Izsiljevalska programska oprema kot storitev: nov obraz panožnega kibernetskega kriminala

Model izsiljevalske programske opreme kot storitve je omogočil hitro izpopolnjevanje in industrializacijo dejanj, ki jih lahko izvedejo manj spretni napadalci. V preteklosti so ti manj spretni kriminalci za izvajanje napadov z omejenim obsegom uporabljali osnovno zlonamerno programsko opremo, ki so jo sami ustvarili ali kupili, zdaj pa lahko pridobijo vse, kar potrebujejo – od dostopa do omrežij do koristne vsebine izsiljevalske programske opreme – od upravljavcev RaaS (seveda za ustrezno ceno). Številni programi RaaS vključujejo tudi zbirko ponudb za podporo izsiljevanju, vključno z gostovanjem spletnih mest z uhajanjem podatkov in integracijo obvestil o odkupninah, pogajanji glede dešifriranja, zahtevami za plačila in storitvami transakcij kriptovalut.

To pomeni, da je učinek uspešnega napada z izsiljevalsko programsko opremo in izsiljevanja enak ne glede na spretnosti napadalca.

Eden od načinov, s katerim upravljavci RaaS zagotavljajo vrednost svojim pridruženim partnerjem, je omogočanje dostopa do ogroženih omrežij. Posredniki dostopa v internetu iščejo ranljive sisteme, ki jih lahko ogrozijo in rezervirajo za namene poznejšega ustvarjanja dobička.

Če želijo biti napadalci uspešni, potrebujejo poverilnice. Pri teh napadih so ogrožene poverilnice tako pomembne, da kibernetski kriminalci pri prodaji dostopa do omrežja v številnih primerih v ceno vključijo tudi zagotovljen skrbniški račun.

Kaj napadalci uporabijo pridobljeni dostop je lahko zelo različno, odvisno od skupin in njihovih delovnih obremenitev ali motivacije. Čas od prvega dostopa do dejanskega napada s tipkovnico lahko traja od nekaj minut do nekaj dni ali dlje, če pa okoliščine to dopuščajo, lahko napadalci povzročijo škodo z izjemno hitrostjo. Podatki raziskave kažejo, da čas od začetnega dostopa do dejanske zahteve za odkupnino (vključno s prenosom od posrednika dostopa do pridruženega partnerja RaaS) traja manj kot eno uro.

Ko napadalci pridobijo dostop do omrežja, ga neradi zapustijo – tudi po plačilu odkupnine. Z dejanskim plačilom odkupnine morda ne boste zmanjšali tveganja za prizadeto omrežje – odkupnina je lahko le sredstvo za financiranje kibernetskih kriminalcev, ki bodo še naprej poskušali zaslužiti z izvajanjem napadov z različnimi zlonamernimi programi ali koristnimi vsebinami izsiljevalske programske opreme, dokler jih popolnoma ne odstranite.

Predaja, ki poteka med različnimi napadalci ob prehodih v gospodarstvu kibernetskega kriminala pomeni, da se lahko v okolju izvaja več skupin dejavnosti, ki uporabljajo različne metode, ki se razlikujejo od orodij, uporabljenih pri napadih z izsiljevalsko programsko opremo. Začetni dostop, pridobljen z bančnim trojanskim konjem, lahko na primer vodi do uvedbe zlonamerne programske opreme Cobalt Strike, vendar se pridruženi partner RaaS, ki je kupila dostop, lahko odloči, da bo za izvedbo napada uporabil orodje za oddaljeni dostop, kot je TeamViewer.

Uporaba zakonitih orodij in nastavitev za izvajanje ter uvajanje zlonamernih programskih oprem, kot je Cobalt Strike, je priljubljena tehnika med napadalci z izsiljevalsko programsko opremo, s katero se izognejo odkritju in lahko dlje časa ostanejo v omrežju.

Druga priljubljena tehnika napadalcev je ustvarjanje novih uporabniških računov zadnjih vrat – lokalnih ali v storitvi Active Directory – ki jih lahko nato dodajo orodjem za oddaljeni dostop, kot je navidezno zasebno omrežje (VPN) ali oddaljeno namizje. Napadalci z izsiljevalsko programsko opremo prav tako urejajo nastavitve v sistemih, da bi omogočili oddaljeno namizje, zmanjšali varnost protokola in dodali nove uporabnike v skupino uporabnikov oddaljenega namizja.

Ena od lastnosti RaaS, zaradi katerih so te grožnje tako zaskrbljujoče, je dejstvo, da te napade izvajajo človeški akterji, ki lahko sprejemajo premišljene in preračunljive odločitve ter spreminjajo vzorce napadov glede na to, kaj najdejo v določenih omrežjih, da izpolnijo svoje cilje.

Microsoft je uvedel izraz izsiljevalska programska oprema, ki jo upravlja človek za opredelitev te kategorije napadov kot verige dejavnosti, ki se konča s koristno vsebino izsiljevalske programske opreme, in ne kot niza koristnih vsebin zlonamerne programske opreme, ki jih je treba blokirati.

Večina začetnih napadov za pridobivanje dostopa se zanaša na avtomatizirano izvidništvo, ko pa napad preide v fazo napada s tipkovnico, napadalci uporabijo svoje znanje in spretnosti ter poskušajo premagati varnostne izdelke v okolju.

Napadalce z izsiljevalsko programsko opremo motivira lahek zaslužek, zato je povečanje njihovih stroškov z okrepitvijo varnosti ključnega pomena za prekinitev gospodarstva kibernetskih kriminalcev. To človeško sprejemanje odločitev pomeni, da tudi če varnostni izdelki zaznajo določene faze napada, sami napadalci niso v celoti odstranjeni, temveč poskušajo nadaljevati napad, če jih varnostni nadzor ne blokira. Če protivirusni izdelek zazna in blokira orodje ali koristno vsebino, napadalci v številnih primerih preprosto uporabijo drugo orodje ali pa spremenijo koristno vsebino.

Napadalci poznajo tudi odzivne čase središča za varnostne postopke (SOC) ter zmogljivosti in omejitve orodij za zaznavanje. Ko napad doseže fazo brisanja varnostnih kopij ali senčnih kopij, je do uvedbe izsiljevalske programske opreme le še nekaj minut. Napadalci so verjetno že izvedli škodljiva dejanja, kot je nepooblaščeno filtriranje podatkov. To znanje je ključnega pomena za odzivanje središč za varnostne postopke na izsiljevalsko programsko opremo: preiskovanje zaznanih zlonamernih programov, kot je Cobalt Strike, pred fazo uvajanja izsiljevalske programske opreme ter izvajanje hitrih ukrepov za popravljanje/posodabljanje in postopkov odzivanja na dogodke (IR) so ključnega pomena za obvladovanje človeških akterjev groženj.