Trace Id is missing

Ekonomija izsiljevanja

Prenos
Skupna raba
Beli labirint s pisanimi krogi in pikami

Cyber Signals – 2. izdaja: Nov poslovni model izsiljevalske programske opreme

Čeprav je izsiljevalska programska oprema še vedno ena najbolj perečih tem, je ta sektor kibernetske kriminalitete odvisen od razmeroma majhnega in povezanega ekosistema akterjev. Specializacija in konsolidacija gospodarstva kibernetskega kriminala sta spodbudili, da je izsiljevalska programska oprema kot storitev (RaaS) postala prevladujoč poslovni model, ki omogoča širšemu krogu kriminalcev, ne glede na njihovo tehnično znanje, da uporabljajo izsiljevalsko programsko opremo.
Več kot 80 odstotkov napadov z izsiljevalsko programsko opremo je mogoče pripisati običajnim napakam v konfiguraciji programske opreme in naprav.1

Oglejte si digitalno informativno oddajo Cyber Signals, v kateri se Vasu Jakkal, glavni svetovalec za varnost pri Microsoftu, pogovarja z najboljšimi strokovnjaki za obveščanje o grožnjah o ekonomiji izsiljevalske programske opreme in o tem, kako se lahko organizacije zaščitijo.

Digitalni pregled: Zaščita pred ekonomijo izsiljevalske programske opreme

Nov poslovni model ponuja nova spoznanja za zagovornike

Tako kot so se številne panoge zaradi učinkovitosti preusmerile na zaposlene, tudi kibernetski kriminalci najemajo ali prodajajo svoja orodja za izsiljevanje za del dobička, namesto da bi napade izvajali sami.

Izsiljevalska programska oprema kot storitev omogoča kibernetskim kriminalcem, da kupijo dostop do koristne vsebine izsiljevalske programske oprem in uhajanja podatkov ter plačilne infrastrukture. »Tolpe« izsiljevalske programske opreme so v resnici programi RaaS, kot sta Conti ali REvil, ki jih uporablja veliko različnih akterjev, ki menjavajo programe RaaS in plačilne obremenitve.

RaaS odpravlja vstopne ovire in prikriva identiteto napadalcev, ki stojijo za izkupičkom. Nekateri programi imajo več kot 50 »podružnic«, kot imenujejo uporabnike svojih storitev, z različnimi orodji, veščinami in cilji. Tako kot lahko vsakdo, ki ima avto, ponudi storitev souporabe vozil, se lahko vsakdo, ki ima prenosni računalnik in kreditno kartico ter je pripravljen na temnem spletu iskati orodja za testiranje prodora ali zlonamerno programsko opremo, ki je že pripravljena za uporabo, pridruži temu gospodarstvu.

Industrializacija kibernetskega kriminala je ustvarila specializirane vloge, kot so posredniki dostopa, ki prodajajo dostop do omrežij. V enem samem vdoru pogosto sodeluje več kibernetskih kriminalcev v različnih fazah vdora.

Komplete RaaS je mogoče zlahka najti na temnem spletu, oglašujejo pa se na enak način, kot se na spletu oglašuje blago.

Komplet RaaS lahko vključuje podporo storitev za stranke, priložene ponudbe, preglede uporabnikov, forume in druge funkcije. Kibernetski kriminalci lahko za komplet RaaS plačajo določeno ceno, medtem ko druge skupine, ki prodajajo RaaS po partnerskem modelu, dobijo odstotek dobička.

Napadi z izsiljevalsko programsko opremo vključujejo odločitve, ki temeljijo na konfiguracijah omrežij, in se za vsako žrtev razlikujejo, čeprav je koristna vsebina izsiljevalske programske opreme enaka. Izsiljevalska programska oprema je vrhunec napada, ki lahko vključuje odtujitev podatkov in druge posledice. Zaradi medsebojne povezanosti kibernetskega kriminala se lahko na videz nepovezani vdori medsebojno dopolnjujejo. Zlonamerna programska oprema Infostealer, ki krade gesla in piškotke, se obravnava kot manj nevarna, vendar kibernetski kriminalci ta gesla prodajajo za druge napade.

Ti napadi potekajo po vzorcu začetnega dostopa z okužbo z zlonamerno programsko opremo ali izkoriščanjem ranljivosti, nato pa sledi kraja poverilnic za dvig privilegijev in nadaljnje napredovanje. Industrializacija omogoča, da napadalci brez prefinjenih ali naprednih znanj izvajajo številne in učinkovite napade z izsiljevalsko programsko opremo. Po odpravi grožnje Conti smo opazili spremembe na področju izsiljevalske programske opreme. Nekatere podružnice, ki so uporabljale storitve skupine Conti, so prešle na koristne vsebine iz uveljavljenih ekosistemov RaaS, kot sta LockBit in Hive, druge pa sočasno uporabljajo koristne vsebine iz več ekosistemov RaaS.

