Trace Id is missing

Ransomver kao usluga: Novo lice industrijalizovanog kibernetičkog kriminala

Deljenje
Dve strelice postavljene na liniji i usmerene jedna prema drugoj na različitoj putanji

 Najnoviji poslovni model u kibernetičkom kriminalu, napadi kojima upravljaju ljudi, ohrabruje kriminalce različitih sposobnosti.

Ransomver, jedna od najupornijih i najprodornijih kibernetičkih pretnji, nastavlja da se razvija, a njegov najnoviji oblik predstavlja novu pretnju organizacijama širom sveta. Evolucija ransomvera ne uključuje novi napredak u tehnologiji. Umesto toga, uključuje novi poslovni model: ransomver kao uslugu (RaaS).

Ransomver kao usluga (RaaS) predstavlja aranžman između operatera, koji razvija i održava alatke za pokretanje operacija iznude, i filijale, koja koristi ransomver. Kad filijala izvrši uspešan napad ransomverom i iznudu, obe strane profitiraju.

RaaS model smanjuje barijeru pri ulasku za napadače koji možda nemaju veštinu ili tehničke mogućnosti da razviju sopstvene alatke, ali mogu da upravljaju gotovim testiranjem proboja i alatkama administratora sistema za izvođenje napada. Ovi kriminalci nižeg nivoa takođe mogu samo da kupe pristup mreži od sofisticiranije kriminalne grupe koja je već probila perimetar.

Iako RaaS filijale koriste ransomver koje obezbeđuju sofisticiraniji operateri, oni nisu deo iste ransomver „bande“. Umesto toga, to su njihova posebna preduzeća koja posluju u ukupnoj ekonomiji kibernetičkog kriminala.

Unapređenje sposobnosti kibernetičkih kriminalaca i rast ukupne ekonomije kibernetičkog kriminala

Ransomver kao model usluge omogućio je brzo usavršavanje i industrijalizaciju onoga što manje sposobni kriminalci mogu da postignu. U prošlosti, ovi manje sofisticirani kriminalci možda su koristili zlonamerni softver koji su napravili ili kupili da bi izvodili napade ograničenog obima, ali sada mogu da dobiju sve što im je potrebno – od pristupa mrežama do ransomvera – od svojih RaaS operatera (naravno, uz određenu nadoknadu). Mnogi RaaS programi dalje uključuju skup ponuda za podršku pri iznuđivanju, uključujući hostovanje sajtova sa curenjem podataka i integraciju u beleške o otkupnini, kao i pregovaranje o dešifrovanju, pritisak za plaćanje i usluge transakcija kriptovalutama.

To znači da uticaj uspešnog ransomvera i napada iznude ostaje isti bez obzira na veštine napadača.

Otkrivanje i iskorišćavanje ranjivosti mreže… po određenoj ceni

Jedan od načina na koje RaaS operateri obezbeđuju vrednost svojim filijalama jeste pružanje pristupa ugroženim mrežama. Brokeri pristupa skeniraju internet u potrazi za ranjivim sistemima, koje mogu kompromitovati i rezervisati za kasniji profit.

Da bi bili uspešni, napadačima su potrebni akreditivi. Kompromitovani akreditivi su toliko važni za ove napade da kada kibernetički kriminalci prodaju pristup mreži, u mnogim slučajevima cena uključuje garantovani administratorski nalog.

Ono što kriminalci rade sa svojim pristupom nakon što se to postigne može se veoma razlikovati u zavisnosti od grupa, količine podataka ili motivacije. Vreme između početnog pristupa i praktične primene iznutra stoga može da varira od minuta do dana ili duže, ali kad okolnosti to dozvoljavaju, šteta može biti naneta vrtoglavom brzinom. U stvari, primećeno je da vreme od početnog pristupa do potpunog otkupa (uključujući primopredaju posrednika pristupa RaaS filijali) traje manje od jednog sata.

Održavanje ekonomije u pokretu – uporne i prikrivene metode pristupa

Jednom kad napadači dobiju pristup mreži, teško će je napustiti – čak i pošto dobiju otkup. U stvari, plaćanje otkupnine možda neće smanjiti rizik za pogođenu mrežu i potencijalno služi samo za finansiranje kibernetičkih kriminalaca, koji će nastaviti da pokušavaju da unovče napade različitim sadržajima zlonamernog softvera ili ransomvera sve dok ne budu izbačeni.

Prenos koji se dešava između različitih napadača kako se dešavaju tranzicije u ekonomiji kibernetičkog kriminala znači da više grupa aktivnosti može opstati u okruženju koristeći različite metode koje se razlikuju od alatki koje se koriste u napadima ransomverom. Na primer, početni pristup koji je stekao bankarski trojanac dovodi do primene alatke Cobalt Strike, ali RaaS filijala koja je kupila pristup može izabrati da koristi alatku za daljinski pristup kao što je TeamViewer za upravljanje kampanjom.

