Trace Id is missing

Afpresningsøkonomien

En hvid labyrint med farverige cirkler og prikker

Cyber Signals 2. udgave: Ransomwares nye forretningsmodel

Selvom ransomware fortsat er et emne, der trækker overskrifter, er det i sidste ende et relativt lille, forbundet økosystem af aktører, der driver denne sektor af cyberkriminalitetsøkonomien. Specialiseringen og konsolideringen af cyberkriminalitetsøkonomien har gjort ransomware as a service (RaaS) til en dominerende forretningsmodel, der gør det muligt for en bredere vifte af kriminelle, uanset deres tekniske ekspertise, at distribuere ransomware.
Over 80 procent af ransomwareangreb kan spores til almindelige konfigurationsfejl i software og enheder.1

Se Cyber Signals digitale oversigt, hvor Vasu Jakkal, CVP for Microsoft Security, interviewer de bedste trusselseksperter om ransomwareøkonomien, og hvordan organisationer kan hjælpe med at beskytte sig selv.

Digital orientering: Sådan beskytter du dig mod ransomware-økonomien

En ny forretningsmodel tilbyder nye indsigter til forsvarere

Ligesom mange brancher har skiftet til gig-arbejdere for effektivitetens skyld, udlejer eller sælger cyberkriminelle deres ransomware-værktøjer for en del af fortjenesten i stedet for selv at udføre angrebene.

Ransomware as a Service giver cyberkriminelle mulighed for at købe adgang til Ransomware-nyttelast og datalækage samt betalingsinfrastruktur. Ransomware-"bander" er i virkeligheden RaaS-programmer som Conti eller REvil, der bruges af mange forskellige aktører, som skifter mellem RaaS-programmer og nyttelaster.

RaaS sænker adgangsbarrieren og slører identiteten på personer med ondsindede hensigter bag løsepengene. Nogle programmer har mere end 50 "affilierede", som de kalder brugerne af deres tjeneste, med forskellige værktøjer, metoder og mål. Ligesom alle med en bil kan køre for en samkørselstjeneste, kan alle med en laptop og et kreditkort, der er villige til at søge på det mørke net efter værktøjer til penetrationstest eller malware, der er klar til brug, deltage i denne økonomi.

Denne industrialisering af cyberkriminalitet har skabt specialiserede roller, som f.eks. adgangsmæglere, der sælger adgang til netværk. En enkelt kompromittering involverer ofte flere cyberkriminelle i forskellige stadier af indtrængningen.

RaaS-kits er nemme at finde på dark web og annonceres på samme måde, som varer annonceres på internettet.

Et RaaS-kit kan omfatte kundesupport, pakkeløsninger, brugeranmeldelser, fora og andre funktioner. Cyberkriminelle kan betale en fast pris for et RaaS-kit, mens andre grupper, der sælger RaaS under modellen med affilierede, tager en procentdel af overskuddet.

Ransomware-angreb involverer beslutninger baseret på netværkskonfigurationer og er forskellige for hvert offer, selv om ransomwarens nyttelast er den samme. Ransomware kulminerer et angreb, der kan omfatte dataekfiltrering og andre konsekvenser. På grund af den cyberkriminelle økonomis sammenkoblede natur kan tilsyneladende uafhængige indtrængen bygge på hinanden. Infostealer-malware, der stjæler adgangskoder og cookies, bliver behandlet mindre alvorligt, men cyberkriminelle sælger disse adgangskoder for at muliggøre andre angreb.

Disse angreb følger en skabelon med indledende adgang via malware-infektion eller udnyttelse af en sårbarhed og derefter tyveri af legitimationsoplysninger for at hæve privilegier og bevæge sig sidelæns. Industrialiseringen gør det muligt for angribere uden sofistikerede eller avancerede færdigheder at udføre produktive og virkningsfulde ransomware-angreb. Siden nedlukningen af Conti har vi observeret ændringer i ransomware-landskabet. Nogle affilierede, som brugte Conti, er gået over til at bruge nyttelaster fra etablerede RaaS-økosystemer som LockBit og Hive, mens andre bruger nyttelaster fra flere RaaS-økosystemer på samme tid.

