Utpressning som affärsmodell
Se Cyber Signals digitala sammanfattning där Vasu Jakkal, CVP för Microsoft Security intervjuar viktiga hotinformationsexperter angående utpressningstrojansekonomin och hur organisationer kan se till att skydda sig själva.
Digital sammanfattning: Skydda dig själv mot utpressningstrojansekonomin
Nya affärsmodeller ger nya insikter för dem som bekämpar brottsligheten
I likhet med många branscher där gig-arbete har blivit vanligare av effektivitetsskäl, så hyr eller säljer cyberkriminella sina utpressningstrojansverktyg för en del av vinsten, snarare än att utföra attackerna själva.
RaaS underlättar för kriminella att ta sig in i den här verksamheten, samtidigt som det blir lättare att dölja utpressarnas identitet. Vissa program har mer än 50 ”affiliates”, som de kallar sina användare för, som alla har olika verktyg, metoder och mål. Precis som alla som har en bil kan samåka, kan alla som har en bärbar dator och ett kreditkort, och som är villiga att söka på den mörka webben efter verktyg för penetrationstestning eller användningsklar skadlig programvara, ansluta sig till denna ekonomi.
Denna industrialisering av cyberbrottsligheten har skapat specialiserade roller, t.ex. accessmäklare som säljer åtkomst till nätverken. Ett enskild intrång kan därför involvera flera cyberbrottslingar genom intrångets olika skeden.
RaaS-paket är lätta att hitta på den mörka webben och de annonseras på samma sätt som varor annonseras på Internet.
Ett RaaS-paket kan innehålla kundsupport, kombinationserbjudanden, användarrecensioner, forum och annat. Cyberbrottslingarna kan betala ett fast pris för ett RaaS-paket, medan andra grupper, som säljer RaaS enligt en affiliatemodell, tar en procentandel av vinsten.
Attacker med utpressningstrojaner inbegriper beslut baserade på nätverkskonfigurationer, och skiljer sig därför åt från fall till fall, även om utpressningstrojansnyttolasten är densamma. En utpressningstrojansattack utgör ofta kulmen av en attack som även kan inkludera dataexfiltrering och annan påverkan. På grund av den cyberkriminella ekonomins sammankopplade natur kan till synes orelaterade intrång bygga på varandra. Skadlig programvara som stjäl lösenord och cookies behandlas som mindre allvarliga, men cyberbrottslingarna säljer dessa lösenord, vilket möjliggör andra attacker.
Dessa attacker följer ett mönster där man först får åtkomst via smitta med skadlig programvara eller utnyttjande av en sårbarhet, varefter man stjäl identiteter och därigenom får högre privilegier så att man kan röra sig lateralt. Industrialiseringen av verksamheten gör att produktiva och kraftfulla utpressningstrojansattacker numera kan utföras även av angripare som inte har några sofistikerade eller avancerade färdigheter. Efter nedstängningen av Conti har vi noterat ett skifte i utpressningstrojanslandskapet. Vissa aktörer som använde Conti bytte till nyttolaster från etablerade RaaS-ekosystem som LockBit och Hive, medan andra använde nyttolaster från flera RaaS-ekosystem.
Nya RaaS-system som QuantumLocker och Black Basta fyller det vakuum som Conti lämnade efter sig. Eftersom merparten av all bevakning av utpressningstrojaner fokuserar på nyttolaster snarare än aktörer, kommer detta byte av nyttolast sannolikt att göra regeringar, brottsbekämpande myndigheter, media, säkerhetsforskare och andra osäkra om vem som ligger bakom attackerna.
Rapportering om ransomware kan verka som ett oändligt skalningsproblem. I verkligheten handlar det dock om en ändlig uppsättning aktörer som använder en uppsättning av tekniker.
Rekommendationer:
- Skapa autentiseringsuppgiftshygien: Utveckla en logisk nätverkssegmentering som baseras på privilegier som kan implementeras tillsammans med nätverkssegmentering, så att den laterala rörelsen begränsas.
- Granska exponeringen av autentiseringsuppgifter: Att granska exponeringen av autentiseringsuppgifter är av avgörande betydelse om man vill förhindra attacker med utpressningstrojaner i synnerhet och cyberbrottslighet i allmänhet. IT-säkerhetsteam och säkerhetscenter kan samarbeta för att minska administrativa privilegier och identifiera på vilken nivå autentiseringsuppgifterna exponeras.
- Minska attackytan: Upprätta regler för hur attackytan ska minskas så att vanliga attacktekniker som används i attacker med utpressningstrojaner kan förhindras. I observerade attacker från flera aktivitetsgrupper med kopplingar till utpressningstrojaner, har organisationer med tydligt definierade regler kunnat mildra attackerna i deras inledande skeden, samtidigt som de förhindrar direkt tangentbordsaktivitet.