Novi skupini RaaS, kot sta QuantumLocker in Black Basta, zapolnjujeta praznino, ki je nastala po ukinitvi skupine Conti. Ker se večina prispevkov o izsiljevalski programski opremi osredotoča na koristne vsebine in ne na akterje, bo ta zamenjava koristnih vsebin verjetno zmedla vlade, organe kazenskega pregona, medije, varnostne raziskovalce in zaščitnike glede tega, kdo stoji za napadi.

Poročanje o izsiljevalski programski opremi se morda zdi kot neskončen problem, vendar je v resnici omejen nabor akterjev, ki uporabljajo določen nabor tehnik.

Priporočila:

  • Vzpostavite higieno poverilnic: Razvijte logično segmentacijo omrežja na podlagi privilegijev, ki se lahko izvaja skupaj s segmentacijo omrežja, da omejite lateralno premikanje.
  • Revizija izpostavljenosti poverilnicam:Revizija izpostavljenosti poverilnicam je ključnega pomena za preprečevanje napadov z izsiljevalsko programsko opremo in kibernetskega kriminala na splošno. Ekipe za varnost IT in SOC lahko sodelujejo pri zmanjševanju skrbniških pravic in razumevanju stopnje izpostavljenosti njihovih poverilnic.
  • Zmanjšajte tarčo napada: Vzpostavite pravila za zmanjšanje površine napada, da preprečite pogoste napadalne tehnike, ki se uporabljajo pri napadih z izsiljevalsko programsko opremo. V opazovanih napadih več skupin dejavnosti, povezanih z izsiljevalsko programsko opremo, so organizacije z jasno opredeljenimi pravili lahko ublažile napade v začetnih fazah in hkrati preprečile dejavnosti na tipkovnici.

Kibernetski kriminalci v strategijo napadov dodali dvojno izsiljevanje

Izsiljevalska programska oprema obstaja zato, da od žrtve izsili plačilo. Pri večini trenutnih programov RaaS prihaja tudi do uhajanja ukradenih podatkov, kar je znano kot dvojno izsiljevanje. Ker izpadi povzročajo negativne odzive in vlade vse bolj ovirajo upravljavce izsiljevalske programske opreme, nekatere skupine opustijo izsiljevalsko programsko opremo in se ukvarjajo z izsiljevanjem podatkov.

Dve skupini, osredotočeni na izsiljevanje, sta DEV-0537 (tudi LAPSUS$) in DEV-0390 (nekdanja podružnica skupine Conti). Vdori skupine DEV-0390 se začnejo z zlonamerno programsko opremo, vendar za iznos podatkov in izsiljevanje plačila uporabljajo legitimna orodja. Za ohranjanje dostopa do žrtve uporabljajo orodja za testiranje vdora, kot so Cobalt Strike, Brute Ratel C4 in legitimni pripomoček za oddaljeno upravljanje Atera. Skupina DEV-0390 s krajo poverilnic poveča privilegije, poišče občutljive podatke (pogosto v strežnikih za varnostno kopiranje in datotečnih strežnikih podjetja) in jih s pripomočkom za varnostno kopiranje datotek pošlje na spletno mesto za izmenjavo datotek v oblaku.

Skupina DEV-0537 uporablja povsem drugačno strategijo in način delovanja. Začetni dostop pridobi z nakupom poverilnic v kriminalnem podzemlju ali od zaposlenih v ciljnih organizacijah.