Korišćenje legitimnih alatki i podešavanja za opstanak u odnosu na implantate zlonamernog softvera kao što je Cobalt Strike popularna je tehnika među napadačima ransomverom kako bi se izbeglo otkrivanje i duže zadržavanje u mreži.

Još jedna popularna tehnika napadača jeste kreiranje novih pozadinskih korisničkih naloga, bilo lokalnih ili u usluzi Active Directory, koji se zatim mogu dodati alatkama za daljinski pristup kao što su virtuelna privatna mreža (VPN) ili udaljena radna površina. Napadači ransomverom takođe su primećeni kako uređuju podešavanja na sistemima da bi omogućili udaljenu radnu površinu, smanjili bezbednost protokola i dodali nove korisnike u grupu korisnika udaljene radne površine.

Dijagram toka koji objašnjava kako se planiraju i sprovode RaaS napadi

Suočavanje s najneuhvatljivijim i najlukavijim protivnicima na svetu

Jedan od kvaliteta RaaS-a koji pretnju čini toliko zabrinjavajućim jeste to kako se oslanja na ljude napadače koji mogu da donose informisane i proračunate odluke i menjaju obrasce napada na osnovu onoga što pronađu na mrežama u koje dopru obezbeđujući ostvarenje svojih ciljeva.

Microsoft je skovao termin ransomver kojim upravljaju ljudi da bi definisao ovu kategoriju napada kao lanac aktivnosti koji kulminira korisnim podacima ransomvera, a ne kao skup korisnih podataka zlonamernog softvera koji treba blokirati.

Dok se većina početnih kampanja za pristup oslanja na automatizovano izviđanje, kada napad pređe na fazu praktične upotrebe iznutra, napadači će koristiti svoje znanje i veštinu da pokušaju da pobede bezbednosne proizvode u okruženju.

Napadači ransomverom su motivisani lakom zaradom, tako da je povećanje njihovih troškova kroz bezbednosno jačanje ključno za narušavanje ekonomije kibernetičkog kriminala. Ovo ljudsko donošenje odluka znači da čak i ako bezbednosni proizvodi otkriju određene faze napada, sami napadači neće biti u potpunosti isterani; oni će pokušati da nastave ako ih bezbednosna kontrola ne blokira. U mnogim slučajevima, ako antivirusni proizvod otkrije i blokira alatku ili korisne podatke, napadači jednostavno mogu da ugrabe drugu alatku ili modifikuju podatke.

Napadači su takođe svesni vremena odgovora operativnog centra za bezbednost (SOC) i mogućnosti i ograničenja alatki za otkrivanje. Dok napad ne dostigne fazu brisanja rezervnih kopija ili kopija u senci, biće na samo nekoliko minuta od primene ransomvera. Protivnik bi verovatno već izvršio štetne radnje kao što je izvlačenje podataka. Ovo znanje je ključno za SOC-ove koji reaguju na ransomver: istraživanje detekcija kao što je Cobalt Strike pre faze implementacije ransomvera i izvođenje brzih akcija sanacije i postupaka odgovora na incidente (IR) kritični su za zadržavanje ljudskog protivnika.

Jačanje bezbednosti od pretnji uz izbegavanje zamora od upozorenja

Trajna bezbednosna strategija protiv odlučnih ljudskih protivnika mora uključivati ciljeve otkrivanja i ublažavanja posledica. Nije dovoljno osloniti se samo na otkrivanje jer 1) neki događaji infiltracije praktično se ne mogu otkriti (izgledaju kao više bezazlenih radnji) i 2) nije neuobičajeno da napadi ransomverom budu zanemareni zbog zamora od upozorenja uzrokovanog višestrukim različitim upozorenjima bezbednosnih proizvoda.

Pošto napadači imaju više načina da izbegnu i onemoguće bezbednosne proizvode i sposobni su da imitiraju benigno ponašanje administratora kako bi se što više uklopili, IT bezbednosni timovi i SOC-ovi treba da ojačaju svoje napore pri otkrivanju merama za jačanje bezbednosti.

Napadači ransomverom su motivisani lakom zaradom, tako da je povećanje njihovih troškova kroz bezbednosno jačanje ključno za narušavanje ekonomije kibernetičkog kriminala.