Nye RaaS som QuantumLocker og Black Basta udfylder det vakuum, som Contis nedlukning har efterladt. Da den meste ransomware-dækning fokuserer på nyttelaster i stedet for aktører, vil denne udskiftning af nyttelaster sandsynligvis forvirre regeringer, retshåndhævende myndigheder, medier, sikkerhedsforskere og forsvarere om, hvem der står bag angrebene.

Rapportering om ransomware kan virke som et endeløst skaleringsproblem, men virkeligheden er et begrænset antal aktører, der bruger et sæt teknikker.

Anbefalinger:

  • Opbyg legitimationshygiejne: Udvikl en logisk netværkssegmentering baseret på privilegier, der kan implementeres sammen med netværkssegmentering for at begrænse lateral bevægelse.
  • Overvåg legitimationseksponering: Overvågning af legitimationseksponering er afgørende for at forhindre ransomware-angreb og cyberkriminalitet generelt. It-sikkerhedsteams og SOC'er kan arbejde sammen om at reducere administratorrettigheder og forstå det niveau, hvor deres legitimationsoplysninger er eksponeret.
  • Reducer angrebsfladen: Etabler regler for reduktion af angrebsfladen for at forhindre almindelige angrebsteknikker, der bruges i ransomware-angreb. I observerede angreb fra flere ransomware-relaterede aktivitetsgrupper har organisationer med klart definerede regler været i stand til at afbøde angreb i deres indledende faser og samtidig forhindre hænder på tastaturaktivitet.

Cyberkriminelle føjer dobbelt afpresning til angrebsstrategi

Ransomware eksisterer for at afpresse betaling fra et offer. De fleste nuværende RaaS-programmer lækker også stjålne data, kendt som dobbelt afpresning. Efterhånden som udfald giver bagslag, og myndighedernes forstyrrelse af ransomware-operatører øges, giver nogle grupper afkald på ransomware og forfølger dataafpresning.

To grupper med fokus på afpresning er DEV-0537 (aka LAPSUS$) og DEV-0390 (en tidligere Conti- affilieret). DEV-0390's indtrængen udspringer af malware, men bruger legitime værktøjer til at eksfiltrere data og afpresse betaling. De anvender penetrationstestværktøjer som Cobalt Strike, Brute Ratel C4 og det legitime Atera fjernstyringsværktøj til at opretholde adgang til et offer. DEV-0390 vil eskalere privilegier ved at stjæle legitimationsoplysninger, finde følsomme data (ofte på virksomhedens sikkerhedskopi- og filservere) og sende dataene til en fildelingsside i skyen ved hjælp af et værktøj til filsikkerhedskopiering.

DEV-0537 bruger en helt anden strategi og fremgangsmåde. Den første adgang opnås ved at købe legitimationsoplysninger i den kriminelle undergrund eller fra ansatte i målrettede organisationer.