Težave

  • Ukradena gesla in nezaščitene identitete
    Napadalci za uspeh bolj kot zlonamerno programsko opremo potrebujejo poverilnice. Pri skoraj vseh uspešnih namestitvah izsiljevalske programske opreme napadalci pridobijo dostop do privilegiranih skrbniških računov, ki omogočajo širok dostop do omrežja organizacije.
  • Manjkajoči ali onemogočeni varnostni izdelki
    V skoraj vsakem opazovanem incidentu z izsiljevalsko programsko opremo je bil vsaj en sistem, izkoriščen v napadu, opremljen z manjkajočimi ali napačno konfiguriranimi varnostnimi izdelki, ki so vsiljivcem omogočali spreminjanje ali onemogočanje določenih zaščit.
  • Napačno konfigurirane ali zlorabljene aplikacije
    Priljubljeno aplikacijo lahko uporabljate za en namen, vendar to še ne pomeni, da je kriminalci ne morejo uporabiti za drug namen. »Podedovane« konfiguracije prepogosto pomenijo, da je aplikacija v privzetem stanju, ki vsakemu uporabniku omogoča širok dostop v celotni organizaciji. Ne spreglejte tega tveganja in ne odlašajte s spreminjanjem nastavitev aplikacije zaradi strahu pred motnjami.
  • Počasno nameščanje popravkov
    To je kliše, kot je »Jejte zelenjavo«. Vendar je to pomembno dejstvo: Najboljši način za zaščito programske opreme je, da jo posodabljate. Nekatere aplikacije v oblaku se posodobijo brez posredovanja uporabnika, medtem ko morajo podjetja takoj uporabiti popravke drugih ponudnikov. Leta 2022 je Microsoft ugotovil, da so starejše ranljivosti še vedno glavna gonilna sila napadov.
  • Ukradena gesla in nezaščitene identitete
    Napadalci za uspeh bolj kot zlonamerno programsko opremo potrebujejo poverilnice. Pri skoraj vseh uspešnih namestitvah izsiljevalske programske opreme napadalci pridobijo dostop do privilegiranih skrbniških računov, ki omogočajo širok dostop do omrežja organizacije.
  • Manjkajoči ali onemogočeni varnostni izdelki
    V skoraj vsakem opazovanem incidentu z izsiljevalsko programsko opremo je bil vsaj en sistem, izkoriščen v napadu, opremljen z manjkajočimi ali napačno konfiguriranimi varnostnimi izdelki, ki so vsiljivcem omogočali spreminjanje ali onemogočanje določenih zaščit.
  • Napačno konfigurirane ali zlorabljene aplikacije
    Priljubljeno aplikacijo lahko uporabljate za en namen, vendar to še ne pomeni, da je kriminalci ne morejo uporabiti za drug namen. »Podedovane« konfiguracije prepogosto pomenijo, da je aplikacija v privzetem stanju, ki vsakemu uporabniku omogoča širok dostop v celotni organizaciji. Ne spreglejte tega tveganja in ne odlašajte s spreminjanjem nastavitev aplikacije zaradi strahu pred motnjami.
  • Počasno nameščanje popravkov
    To je kliše, kot je »Jejte zelenjavo«. Vendar je to pomembno dejstvo: Najboljši način za zaščito programske opreme je, da jo posodabljate. Nekatere aplikacije v oblaku se posodobijo brez posredovanja uporabnika, medtem ko morajo podjetja takoj uporabiti popravke drugih ponudnikov. Leta 2022 je Microsoft ugotovil, da so starejše ranljivosti še vedno glavni vir groženj napadov.

Dejanja

  • Preverjanje pristnosti identitet Uvedite večkratno preverjanje pristnosti (MFA) za vse račune, pri čemer dajte prednost vlogam skrbnika in drugim občutljivim vlogam. Pri hibridni delovni sili zahtevajte MFA v vseh napravah, na vseh lokacijah in ob vsakem času. Omogočite preverjanje pristnosti brez gesla, kot so ključi FIDO ali Microsoft Authenticator za aplikacije, ki to podpirajo.
  • Odpravljanje varnostnih pomanjkljivosti
    Podobno kot dimni alarmi morajo biti tudi varnostni izdelki nameščeni na pravih mestih in pogosto preizkušeni. Preverite, ali varnostna orodja delujejo v najbolj varni konfiguraciji in ali noben del omrežja ni nezaščiten.
  • Zaščitite vire, ki so dostopni prek interneta
    Razmislite o izbrisu podvojenih ali neuporabljenih aplikacij, da odstranite tvegane in neuporabljene storitve. Bodite pozorni na to, kje dovolite uporabo aplikacij za pomoč na daljavo, kot je TeamViewer. Ti so znana tarča akterjev groženj za pridobitev izrecnega dostopa do prenosnih računalnikov.
  • Posodabljajte sisteme
    Inventarizacija programske opreme naj bo neprekinjen proces. Spremljajte, kaj uporabljate, in določite prednostno podporo za te izdelke. Zmožnost hitrega in dokončnega popravljanja uporabite za ugotavljanje, kje je prehod na storitve v oblaku koristen.

Ker razumejo medsebojno povezanost identitet in odnosov zaupanja v sodobnih tehnoloških ekosistemih, ciljajo na telekomunikacijska, tehnološka in podporna podjetja ter IT-storitve, da bi izkoristili dostop iz ene organizacije za vstop v omrežja partnerjev ali dobaviteljev. Napadi samo z izsiljevanjem dokazujejo, da morajo omrežni zaščitniki gledati dlje od končne faze izsiljevalske programske opreme ter pozorno spremljati izsiljevanje podatkov in bočno premikanje.

Če namerava povzročitelj grožnje izsiliti organizacijo, da bi ohranila zasebnost svojih podatkov, je koristna vsebina izsiljevalske programske opreme najmanj pomemben in najmanj dragocen del strategije napada. Navsezadnje se upravljavec sam odloči, kaj bo uporabil, pri čemer izsiljevalska programska oprema ni vedno tisto veliko plačilo, za katerim si prizadevajo vsi povzročitelji groženj.

