden systém zneužitý v rámci útoku chýbajúce alebo nesprávne nakonfigurované produkty zabezpečenia, ktoré umožňovali narušiteľom manipulovať s ochranou alebo ju deaktivovať. - Nesprávne nakonfigurované alebo zneužité aplikácie
Možno používate niektorú populárnu aplikáciu na jeden účel, ale to neznamená, že zločinci ju nemôžu použiť na iný cieľ. Ak má aplikácia „staršiu“ konfiguráciu, často to znamená, že je v predvolenom stave, a to umožňuje každému používateľovi široký prístup v rámci celých organizácií. Neprehliadajte toto riziko. Nebojte sa prerušenia a neváhajte zmeniť nastavenia aplikácie. - Pomalé opravovanie
Je to klišé ako to, že treba jesť zeleninu, ale je to naozaj veľmi dôležité: najlepším spôsobom posilnenia softvéru je priebežne ho aktualizovať. Zatiaľ čo niektoré cloudové aplikácie sa aktualizujú bez iniciatívy používateľa, spoločnosti musia ihneď použiť opravy iných dodávateľov. V roku 2022 spoločnosť Microsoft zistila, že staršie zraniteľnosti sú stále hlavnou hnacou silou útokov. - Odcudzené heslá a nechránené identity
Útočníkom nestačí iba malvér, na úspech potrebujú prihlasovacie údaje. Takmer vo všetkých úspešných nasadeniach ransomwaru získajú útočníci prístup k privilegovaným kontám na úrovni správcu, ktoré poskytujú široký prístup k sieti organizácie. - Chýbajúce alebo deaktivované produkty zabezpečenia
Takmer v každom pozorovanom ransomwarovom incidente mal aspoň jeden systém zneužitý v rámci útoku chýbajúce alebo nesprávne nakonfigurované produkty zabezpečenia, ktoré umožňovali narušiteľom manipulovať s ochranou alebo ju deaktivovať. - Nesprávne nakonfigurované alebo zneužité aplikácie
Možno používate niektorú populárnu aplikáciu na jeden účel, ale to neznamená, že zločinci ju nemôžu použiť na iný cieľ. Ak má aplikácia „staršiu“ konfiguráciu, často to znamená, že je v predvolenom stave, a to umožňuje každému používateľovi široký prístup v rámci celých organizácií. Neprehliadajte toto riziko. Nebojte sa prerušenia a neváhajte zmeniť nastavenia aplikácie. - Pomalé opravovanie
Je to klišé ako to, že treba jesť zeleninu, ale je to naozaj veľmi dôležité: najlepším spôsobom posilnenia softvéru je priebežne ho aktualizovať. Zatiaľ čo niektoré cloudové aplikácie sa aktualizujú bez iniciatívy používateľa, spoločnosti musia ihneď použiť opravy iných dodávateľov. V roku 2022 spoločnosť Microsoft zistila, že staršie zraniteľnosti sú stále hlavnou hnacou silou útokov.
Akcie
- Overenie identít Vynucujte viacfaktorové overovanie (MFA) vo všetkých kontách, stanovte prioritu roly správcu a ďalších citlivých rol. V prípade hybridných pracovníkov vyžadujte viacfaktorové overovanie vo všetkých zariadeniach, na všetkých miestach a vždy. Povoľte overenie bez hesla, napríklad kľúče FIDO alebo Microsoft Authenticator, pre aplikácie, ktoré ho podporujú.
- Riešenie slepých miest zabezpečenia
Rovnako ako dymové alarmy, aj produkty zabezpečenia sa musia inštalovať v správnych priestoroch a často sa testovať. Overte, či nástroje zabezpečenia fungujú v najbezpečnejšej konfigurácii a či žiadna časť siete nie je nechránená. - Posilnenie položiek orientovaných na internet
Zvážte odstránenie duplicitných alebo nepoužívaných aplikácií, aby ste eliminovali rizikové a nepoužívané služby. Dávajte pozor na to, kde povoľujete aplikácie technickej podpory na diaľku, napríklad TeamViewer. Sú notorickým terčom aktérov hrozieb, ktorí cez ne získajú expresný prístup k prenosným počítačom. - Neustála aktualizácia systémov
Vykonávajte inventarizáciu softvéru ako nepretržitý proces. Sledujte, čo používate, a stanovte prioritu podpory pre tieto produkty. Využite schopnosť rýchleho a nezvratného opravovania a zistite, kde je prechod na cloudové služby prospešný.
