Trace Id is missing
Przejdź do głównej zawartości

Zarabianie na wymuszeniach

Biały labirynt z kolorowymi okręgami i kropkami

Cyber Signals, wydanie 2: Nowy model biznesowy oprogramowania wymuszającego okup

Choć oprogramowanie ransomware wciąż przykuwa dużą uwagę, tak naprawdę jest domeną stosunkowo niewielkiego środowiska działających w tym obszarze cyberprzestępców. W wyniku specjalizacji i konsolidacji gospodarki cyberprzestępstw dominujący stał się model oparty na oprogramowaniu ransomware jako usłudze, co pozwala coraz większej liczbie przestępców stosować takie oprogramowanie niezależnie od posiadanych umiejętności technicznych.
Ponad 80% ataków z użyciem oprogramowania ransomware wynika z typowych błędów konfiguracji oprogramowania i urządzeń.1

Zapoznaj się z naszym cyfrowym raportem Cyber Signals, w którym kierownik działu Microsoft Security prowadzi rozmowy z czołowymi ekspertami w dziedzinie analizy zagrożeń na temat gospodarki oprogramowania ransomware poświęcone metodom zwiększania bezpieczeństwa organizacji.

Raport cyfrowy: Ochrona przed oprogramowaniem ransomware

Nowy model biznesowy jako źródło informacji dla obrońców sieci

Podobnie do wielu firm, które przestawiają się obecnie na model pracy krótkoterminowej w celu zwiększenia wydajności, cyberprzestępcy wynajmują lub sprzedają swoje narzędzia ransomware za procent zysków zamiast przeprowadzać takie ataki samodzielnie.

Oprogramowanie ransomware jako usługa umożliwia cyberprzestępcom wykupienie udziału w ładunkach ransomware używanych lub dostępu do wykradzionych data lub infrastruktury płatności. „Gangi” używające oprogramowania ransomware to tak naprawdę programy RaaS, takie jak Conti lub REvil, używane przez wiele źródeł zagrożeń korzystających na przemian z programów lub ładunków RaaS.

RaaS obniża zmniejsza bariery dostępu do tego branży i pozwala ukryć tożsamość wymuszających okup atakujących. Niektóre programy obejmują ponad 50 „wspólników”, jak określani są ich użytkownicy, i korzystają z różnych narzędzi i zaawansowanych rozwiązań w różnych celach. Podobnie jak właściciel samochodu może zaoferować usługi transportowe na rynku współdzielenia pojazdów, tak każdy posiadacz laptopa i karty kredytowej może przedostać się do darknetu i znaleźć narzędzia do testów penetracyjnych lub gotowe złośliwe oprogramowanie, aby dołączyć do rynku cyberprzestępstw.

Industrializacja cyberprzestępstwa spowodowała powstanie nowych specjalistycznych ról, jak brokerzy sprzedający dostęp do sieci. Pojedynczy incydent naruszenia bezpieczeństwa sieci często odbywa się z udziałem kilku cyberprzestępców działających na różnym etapie ataku.

Zestawy RaaS są stosunkowo łatwo dostępne w darknecie i reklamuje się je tak samo, jak ma to miejsce w przypadku zwykłych artykułów sprzedawanych przez Internet.

Kompleksowe pakiety RaaS mogą nawet obejmować obsługę klienta, oferty łączone, recenzje użytkowników i inne funkcje. Niektórzy cyberprzestępcy wpłacają określoną kwotę za pakiet RaaS, podczas gdy inne grupy uczestniczą w sprzedaży pakietów RaaS według modelu partnerskiego w zamian za procent zysków.

Ataki z użyciem ransomware często wiążą się z decyzjami dotyczącymi konfiguracji sieci i przebiegają różnie dla każdej ofiary ataku, nawet jeśli ładunki ransomware są takie same. Oprogramowanie ransomware jest zwieńczeniem ataku, który może obejmować eksfiltrację danych lub inne działania. Ze względu na ściśle powiązania gospodarki cyberprzestępstw, niepowiązane ze sobą na pierwszy rzut oka ataki mogą nakładać się na siebie. Wykradające hasła i pliki cookie oprogramowanie traktuje się na ogół mniej poważnie, ale takie wykradzione hasła są następnie sprzedawane innym cyberprzestępcom, aby umożliwić dalsze ataki.

