Lunavara teenusena: tööstusliku küberkuritegevuse uus nägu

Teenusepõhise lunavara mudel on vähemvõimekatel kurjategijatel aidanud oma haaret ja tegevusvaldkonda märkimisväärselt laiendada. Varem võisid need vähemvõimekad kurjategijad kasutada ründevara, mille nad meisterdasid ise või ostsid kelleltki, et korraldada võrdlemisi piiratud ulatusega ründeid. Ent nüüd saavad nad oma RaaS-i operaatoritelt kõik, mida vaja, võrkudele juurdepääsust alustades ja lunavaralastidega lõpetades – seda muidugi teatud tasu eest. Paljud RaaS-i programmid hõlmavad lisaks veel väljapressimist toetavate pakkumiste komplekti, mille seas on näiteks lekkesaitide majutus ja integreerimine lunavaranõuetesse, läbirääkimised andmete dekrüptimiseks, maksesurve ja krüptovaluutatehingute teenused.

See tähendab, et eduka lunavara- ja väljapressimisründe mõju on ründaja oskustest olenemata sama.

Ühe võimalusena saavad RaaS-i operaatorid oma partneritele abiks olla näiteks nii, et pakuvad neile juurdepääsu turbemurde ohvriks langenud võrkudele. Juurdepääsumaaklerid otsivad Internetist pidevalt haavatavaid süsteeme, kuhu nad saaksid sisse murda, et sellega siis hiljem kasumit teenida.

Edu saavutamiseks vajavad ründajad identimisteavet. Ründe ohvriks langenud identimisteave on nende rünnete jaoks nii oluline, et kui küberkurjategijad müüvad võrgujuurdepääsu, sisaldab hind sageli ka garanteeritud administraatorikontot.

See, mida kurjategija juurdepääsuga pärast selle saamist edasi teeb, võib juba väga suuresti varieeruda olenevalt ründajast ning kasutatavast lastist või motivatsioonist. Seetõttu võib esialgse juurdepääsu saamise ja ründaja tegeliku tegutsemise vahele jääv aeg ulatuda mõnest minutist mitme päevani või olla veelgi pikem, ent kui olud on ründaja jaoks sobivad, võib ta kahju tekitada jalustrabavalt kiiresti. Oleme näinud, kuidas esialgse juurdepääsu saamisest kulub täieliku lunarahanõude esitamiseni (sh juurdepääsu üleandmine juurdepääsumaaklerilt RaaS-i partnerile) vähem kui tund.

Kui ründaja on juba võrgule juurdepääsu saanud, ei soovi ta sealt niipea lahkuda – ka pärast lunaraha kättesaamist. Tegelikult ei pruugi lunaraha maksmine mõjutatud võrgus üldse riski vähendada. Pigem rahastab see lihtsalt küberkurjategijaid, kes jätkavad katseid rünnetega raha teenida, kasutades mõnda muud ründe- või lunavaralasti, seni, kuni nad välja visatakse.

Küberkuritegevuslikus majanduses ründajate vahel aset leidvad üleandmised tähendavad, et samas keskkonnas võib püsivalt tegutseda mitu rühmitust, kes kasutavad lunavararündes kasutatud tööriistadest erinevaid meetodeid. Nii võib pangandustroojani kaudu saadud esialgne juurdepääs viia Cobalt Strike’i juurutamiseni, kuid juurdepääsu ostnud RaaS-i partner võib kampaania korraldamiseks kasutada hoopis mõnda kaugpöördustööriista, näiteks TeamViewerit.

Võrgus püsimiseks sinna istutatud ründevara (nt Cobalt Strike’i) asemel tavapäraste tööriistade ja sätete kasutamine on lunavararündajate hulgas populaarne tehnika, kuna see võimaldab neil kauem tuvastamist vältida ja võrgus eluneda.

Populaarne ründetehnika on ka uute tagauksena toimivate kohalike või Active Directory kasutajakontode loomine, mille saab seejärel lisada kaugpöördusriistadesse, näiteks virtuaalsesse privaatvõrku (VPN) või kaugtöölauale. Oleme märganud sedagi, et lunavararündajad on süsteemides sätteid muutnud kaugtöölaua lubamiseks, protokolli turvalisuse vähendamiseks ja uute kasutajate lisamiseks kaugtöölaua kasutajate rühma.

Üks RaaS-i omadusi, mis teeb selle ohu nii murettekitavaks, on selle sõltuvus inimründajatest, kes oskavad teha teadlikke ja kaalutletud otsuseid ning ründemustreid varieerida olenevalt sellest, mida nad võrkudest leiavad, et oma eesmärgid kindlasti ellu viia.

Microsoftis võeti selle ründekategooria jaoks kasutusele inimjuhitava lunavara mõiste: see on tegevuste ahel, mis kulmineerub lunavaralastiga, mitte komplekt ründevaralaste, mida tuleb blokeerida.

Ehkki enamik esialgseid juurdepääsukampaaniaid kasutab automaatset luuret, muutub see kohe, kui rünne jõuab faasi, mida võiks tinglikult iseloomustada nimetusega „käed klaviatuuril“: ründajad kasutavad siis oma teadmisi ja oskusi keskkonnas leiduvate turbetoodete alistamiseks.

Kuna lunavararündajaid motiveerib lihtne tulu, on oluline turbe tugevdamise kaudu nende kulusid suurendada – see segab küberkurjategijate majandustegevust. Kui otsuseid teevad inimesed, tähendab see, et ka juhul, kui turbetooted tuvastavad konkreetse ründefaasi, ei õnnestu ründajat tingimata süsteemist täielikult välja visata ning kui turbemeetmed teda ei blokeeri, jätkab ründaja oma tegevust. Sageli juhtub, et kui viirusetõrjetarkvara tuvastab ja blokeerib mõne kindla tööriista või lasti, laseb ründaja lihtsalt käiku mõne muu tööriista või muudab lasti.

Samuti on ründajad teadlikud turbetoimingute keskuse (SOC) reageerimisaegadest ning tuvastustööriistade funktsioonidest ja piirangutest. Kui rünne jõuab varu- või varikoopiate kustutamise faasi, on lunavara käikulaskmiseni arvatavasti jäänud vaid mõni minut. Tõenäoliselt on ründaja selleks hetkeks juba teinud midagi kahjulikku, näiteks andmeid välja smugeldanud. See teadmine on lunavararündele reageerivate SOC-de jaoks äärmiselt oluline: ründava inimese ohjeldamiseks tuleb tuvastatud ründevara (nt Cobalt Strike) uurida veel enne lunavara kasutuselevõtu faasi ning kiired kahjutustamistoimingud ja intsidentidele reageerimise protseduurid on kriitilise tähtsusega.