Čeprav se zdi, da je izsiljevalska programska oprema ali dvojno izsiljevanje neizogibna posledica napada izkušenega napadalca, je izsiljevalska programska oprema katastrofa, ki se ji je mogoče izogniti. Če se napadalci zanašajo na varnostne pomanjkljivosti, so naložbe v kibernetsko higieno zelo pomembne.

Microsoftova edinstvena vidljivost nam omogoča vpogled v dejavnosti akterjev groženj. Naša ekipa varnostnih strokovnjakov se ne zanaša na objave na forumih ali uhajanje podatkov iz klepeta, temveč preučuje nove taktike izsiljevalske programske opreme in razvija podatke o grožnjah, ki so podlaga za naše varnostne rešitve.

Z integrirano zaščito pred grožnjami v napravah, identitetah, aplikacijah, e-pošti, podatkih in oblaku lahko prepoznamo napade, ki bi bili označeni kot napadi več akterjev, čeprav gre v resnici za eno samo skupino kibernetskih kriminalcev. Naša enota za digitalni kriminal, ki jo sestavljajo tehnični, pravni in poslovni strokovnjaki, še naprej sodeluje z organi pregona pri preprečevanju kibernetskega kriminala.

Priporočila:

Okrepite oblak: Ker se napadalci selijo k virom v oblaku, je pomembno, da zaščitite te vire in identitete ter lokalne račune. Varnostne ekipe se morajo osredotočiti na okrepitev varnostne identitetne infrastrukture, uvedba večkratnega preverjanja pristnosti (MFA) za vse račune in obravnavanje skrbnikov v oblaku/upraviteljev najemnikov z enako stopnjo varnosti in higiene poverilnic kot skrbnikov domene.
Preprečite začetni dostop: Preprečite izvajanje kode z upravljanjem makrov in skript ter omogočanjem pravil za zmanjševanje površine napada.
Odpravite varnostne ranljivosti: Organizacije morajo preveriti, ali njihova varnostna orodja delujejo v optimalni konfiguraciji, in redno pregledovati omrežja, da bi zagotovile, da varnostni izdelek ščiti vse sisteme.

Microsoft ima poglobljena priporočila na spletnem mestu  https://go.microsoft.com/fwlink/?linkid=2262350.

Prisluhnite analitičarki Emily Hacker, ko govori o tem, kako njena ekipa spremlja spreminjajočo se podobo izsiljevalske programske opreme kot storitve.

Microsoftova enota za digitalni kriminal (DCU):
Med julijem 2021 in junijem 2022 je enota vodila odstranitev več kot 531.000 edinstvenih URL-jev za lažno predstavljanje in 5400 kompletov za lažno predstavljanje, kar je privedlo do identifikacije in zaprtja več kot 1400 zlonamernih e-poštnih računov za zbiranje ukradenih poverilnic strank.1
Grožnje prek e-pošte:
Povprečni čas, v katerem lahko napadalec dostopa do vaših zasebnih podatkov, če postanete žrtev lažnega e-poštnega sporočila, je ena ura in 12 minut.1
Grožnje prek končne točke:
Povprečen čas, v katerem se napadalec začne premikati po omrežju podjetja, če je naprava ogrožena, je ena ura in 42 minut.1
  1. [1]

    Metodologija: Za podatke o posnetkih so Microsoftove platforme, vključno s programoma Defender in Azure Active Directory, ter naša enota za digitalni kriminal zagotovili anonimizirane podatke o dejavnostih groženj, kot so zlonamerni e-poštni računi, lažna e-poštna sporočila in gibanje napadalcev v omrežjih. Dodatni vpogledi izhajajo iz 43 bilijonov dnevnih varnostnih signalov, pridobljenih v Microsoftu, vključno z oblakom, končnimi točkami, inteligentnim robom ter našimi skupinami za odkrivanje in odzivanje.

Cyber Signals Kibernetska odpornost Izsiljevalska programska oprema Akterji groženj

Profil izvedenca: Emily Hacker

Analitičarka Emily Hacker govori o tem, kako njena ekipa spremlja spremembe na področju izsiljevalske programske opreme kot storitve, in o ukrepih, s katerimi pomaga ujeti napadalce z izsiljevalsko programsko opremo pred napadom.
Več informacij

Cyber Signals: 3. izdaja: Naraščajoči internet stvari in tveganje za OT

Zaradi vse večjega kroženja interneta stvari je OT ogrožen, saj je izpostavljen številnim potencialnim ranljivostim in akterjem groženj. Ugotovite, kako lahko zaščitite svojo organizacijo
Več informacij

Cyber Signals: 1. izdaja

Identiteta je novo bojno polje. Pridobite vpogled v razvijajoče se kibernetske grožnje in ukrepe za boljšo zaščito svoje organizacije.
Več informacij

Spremljajte Microsoftovo varnost