Ataki te zachodzą według pewnego wzorca: najpierw uzyskuje się dostęp przez zainstalowanie złośliwego oprogramowania lub wykorzystanie luki w zabezpieczeniach. Następnie następuje kradzież poświadczeń, które zwiększają uprawnienia dostępu, umożliwiając atakującym poziome poruszanie się po sieci. Industrializacja umożliwia wykonywanie dynamicznych, szeroko zakrojonych ataków z użyciem oprogramowania ransomware, także hakerom nieposiadającym zaawansowanych umiejętności. Po czasu likwidacji systemu Conti możemy zauważyć pewne zmiany w krajobrazie technik ransomware. Niektórzy korzystający z Conti cyberprzestępcy przeszli do wyłudzania korzyści poprzez stabilne ekosystemy RaaS, takie jak LockBit i Hive, podczas gdy inni korzystają z możliwości kilku ekosystemów RaaS jednocześnie.

Nowe programy RaaS, jak np. QuantumLocker i Black Basta, wypełniają próżnię powstałą po likwidacji Conti. Ponieważ większość znajdujących się w obiegu informacji dotyczących ransomware skupia się na ładunkach zamiast źródeł zagrożeń, uczestnictwo w kilku ładunkach ransomware może mylić organy rządowe, organy ścigania, media, a także specjalistów zajmujących się bezpieczeństwem i obrońców odnośnie faktycznego źródła ataku.

Zagrożenia ransomware mogą wydawać się problemem o stale rosnącej skali, ale w rzeczywistości źródłem zagrożenia jest określona liczba atakujących korzystająca ze stałego zestawu technik.

Rekomendacje:

  • Dbałość o higienę poświadczeń: opracowanie segmentację sieci logicznej w oparciu o uprawnienia, które można wdrożyć wraz z segmentacją sieci, aby ograniczyć ruchy poziome.
  • Kontrola stopnia zagrożenia poświadczeń: kontrola stopnia zagrożenia poświadczeń jest kluczowa w przeciwdziałaniu atakom ransomware i cyberprzestępstwom. Zespoły ds. bezpieczeństwa IT i SOC mogą współpracować, aby ograniczać uprawnienia administratora i wykryć poziom, na którym poświadczenia są najbardziej zagrożone.
  • Zmniejszenie obszaru podatnego na ataki: Należy ustanowić zasady zmniejszania obszaru podatnego na ataki, aby zapobiegać typowym atakom oprogramowania ransomware. W zaobserwowanych atakach grup związanych z oprogramowaniem ransomware organizacje posiadające jasno określone zasady były w stanie złagodzić ataki na ich początkowych etapach, jednocześnie zapobiegając działaniom z wykorzystaniem klawiatury.

Cyberprzestępcy poszerzają swój zestaw technik o podwójne wymuszenie

Oprogramowanie ransomware ma jeden cel: wymusić okup od ofiary. Większość obecnie używanych programów RaaS ma jednak jeszcze jedną funkcję: przekazanie danych innym. Takie działanie określa się jako podwójne wymuszenie. Ponieważ naruszenia sieci powodują reakcję, a organa rządowe coraz bardziej ograniczają możliwości działania operatorów oprogramowania ransomware, niektóre grupy rezygnują z nich, zamiast tego skupiając się na wyłudzaniu danych.

Dwie takie skupiające się na wyłudzaniu danych grupy to DEV-0537 (znana także jako LAPSUS$) oraz DEV-0390 (wcześniejsza grupa partnerska Conti). Działania DEV-0390’s rozpoczynają się od złośliwego oprogramowaniu, ale eksfiltracja danych i wymuszenie okupu odbywa się z użyciem legalnych narzędzi. Aby uzyskać i zachować dostęp do docelowej infrastruktury, grupy te stosują narzędzia do testów penetracyjnych, takie jak Cobalt Strike i Brute Ratel C4 oraz legalne narzędzie do zarządzania zdalnego Atera. Działania grupy DEV-0390 polegają na eskalacji uprawnień dostępu przez wykradanie poświadczeń, lokalizacji poufnych danych (często z korporacyjnych serwerów kopii zapasowych lub serwerów plików ), a następnie przesłaniu danych na stronę umożliwiającą udostępnianie plików w chmurze za pomocą narzędzi do tworzenia kopii zapasowej.