Evo nekoliko koraka koje organizacije mogu preduzeti da bi se zaštitile:

 

  • Građenje higijene akreditiva: Razvijte logičku segmentaciju mreže zasnovanu na privilegijama koje se mogu primeniti zajedno sa segmentacijom mreže da biste ograničili lateralno pomeranje.
  • Nadzor izloženosti akreditiva: Revizija izloženosti akreditiva ključna je za sprečavanje napada ransomverom i kibernetičkog kriminala uopšte. IT bezbednosni timovi i SOC mogu da rade zajedno kako bi smanjili administrativne privilegije i razumeli nivo na kojem su njihovi akreditivi izloženi.
  • Očvršćavanje oblaka: Kako se napadači kreću ka resursima u oblaku, važno je osigurati te resurse u oblaku i identitete, kao i lokalne naloge. Bezbednosni timovi treba da se usredsrede na jačanje infrastrukture bezbednosnog identiteta, sprovođenje višestruke potvrde identiteta (MFA) na svim nalozima i tretiranje administratora u oblaku/zakupaca sa istim nivoom bezbednosti i higijene akreditiva kao i u slučaju administratora domena.
  • Uklanjanje mrtvih tačaka na polju bezbednosti: Organizacije treba da provere da li njihove bezbednosne alatke rade u optimalnoj konfiguraciji i da vrše redovna skeniranja mreže kako bi osigurale da bezbednosni proizvod štiti sve sisteme.
  • Smanjenje površine napada: Uspostavite pravila za smanjenje površine napada da biste sprečili uobičajene tehnike koje se koriste u napadima ransomverom. U uočenim napadima iz nekoliko grupa aktivnosti povezanih sa ransomverom, organizacije s jasno definisanim pravilima uspele su da ublaže napade u njihovim početnim fazama, uz istovremeno sprečavanje nanošenja dalje štete iznutra.
  • Procena perimetra: Organizacije moraju da identifikuju i obezbede perimetarske sisteme koje napadači mogu koristiti za pristup mreži. Javni interfejsi za skeniranje mogu se koristiti za povećanje podataka.
  • Ojačanje resursa okrenutih internetu: Napadači ransomverom i posrednici pristupa koriste nezakrpljene ranjivosti, bilo da su već otkrivene ili nulti dan, posebno u početnoj fazi pristupa. Takođe brzo prihvataju nove ranjivosti. Da bi dodatno smanjile izloženost, organizacije mogu da koriste mogućnosti upravljanja pretnjama i ranjivostima u proizvodima za otkrivanje krajnjih tačaka i reagovanje kako bi otkrile, odredile prioritet i otklonile ranjivosti i pogrešne konfiguracije.
  • Priprema za oporavak: Najbolja odbrana od ransomvera treba da uključuje planove za brz oporavak u slučaju napada. Manje će koštati oporavak od napada nego plaćanje otkupnine, pa budite sigurni da redovno pravite rezervne kopije svojih kritičnih sistema i zaštitite te rezervne kopije od namernog brisanja i šifrovanja. Ako je moguće, čuvajte rezervne kopije u nepromenljivom skladištu na mreži odnosno potpuno van mreže ili van lokacije.
  • Dalja odbrana od napada ransomverom: Višestruka pretnja nove ekonomije ransomvera i neuhvatljiva priroda ransomver napada kojima upravljaju ljudi zahtevaju od organizacija da usvoje sveobuhvatan pristup bezbednosti.

Koraci koje smo naveli iznad pomažu u odbrani od uobičajenih obrazaca napada i uveliko će sprečiti napade ransomverom. Da biste dodatno ojačali odbranu od tradicionalnog ransomvera i drugih pretnji kojima upravljaju ljudi, koristite bezbednosne alatke koje mogu da obezbede duboku vidljivost između domena i objedinjene mogućnosti istrage.

Za dodatni pregled ransomvera, zajedno sa savetima i najboljim praksama za prevenciju, otkrivanje i sanaciju, pogledajte članak Zaštitite svoju organizaciju od ransomvera, a za još detaljnije informacije o ransomveru kojim upravljaju ljudi, pročitajte članak višeg istraživača bezbednosti Džesike Pejn Ransomver kao usluga: Razumevanje ekonomije kibernetičkog kriminala načina zaštite..

Srodni članci

Drugo izdanje izveštaja „Cyber Signals“: Ekonomija iznude

Čujte šta stručnjaci u praktičnom radu imaju da kažu o razvoju ransomvera kao usluge. Od programa i korisnih podataka do posrednika i povezanih lica koji prodaju pristup – saznajte više o alatkama, taktikama i metama koje kibernetički kriminalci preferiraju i nađite smernice koje će vam pomoći da zaštitite organizaciju.
Saznajte više

Profil stručnjaka: Nik Kar

Nik Kar, vođa tima za obaveštavanje o kibernetičkom kriminalu u Microsoft centru za informacije o pretnjama, razmatra trendove ransomvera, objašnjava šta Microsoft radi po pitanju zaštite klijenata od ransomvera i opisuje šta organizacije mogu da preduzmu ako im se dogodi napad.
Saznajte više

Zaštita organizacije od ransomvera

Pogledajte koji kriminalci učestvuju u radu podzemne trgovine ransomverom. Pomoći ćemo vam da se upoznate sa motivacijom i mehanizmima napada ransomvera i obezbediti vam najbolje prakse za zaštitu, kao i prikaz stanja i oporavak.
Saznajte više