Problemer

  • Stjålne adgangskoder og ubeskyttede identiteter
    Mere end malware har personer med ondsindede hensigter brug for legitimationsoplysninger for at få succes. I næsten alle vellykkede ransomware-angreb får angriberne adgang til privilegerede konti på administratorniveau, der giver bred adgang til en organisations netværk.
  • Manglende eller deaktiverede sikkerhedsprodukter
    I næsten alle observerede ransomware-hændelser havde mindst ét system, der blev udnyttet i angrebet, manglende eller fejlkonfigurerede sikkerhedsprodukter, der gjorde det muligt for ubudne gæster at manipulere med eller deaktivere visse beskyttelser.
  • Fejlkonfigurerede eller misbrugte applikationer
    Du bruger måske en populær app til ét formål, men det betyder ikke, at kriminelle ikke kan bruge den som våben til et andet formål. Alt for ofte betyder "ældre"-konfigurationer, at en app er i sin standardtilstand, hvilket giver enhver bruger bred adgang på tværs af hele organisationer. Overse ikke denne risiko, og vent ikke med at ændre app-indstillinger af frygt for afbrydelser.
  • Langsom til opdatering
    Det er en kliché, ligesom "Spis dine grøntsager!" – men det er en kritisk kendsgerning: Den bedste måde at hærde software på er at holde den opdateret. Mens nogle skybaserede apps opdateres, uden at brugeren behøver at gøre noget, skal virksomheder anvende andre leverandørers opdatering med det samme. I 2022 observerer Microsoft, at ældre sårbarheder stadig er en primær drivkraft i angreb.
  • Stjålne adgangskoder og ubeskyttede identiteter
    Mere end malware har personer med ondsindede hensigter brug for legitimationsoplysninger for at få succes. I næsten alle vellykkede ransomware-angreb får angriberne adgang til privilegerede konti på administratorniveau, der giver bred adgang til en organisations netværk.
  • Manglende eller deaktiverede sikkerhedsprodukter
    I næsten alle observerede ransomware-hændelser havde mindst ét system, der blev udnyttet i angrebet, manglende eller fejlkonfigurerede sikkerhedsprodukter, der gjorde det muligt for ubudne gæster at manipulere med eller deaktivere visse beskyttelser.
  • Fejlkonfigurerede eller misbrugte applikationer
    Du bruger måske en populær app til ét formål, men det betyder ikke, at kriminelle ikke kan bruge den som våben til et andet formål. Alt for ofte betyder "ældre"-konfigurationer, at en app er i sin standardtilstand, hvilket giver enhver bruger bred adgang på tværs af hele organisationer. Overse ikke denne risiko, og vent ikke med at ændre app-indstillinger af frygt for afbrydelser.
  • Langsom til opdatering
    Det er en kliché, ligesom "Spis dine grøntsager!" – men det er en kritisk kendsgerning: Den bedste måde at hærde software på er at holde den opdateret. Mens nogle skybaserede apps opdateres, uden at brugeren behøver at gøre noget, skal virksomheder anvende andre leverandørers opdatering med det samme. I 2022 observerer Microsoft, at ældre sårbarheder stadig er en primær drivkraft i angreb.

Handlinger

  • Godkend identiteter Gennemtving multifaktorgodkendelse på alle konti, prioriter administrator og andre følsomme roller. Med en hybrid arbejdsstyrke skal du kræve multifaktorgodkendelse på alle enheder, på alle placeringer, til enhver tid. Aktivér godkendelse uden adgangskode som FIDO-nøgler eller Microsoft Authenticator for apps, der understøtter det.
  • Håndter blinde vinkler i sikkerheden
    Ligesom røgalarmer skal sikkerhedsprodukter installeres i de rigtige rum og testes ofte. Kontrollér, at sikkerhedsværktøjerne fungerer i deres mest sikre konfiguration, og at ingen del af netværket er ubeskyttet.
  • Styrk internetvendte aktiver
    Overvej at slette duplikerede eller ubrugte apps for at eliminere risikable, ubrugte tjenester. Vær opmærksom på, hvor du tillader ekstern hjælp-apps som TeamViewer. Disse er notoriske mål for trusselsaktører, der ønsker at få hurtig adgang til bærbare computere.
  • Hold systemerne opdaterede
    Gør softwareopgørelse til en kontinuerlig proces. Hold styr på, hvad du kører, og prioriter support til disse produkter. Brug din evne til at udbedre fejl hurtigt og effektivt til at vurdere, hvor det er en fordel at skifte til skybaserede tjenester.

De forstår, hvordan identiteter og tillidsrelationer er indbyrdes forbundne i moderne teknologiske økosystemer, og de retter sig mod telekommunikations-, teknologi-, IT-service- og supportvirksomheder for at udnytte adgang fra én organisation til at få adgang til partner- eller leverandørnetværk. Angreb, der kun består af afpresning, viser, at netværksforsvarere skal se ud over ransomware i slutfasen og holde et vågent øje med dataekfiltrering og lateral bevægelse.

Hvis en trusselsaktør planlægger at afpresse en organisation til at holde deres data private, er en ransomware-nyttelast den mindst betydningsfulde og mindst værdifulde del af angrebsstrategien. I sidste ende er det en operatørs valg, hvad de vælger at implementere, og ransomware er ikke altid den store gevinst, som alle trusselsaktører er ude efter.

Selvom ransomware eller dobbelt afpresning kan virke som et uundgåeligt resultat af et angreb fra en sofistikeret angriber, er ransomware en katastrofe, der kan undgås. Angribernes afhængighed af sikkerhedssvagheder betyder, at investeringer i cyberhygiejne rækker langt.