Grupa DEV-0537 korzysta z zupełnie różnej strategii i innych rozwiązań. Początkowy dostęp uzyskuje się przez wykupienie poświadczeń na rynku podziemnym lub od pracowników będących celem organizacji.

Problemy

  • Wykradzione hasła i niechronione tożsamości
    Do osiągnięcia swojego celu atakujący potrzebują poświadczeń bardziej niż złośliwego oprogramowania. W prawie wszystkich incydentach z użyciem oprogramowania ransomware atakujący zyskali dostęp do sieci organizacji, uzyskując dostęp do uprzywilejowanych kont z uprawnieniami administratora.
  • Brakujące lub wyłączone produkty zabezpieczające
    W przypadku prawie każdego zaobserwowanego incydentu z użyciem oprogramowania ransomware co najmniej jeden z naruszonych systemów nie posiadał produktów zabezpieczających lub były one nieprawidłowo skonfigurowane, co umożliwiło atakującym ingerencję w niektóre zabezpieczenia lub wyłączenie ich.
  • Nieprawidłowo skonfigurowane lub źle używane aplikacje
    Nawet jeśli aplikacja używana jest w jednym konkretnym celu, nie oznacza to, że przestępcy nie będą mogli użyć jej jako broni w innym. Bardzo często „starsza” konfiguracja oznacza, że dla aplikacji ustawiona jest domyślna konfiguracja, umożliwiająca każdemu użytkownikowi szeroki dostęp do sieci organizacji. Należy uwzględnić ten czynnik ryzyka i odpowiednio zmieniać ustawienia takich aplikacji, aby zapobiegać atakom.
  • Opóźnione instalowanie poprawek
    Poniższa wskazówka może brzmieć wyjątkowo banalnie, ale ma ogromne znaczenie: Najlepszym sposobem na zwiększenie odporności oprogramowania jest jego stałe aktualizowanie. Choć niektóre oparte na chmurze aplikacje aktualizują się bez ingerencji użytkownika, firmy powinny dbać o bieżącą instalację poprawek wydawanych przez producenta. W 2022 roku firma Microsoft zaobserwowała, kluczowe umożliwiające atak luki wciąż stanowią przestarzałe zabezpieczenia.
  • Wykradzione hasła i niechronione tożsamości
    Do osiągnięcia swojego celu atakujący potrzebują poświadczeń bardziej niż złośliwego oprogramowania. W prawie wszystkich incydentach z użyciem oprogramowania ransomware atakujący zyskali dostęp do sieci organizacji, uzyskując dostęp do uprzywilejowanych kont z uprawnieniami administratora.
  • Brakujące lub wyłączone produkty zabezpieczające
    W przypadku prawie każdego zaobserwowanego incydentu z użyciem oprogramowania ransomware co najmniej jeden z naruszonych systemów nie posiadał produktów zabezpieczających lub były one nieprawidłowo skonfigurowane, co umożliwiło atakującym ingerencję w niektóre zabezpieczenia lub wyłączenie ich.
  • Nieprawidłowo skonfigurowane lub źle używane aplikacje
    Nawet jeśli aplikacja używana jest w jednym konkretnym celu, nie oznacza to, że przestępcy nie będą mogli użyć jej jako broni w innym. Bardzo często „starsza” konfiguracja oznacza, że dla aplikacji ustawiona jest domyślna konfiguracja, umożliwiająca każdemu użytkownikowi szeroki dostęp do sieci organizacji. Należy uwzględnić ten czynnik ryzyka i odpowiednio zmieniać ustawienia takich aplikacji, aby zapobiegać atakom.
  • Opóźnione instalowanie poprawek
    Poniższa wskazówka może brzmieć wyjątkowo banalnie, ale ma ogromne znaczenie: Najlepszym sposobem na zwiększenie odporności oprogramowania jest jego stałe aktualizowanie. Choć niektóre oparte na chmurze aplikacje aktualizują się bez ingerencji użytkownika, firmy powinny dbać o bieżącą instalację poprawek wydawanych przez producenta. W 2022 roku firma Microsoft zaobserwowała, kluczowe umożliwiające atak luki wciąż stanowią przestarzałe zabezpieczenia.