Cyberbrottslingarna lägger till dubbel utpressning i sin attackstrategi
Utpressningstrojanernas syfte är att utpressa betalningar från sina offer. Flertalet av de aktuella RaaS-programmen läcker även stulen information – ett beteende som är känt som dubbel utpressning. Eftersom driftavbrott ger upphov till motreaktioner och åtgärder från myndigheterna mot utpressningstrojansoperatörerna, så avstår vissa grupper från att använda utpressningstrojaner och satsar istället på datautpressning.
Två grupper med fokus på utpressning är DEV-0537 (även känd som LAPSUS$) och DEV-0390 (en tidigare Conti-affiliate). DEV-0390:s intrång initieras från skadlig programvara, men använder sig av legitima verktyg för att exfiltrera data och tvinga fram betalningar. De distribuerar penetrationstestverktyg som Cobalt Strike, Brute Ratel C4 och det legitima fjärrhanteringsverktyget Atera så att de kan upprätthålla åtkomst till offret. DEV-0390 eskalerar privilegierna genom att stjäla referenser, lokalisera känsliga data (ofta på företagets säkerhetskopierings- och filservrar) och skicka data till en fildelningsplats i molnet med hjälp av ett verktyg för säkerhetskopiering av filer.
DEV-0537 använder sig av den annan strategi och metod. Den initiala åtkomsten möjliggörs genom att man köper inloggningsuppgifter på den svarta marknaden eller från anställda på vissa utvalda organisationer.
Problem
- Stulna lösenord och oskyddade identiteter
Om angriparna ska lyckas har de större behov av autentiseringsuppgifter än skadlig kod. I nästan alla framgångsrika distributioner av utpressningstrojaner får angriparna tillgång till privilegierade konton på administratörsnivå, vilka ger en bred åtkomst till organisationens nätverk. - Säkerhetsprodukter som saknas eller har inaktiverats
I nästan alla observerade incidenter med utpressningstrojaner var det alltid minst ett av de system som utnyttjades i attacken som saknade säkerhetsprodukter eller hade felkonfigurerade säkerhetsprodukter, vilket gjorde det lätt för inkräktarna att manipulera eller inaktivera vissa skydd. - Felkonfigurerade eller missbrukade program
Du kanske använder en populär app i ett visst syfte, men det utesluter inte att brottslingar kan manipulera den för helt andra syften. Äldre konfigurationer innebär alltför ofta att en app är i sitt standardtillstånd, vilket ger alla användare åtkomst till hela organisationen. Ignorera inte denna risk och tveka inte att ändra appinställningarna av rädsla för att detta ska vålla avbrott. - Långsam korrigering
Det är en kliché, som ”Ät upp dina grönsaker!” – men det är ett otvetydigt faktum: Det bästa sättet att härda program är att hålla dem uppdaterade. Medan vissa molnbaserade appar uppdateras utan att det krävs några åtgärder från användaren, så måste företagen genomföra andra leverantörskorrigeringar omedelbart. 2022 observerade Microsoft att äldre sårbarheter fortfarande var en primär faktor i de genomförda attackerna. - Stulna lösenord och oskyddade identiteter
Om angriparna ska lyckas har de större behov av autentiseringsuppgifter än skadlig kod. I nästan alla framgångsrika distributioner av utpressningstrojaner får angriparna tillgång till privilegierade konton på administratörsnivå, vilka ger en bred åtkomst till organisationens nätverk. - Säkerhetsprodukter som saknas eller har inaktiverats
I nästan alla observerade incidenter med utpressningstrojaner var det alltid minst ett av de system som utnyttjades i attacken som saknade säkerhetsprodukter eller hade felkonfigurerade säkerhetsprodukter, vilket gjorde det lätt för inkräktarna att manipulera eller inaktivera vissa skydd. - Felkonfigurerade eller missbrukade program
Du kanske använder en populär app i ett visst syfte, men det utesluter inte att brottslingar kan manipulera den för helt andra syften. Äldre konfigurationer innebär alltför ofta att en app är i sitt standardtillstånd, vilket ger alla användare åtkomst till hela organisationen. Ignorera inte denna risk och tveka inte att ändra appinställningarna av rädsla för att detta ska vålla avbrott. - Långsam korrigering
Det är en kliché, som ”Ät upp dina grönsaker!” – men det är ett otvetydigt faktum: Det bästa sättet att härda program är att hålla dem uppdaterade. Medan vissa molnbaserade appar uppdateras utan att det krävs några åtgärder från användaren, så måste företagen genomföra andra leverantörskorrigeringar omedelbart. 2022 observerade Microsoft att äldre sårbarheter fortfarande var en primär faktor i de genomförda attackerna.