Microsofts unikke synlighed giver os et indblik i trusselsaktørernes aktiviteter. I stedet for at være afhængige af forumindlæg eller chatlækager, studerer vores team af sikkerhedseksperter nye ransomware-taktikker og udvikler oplysninger om trusler, der danner grundlag for vores sikkerhedsløsninger.

Integreret trusselsbeskyttelse på tværs af enheder, identiteter, apps, mail, data og cloud hjælper os med at identificere angreb, der ville være blevet betegnet som flere aktører, når de i virkeligheden er et enkelt sæt cyberkriminelle. Vores enhed for digital kriminalitet der består af tekniske, juridiske og forretningsmæssige eksperter, fortsætter med at arbejde sammen med politiet for at forstyrre cyberkriminalitet

Anbefalinger:

Hærd skyen: Efterhånden som personer med ondsindede hensigter bevæger sig mod cloudressourcer, er det vigtigt at sikre disse ressourcer og identiteter såvel som konti i det lokale miljø. Sikkerhedsteams bør fokusere på at hærde infrastrukturen for sikkerhedsidentiteter, håndhæve mulitfaktorgodkendelse på alle konti og behandle cloudadministratorer/lejeradministratorer med samme niveau af sikkerhed og legitimationshygiejne som domæneadministratorer.
Forebyg indledende adgang: Forhindre kodeeksekvering ved at administrere makroer og scripts og aktivere regler for reduktion af angrebsoverfladen.
Luk blinde vinkler i sikkerheden: Organisationer bør kontrollere, at deres sikkerhedsværktøjer kører i optimal konfiguration, og udføre regelmæssige netværksscanninger for at sikre, at et sikkerhedsprodukt beskytter alle systemer.

Microsoft har dybdegående anbefalinger på  https://go.microsoft.com/fwlink/?linkid=2262350.

Hør Emily Hacker, analytiker for oplysninger om trusler fortælle, hvordan hendes team holder sig ajour med det skiftende ransomware as a service-landskab.

Microsofts enhed for digital kriminalitet (DCU):
Stod for fjernelsen af mere end 531.000 unikke phishing-URL-adresser og 5.400 phish-kits mellem juli 2021 og juni 2022, hvilket førte til identifikation og lukning af over 1.400 ondsindede e-mailkonti, der blev brugt til at indsamle stjålne kundeoplysninger.1
Trusler via mail:
Mediantiden for en person med ondsindede hensigter til at få adgang til dine private data, hvis du bliver offer for en phishing-mail, er en time og 12 minutter.1
Trusler mod slutpunkter:
Mediantiden for en person med ondsindede hensigter til at begynde at bevæge sig sidelæns i dit virksomhedsnetværk, hvis en enhed kompromitteres, er en time og 42 minutter.1
  1. [1]

    Metodologi: Til snapshot-data leverede Microsoft-platforme, herunder Defender og Azure Active Directory, og vores Digital Crimes Unit anonymiserede data om trusselsaktivitet, såsom ondsindede mailkonti, phishing-mails og angriberbevægelser inden for netværk. Yderligere indsigt indhentes fra de 43 billioner daglige sikkerhedssignaler på tværs af Microsoft, herunder skyen, slutpunkter, den intelligente kant og vores Compromise Security Recovery Practice- og Detection and Response-teams.

Ekspertprofil: Emily Hacker

Analytiker af oplysninger om trusler Emily Hacker diskuterer, hvordan hendes team holder sig opdateret om det skiftende ransomware som en service-landskab og de foranstaltninger, de tager for at hjælpe med at fange aktører, før de udfører ransomware.

Cyber Signals: 3. udgave: Voksende IoT og risikoen for OT

Den stigende mængde IoT, der er i omløb, giver øget risiko for OT med en række potentielle sårbarheder og eksponering for trusselsaktører. Find ud af, hvordan du kan beskytte din organisation

Cyber Signals: Problem 1

Identitet er den nye slagmark. Få indsigt i fremkommende cybertrusler, og hvilke trin du skal tage for at beskytte din organisation bedre.

Følg Microsoft Security