Akcje

  • Uwierzytelnianie tożsamości Wymuszaj uwierzytelnianie wieloskładnikowe dla wszystkich kont, z priorytetem dla administratorów oraz innych istotnych ról. W przypadku pracy hybrydowej konieczny jest wymóg uwierzytelniania wieloskładnikowego dla wszystkich urządzeń i lokalizacji. Konieczne jest wdrożenie narzędzi uwierzytelniania bezhasłowego, np. klucza FIDO lub Microsoft Authenticator dla odpowiednich aplikacji.
  • Określanie martwych punktów
    Konieczne jest zainstalowanie produktów zabezpieczających odpowiednie obszary i regularne testowanie – tak jak instaluje się czujniki dymu w budynkach. Upewnij się, że zabezpieczenia mają ustawioną najbezpieczniejszą konfigurację, aby nie pozostawiać żadnego obszaru sieci bez ochrony.
  • Wzmacniaj zasoby widoczne z Internetu
    Rozważ usunięcie zduplikowanych lub nieużywanych aplikacji, aby wyeliminować niepewne lub nieużywane usługi. Kontroluj punkty dostępu programów pomocy zdalnej, takich jak TeamViewer. Takie punkty są bardzo często obiektem ataków w celu uzyskania szybkiego dostępu do laptopów.
  • Aktualizowanie systemów na bieżąco
    Inwentaryzacja oprogramowania powinna być stałym procesem. Monitoruj używane programy i przyznawaj odpowiedni priorytet ich zabezpieczeniu. Szybko wdrażaj poprawki i pilnuj aktualności wersji oprogramowania, aby ustalić obszary, dla których najkorzystniejsza byłaby migracja do chmury.

Ze względu na powiązania tożsamości i relacji zaufania w nowoczesnych ekosystemach technologicznych, częstym obiektem ataku stają się firmy świadczące usługi telekomunikacyjne, informatyczne oraz usługi wsparcia technicznego. Atakujący próbują wykorzystać dostęp takich organizacji do sieci partnerów lub dostawców. Ataki polegające na wyłudzeniu wskazują, że specjaliści w zakresie zabezpieczeń nie mogą skupiać się tylko na używanym na końcowych etapach ataków oprogramowaniu ransomware, ale także zwracać uwagę na eksfiltrację danych i ruchy poziome w sieci.

Jeśli źródło zagrożenia planuje wymusić od organizacji okup za zachowanie poufności danych, ładunek programu ransomware to najmniej znaczący i najmniej lukratywny element takiej strategii ataku. Ostateczna decyzja odnośnie wyboru narzędzia ataku należy do atakującego, ale oprogramowanie ransomware nie jest już dla źródeł zagrożenia tak znaczącym kluczem do osiągnięcia korzyści.

Choć oprogramowanie ransomware i podwójne wymuszenie można postrzegać jako nieuchronny efekt działań zaawansowanego ataku, tak naprawdę można ich uniknąć. Ponieważ atakujący często polegają na słabości zabezpieczeń, duże znaczenie mają inwestycje w higienę cybernetyczną.

Szeroki dostęp do danych firmy Microsoft pozwala nam uzyskać niepowtarzalny wgląd w aktywność źródeł zagrożeń. Nasz zespół ekspertów nie musi polegać na wpisach na forach lub wyciekach z czatów – analizujemy nowe taktyki oparte na oprogramowaniu ransomware i opracowujemy metody analizy zagrożeń, na których potem opieramy nasze rozwiązania w zakresie zabezpieczeń.