Åtgärder
- Autentisera identiteter Framtvinga multifaktorautentisering (MFA) för alla konton, och prioritera administratörsroller och andra känsliga roller. Med en hybridarbetsstyrka krävs det MFA på alla enheter, på alla platser, hela tiden. Aktivera lösenordsfri autentisering, som FIDO-nycklar eller Microsoft Authenticator för de appar som stöder det.
- Åtgärda säkerhetens blinda fläckar
Precis som med brandvarnare, så måste säkerhetsprodukter installeras i rätt utrymmen och testas ofta och regelbundet. Kontrollera att säkerhetsverktygen används med sin säkraste konfiguration och att ingen del av nätverket är oskyddad. - Förstärk Internetuppkopplade tillgångar
Fundera på att ta bort duplicerade eller oanvända appar, så att du därigenom eliminerar riskabla och oanvända tjänster. Var försiktig med var du tillåter användning av fjärrhjälpsappar som TeamViewer. Dessa är något av hotaktörernas favoritmål när det gäller att få expressåtkomst till bärbara datorer. - Håll systemen uppdaterade
Gör programvaruinventeringen till en kontinuerlig process. Ha koll på vilka produkter du kör och prioritera support för dessa produkter. Utnyttja din förmåga att korrigera snabbt och fullständigt så att du kan se var det kan vara bra att övergå till molnbaserade tjänster.
Genom att utnyttja sammanlänkningen av identiteter och förtroenderelationer i de moderna tekniska ekosystemen, kan de rikta in sig på telekommunikation, teknik, IT-tjänster och supportföretag så att de kan skaffa sig åtkomst via en organisation till ett vidare partner- eller leverantörsnätverk. Attacker med enbart utpressning visar att man i försvaret måste se bortom de slutstadiets utpressningstrojaner och hålla ett öga på dataexfiltrering och laterala rörelser.
Om en hotaktör planerar att utpressa en organisation under hot att avslöja deras data, så är en utpressningstrojansnyttolast den minst betydande och minst värdefulla delen av attackstrategin. I slutändan är det operatören som väljer vad som ska distribueras, och utpressningstrojaner ger inte alltid den stora jackpot som varje hotaktör är ute efter.
Även om utpressningstrojaner eller dubbel utpressning kan tyckas vara ett oundvikligt resultat av en attack från en sofistikerad angripare, så de katastrofala följderna av utpressningstrojaner något man kan undvika. Angriparnas beroende av säkerhetsbrister gör att investeringar i cyberhygien räcker långt.
Microsofts unika synlighet ger oss en lins genom vilken vi kan betrakta hotaktörsaktiviteten. Istället för att lita på foruminlägg eller chattläckor, så studerar vårt säkerhetsexpertteam nya utpressningstrojanstaktiker och utvecklar hotintelligens som förbättrar våra säkerhetslösningar.
Integrerat hotskydd på enheter, identiteter, appar, e-post, data och i molnet hjälper oss att identifiera attacker som annars skulle ha uppfattats komma från flera olika aktörer, när det i själva verket handlar om en enda uppsättning cyberbrottslingar. Vår enhet för digitala brott, där det ingår experter inom teknik, juridik och företagsverksamhet, fortsätter att bekämpa cyberbrottsligheten i samarbete med de brottsbekämpande myndigheterna
Rekommendationer:
Microsofts mer utförligar rekommendationer hittar du på https://go.microsoft.com/fwlink/?linkid=2262350.
Lyssna till hotinformationsanalytikern Emily Hacker när hon berättar om hur hennes team håller koll på det ständigt föränderliga utpressningstrojaner-som-en-tjänst-landskapet.
Ledde avlägsnandet av mer än 531 000 unika nätfiskewebbadresser och 5 400 nätfiskepaket under perioden juli 2021 till juni 2022, vilket ledde till att mer än 1 400 skadliga e-postkonton, som använts för att samla in stulna autentiseringsuppgifter från kunder, kunde identifieras och stängas ned.1
Mediantiden för en angripare att få åtkomst till dina privata data, i händelse av att du har drabbats av ett nätfiskemeddelande är en timma och 12 minuter.1
Mediantiden för en angripare att börja röra sig lateralt i ditt företagsnätverk om en enhet har komprometterats är en timma och 42 minuter.1
- [1]
Metodik: För ögonblicksbilddata tillhandahöll Microsoft-plattformar, inklusive Defender och Azure Active Directory, och vår enhet för digitala brott, anonymiserad data om hotaktivitet, såsom skadliga e-postkonton, nätfiske via e-post och angriparnas rörelser i nätverken. Ytterligare insikter kommer från de 43 biljoner säkerhetssignaler som tas emot i hela Microsoft varje dag, bland annat från molnet, slutpunkter, den intelligenta nätverksgränsen och våra Security Recovery Practice- och Detection and Response-team.
Följ Microsoft Security