Chápu prepojenú povahu identít a vzťahov dôvery v ekosystémoch moderných technológií a zameriavajú sa na telekomunikačné, technologické, IT a podporné spoločnosti, aby využili prístup z jednej organizácie na vstup do partnerských alebo dodávateľských sietí. Z útokov, ktoré pozostávajú iba z vydierania, vyplýva, že ochrancovia siete musia hľadieť aj za hranice ransomwaru v koncovej fáze a pozorne sledovať exfiltráciu údajov a bočný pohyb.
Ak aktér hrozby plánuje vydierať organizáciu, aby sa jej údaje uchovali v súkromí, údajová časť ransomwaru je najmenej významnou a najmenej hodnotnou súčasťou stratégie útoku. V konečnom dôsledku je na operátorovi, čo sa rozhodne nasadiť, a ransomware nie je vždy tou veľkou výhrou, po ktorej ide každý aktér hrozby.
Aj keď sa ransomware alebo dvojité vydieranie môže zdať nevyhnutným výsledkom útoku sofistikovaného útočníka, ransomware je katastrofa, ktorej sa dá vyhnúť. To, že útočníci sa spoliehajú na slabé miesta zabezpečenia, znamená, že investície do kybernetickej hygieny dosahujú veľký úspech.
Jedinečná viditeľnosť spoločnosti Microsoft približuje pohľad na aktivitu aktérov hrozieb. Namiesto toho, aby sa náš tím expertov na zabezpečenie spoliehal na príspevky vo fórach alebo úniky z chatov, študuje nové taktiky ransomwaru a vyvíja analýzu hrozieb, ktorá poskytuje informácie pre naše riešenia zabezpečenia.
Integrovaná ochrana pred bezpečnostnými hrozbami vo všetkých zariadeniach, identitách, aplikáciách, e-mailoch, údajoch a v cloude nám pomáha identifikovať útoky, ktoré by sa označili ako útoky viacerých aktérov, hoci v skutočnosti ide o jednu skupinu počítačových zločincov. Naša jednotka na boj proti digitálnym zločinom, ktorú tvoria technickí, právni a obchodní experti, naďalej spolupracuje s orgánmi činnými v trestnom konaní s cieľom narušiť počítačový zločin.
Odporúčania:
Spoločnosť Microsoft uvádza podrobné odporúčania na stránke https://go.microsoft.com/fwlink/?linkid=2262350.
Vypočujte si, čo analytička hrozieb Emily Hackerová hovorí o tom, ako si jej tím udržiava prehľad o prostredí RaaS (ransomware ako služba).
V období medzi júlom 2021 a júnom 2022 bolo nariadené odstránenie viac ako 531 000 jedinečných phishingových URL adries a 5 400 phishingových súprav. Viedlo to k identifikácii a uzavretiu viac ako 1 400 škodlivých e-mailových kont používaných na zhromažďovanie odcudzených prihlasovacích údajov zákazníkov.1
Ak sa stanete obeťou phishingového e-mailu, medián času na získanie prístupu k vašim súkromným údajom zo strany útočníka je jedna hodina a 12 minút.1
Ak bude niektoré zariadenie napadnuté, medián času na začatie bočného pohybu v rámci vašej podnikovej siete zo strany útočníka je jedna hodina a 42 minút.1
- [1]
Metodika: Pokiaľ ide o snímkové údaje, platformy vrátane služieb Defender a Azure Active Directory a naša jednotka na boj proti digitálnym zločinom poskytli anonymizované údaje o aktivitách hrozieb, ako sú škodlivé e-mailové kontá, phishingové e-maily a pohyb útočníkov v sieťach. Ďalšie poznatky pochádzajú zo 43 biliónov denných bezpečnostných signálov získaných v rámci spoločnosti Microsoft vrátane cloudu, koncových bodov, inteligentnej hrany a našich tímov pre zotavenie po ohrození zabezpečenia a pre detekciu a reakciu.
Sledujte zabezpečenie od spoločnosti Microsoft