Zintegrowana ochrona przed zagrożeniami różnych urządzeń, tożsamości, aplikacji, danych poczty e-mail i chmury pozwalają nam identyfikować ataki, które w innych okolicznościach uznano by za pochodzące z kilku źródeł, podczas gdy w rzeczywistości ich sprawcami jest wąski krąg cyberprzestępców. Nasza składająca się z ekspertów w dziedzinie techniki, prawa i biznesu jednostka ds. przestępstw cyfrowych stale pracuje z organami ścigania, aby zapobiegać cyberprzestępstwom

Rekomendacje:

Wzmocnienie zabezpieczeń w chmurze: Atakujący wykorzystują także zasoby w chmurze, więc ważne jest zabezpieczenie takich zasobów i tożsamości, a także kont lokalnych. Zespoły ds. bezpieczeństwa powinny skupić się na wzmocnieniu infrastruktury zabezpieczeń tożsamości, uwierzytelniania wieloskładnikowego na wszystkich kontach oraz traktowaniu administratorów i administratorów-dzierżawców na tym samym poziomie bezpieczeństwa i z taką samą higieną poświadczeń, jak administratorów domeny.
Zapobieganie początkowemu dostępowi: Zapobiegaj wykonywaniu kodu przez stosowanie zarządzania makrami i skryptami oraz wdrożenie reguł zmniejszania obszaru podatnego na ataki.
Usuwanie martwych punktów bezpieczeństwa: Organizacje powinny weryfikować, czy ich narzędzia zabezpieczające są optymalnie skonfigurowane oraz przeprowadzać regularne skanowanie sieci, aby zapewnić, że produkt zabezpieczający chroni wszystkie systemy.

Szczegółowe rekomendacje firmy Microsoft można znaleźć w  https://go.microsoft.com/fwlink/?linkid=2262350.

Zapoznaj się ze spostrzeżeniami analityczki ds. analizy zagrożeń Emily Hacker dotyczącymi dotrzymywania kroku krajobrazowi oprogramowania ransomware jako usługi.

Jednostka firmy Microsoft ds. przestępstw cyfrowych (DCU):
Kierowała usunięciem ponad 531 000 różnych adresów URL służących do wyłudzania informacji i 5400 zestawów do wyłudzania informacji od lipca 2021 r. do czerwca 2022 r., co pozwoliło na identyfikację i usunięcie ponad 1400 kont e-mail rozsyłających złośliwe oprogramowanie wykorzystywane do kradzieży poświadczeń klientów.1
Zagrożenia poczty e-mail:
Mediana czasu potrzebnego atakującemu na uzyskanie dostępu do prywatnych danych użytkownika, który padł ofiarą wiadomości e-mail przesłanej w celu wyłudzenia informacji, wynosi 12 minut.1
Zagrożenia dla punktów końcowych:
Mediana czasu potrzebnego atakującemu, by mógł poruszać się poziomo po sieci firmowej po uzyskaniu dostępu przez urządzenie, wynosi 42 minuty.1
  1. [1]

    Metodologia: Na potrzeby danych migawki platformy firmy Microsoft, w tym Usłudze Defender oraz Azure Active Directory oraz nasza jednostka ds. przestępstw cyfrowych dostarczyły zanonimizowanych danych dotyczących aktywności zagrożeń, takich jak złośliwe konta e-mail, wiadomości e-mail służące do wyłudzania informacji oraz poruszanie się atakującego w sieciach. Dodatkowe wnioski wyciągnięto z 43 bilionów codziennych sygnałów dotyczących zabezpieczeń zebranych w całej firmie Microsoft, obejmujących chmurę, punkty końcowe, inteligentne urządzenia brzegowe, a także nasze zespoły ekspertów ds. naruszeń bezpieczeństwa oraz wykrywania zagrożeń i reagowania na nie.

Profil eksperta: Emily Hacker

Emily Hacker, analityczka zagrożeń, opowiada, jak jej zespół pozostaje na bieżąco ze zmianami zachodzącymi w krajobrazie oprogramowania ransomware jako usługi, i omawia środki podejmowane w celu wyłapania źródeł zagrożeń przed nastąpieniem wymuszenia.

Cyber Signals: numer 3: Rozwój Internetu rzeczy i zagrożenia dla technologii operacyjnej (OT)

Rosnący udział technologii IoT w obiegu zagraża technologii operacyjnej poprzez szereg potencjalnych luk w zabezpieczeniach i narażenie na źródła zagrożeń. Dowiedz się, jak chronić swoją organizację

Cyber Signals: Wydanie 1

Obsługa tożsamości to nowe pole bitwy. Uzyskaj szczegółowe informacje na temat ewoluujących cyberzagrożeń i tego, jakie kroki należy podjąć, aby lepiej chronić organizację.

Obserwuj rozwiązania zabezpieczające firmy Microsoft