Trace Id is missing

Ekonomija iznude

Preuzmi
Deljenje
Beli lavirint sa šarenim krugovima i tačkama

Drugo izdanje izveštaja „Cyber Signals“: Novi poslovni model ransomvera

Iako je ransomver i dalje tema koja privlači pažnju, na kraju postoji relativno mali, povezani ekosistem igrača koji pokreću ovaj sektor ekonomije kibernetičkog kriminala. Specijalizacija i konsolidacija ekonomije kibernetičkog kriminala podstakla je ransomver kao uslugu (RaaS) da postane dominantan poslovni model, omogućavajući širem spektru kriminalaca, bez obzira na njihovu tehničku stručnost, da implementiraju ransomver.
Preko 80 procenata napada ransomverom posledica su uobičajenih grešaka u konfiguraciji softvera i uređaja.1

Pogledajte digitalni brifing Cyber Signals na kojem Vasu Džakal, CVP Microsoft bezbednosti, intervjuiše vrhunske stručnjake za obaveštajne podatke o pretnjama o ekonomiji ransomvera i o tome kako organizacije mogu da se bolje zaštite.

Kratki digitalni izveštaj: Zaštitite se od ekonomije ransomvera

Novi poslovni model nudi nove uvide braniocima

Baš kao što su se mnoge industrije okrenule sezonskim radnicima zbog efikasnosti, kibernetički kriminalci iznajmljuju ili prodaju alatke za ransomver za deo profita, umesto da sami izvode napade.

Princip ransomver kao usluga omogućava kibernetičkim kriminalcima da kupe pristup korisnim podacima ransomvera i curenju podataka, kao i infrastrukturi plaćanja. Ransomver „bande“ su u stvarnosti RaaS programi, kao što su Conti ili REvil, koje koriste mnogi različiti akteri koji prelaze između RaaS programa i korisnih podataka.

RaaS smanjuje barijeru pri ulasku i prikriva identitet napadača koji stoje iza iznude. Neki programi imaju 50 i više „filijala“, jer se odnose na korisnike njihovih usluga, sa različitim alatkama, zanatima i ciljevima. Baš kao što svako ko ima automobil može da vozi za uslugu deljenja vožnje, svako sa laptopom i kreditnom karticom koji je voljan da pretražuje mračni veb u potrazi za alatkama za testiranje proboja ili spremnim malverom može da se pridruži ovoj ekonomiji.

Ova industrijalizacija kibernetičkog kriminala stvorila je specijalizovane uloge, poput posrednika pristupa koji prodaju pristup mrežama. Jedan kompromis često uključuje više kibernetičkih kriminalaca u različitim fazama upada.

RaaS komplete je lako pronaći na mračnom vebu i reklamiraju se na isti način na koji se roba oglašava na internetu.

RaaS komplet može uključivati korisničku podršku, paketne ponude, korisničke recenzije, forume i druge funkcije. Kibernetički kriminalci mogu da plate određenu cenu za RaaS komplet, dok druge grupe koje prodaju RaaS u okviru pridruženog modela uzimaju procenat profita.

Napadi ransomverom uključuju odluke zasnovane na konfiguraciji mreža i razlikuju se za svaku žrtvu čak i ako su korisni podaci ransomvera isti. Ransomver kulminira napadom koji može uključivati izvlačenje podataka i druge uticaje. Zbog međusobno povezane prirode kibernetičke kriminalne ekonomije, naizgled nepovezani upadi mogu se nadovezati jedni na druge. Malver Infostealer koji krade lozinke i kolačiće tretira se manje ozbiljno, ali kibernetički kriminalci prodaju te lozinke da bi omogućili druge napade.

Ti napadi prate šablon inicijalnog pristupa putem infekcije malverom ili iskorišćavanja ranjivosti, a zatim vrše krađu akreditiva da bi se povećale privilegije i omogućilo lateralno pomeranje. Industrijalizacija omogućava da napadači izvode uspešne i uticajne napade ransomverom bez sofisticiranosti ili naprednih veština. Od gašenja grupe Conti, primetili smo promene u pejzažu ransomvera. Neke podružnice koje su koristile Conti prešle su na korisne podatke iz uspostavljenih RaaS ekosistema kao što su LockBit i Hive, dok su druge istovremeno primenile korisne podatke iz više RaaS ekosistema.

Novi RaaS kao što su QuantumLocker i Black Basta popunjavaju vakuum koji je nastao nakon gašenja grupe Conti. Pošto se većina pokrivenosti ransomvera fokusira na nosioce umesto na aktere, ova promena korisnih podataka verovatno će zbuniti vlade, organe za sprovođenje zakona, medije, istraživače bezbednosti i branioce kad je reč o tome ko stoji iza napada.

Izveštavanje o ransomveru može izgledati kao beskrajan problem skaliranja; međutim, stvarnost čini konačan skup aktera koji koriste skup tehnika.

Preporuke:

  • Izgradite higijenu akreditiva: Razvijte logičku segmentaciju mreže zasnovanu na privilegijama koje se mogu primeniti zajedno sa segmentacijom mreže da biste ograničili lateralno pomeranje.
  • Nadzor izloženosti akreditiva: Revizija izloženosti akreditiva ključna je za sprečavanje napada ransomverom i kibernetičkog kriminala uopšte. IT bezbednosni timovi i SOC mogu da rade zajedno kako bi smanjili administrativne privilegije i razumeli nivo na kojem su njihovi akreditivi izloženi.
  • Smanjite površinu napada: Uspostavite pravila za smanjenje površine napada da biste sprečili uobičajene tehnike napada koje se koriste u napadima ransomverom. U uočenim napadima iz nekoliko grupa aktivnosti povezanih sa ransomverom, organizacije sa jasno definisanim pravilima uspele su da ublaže napade u njihovim početnim fazama, uz istovremeno sprečavanje nanošenja dalje štete iznutra.

Kibernetički kriminalci strategiji napada dodaju dvostruku iznudu

Ransomver postoji da bi iznudio plaćanje od žrtve. Većina aktuelnih RaaS programa takođe propušta ukradene podatke, što je poznato kao dvostruka iznuda. Kako prekidi izazivaju negativnu reakciju i raste vladino ometanje operatera ransomverom, neke grupe se odriču ransomvera i nastavljaju sa iznuđivanjem putem podataka.

Dve grupe usmerene na iznudu jesu DEV-0537 (odnosno LAPSUS$) i DEV-0390 (ranije podružnica grupe Conti). Upadi grupe DEV-0390 pokreću se malverom, ali koriste legitimne alatke za izvlačenje podataka i iznuđivanje plaćanja. Oni primenjuju alatke za testiranje prodora kao što su Cobalt Strike, Brute Ratel C4 i legitimni Atera, uslužni program za daljinsko upravljanje, kako bi zadržali pristup žrtvi. DEV-0390 će povećati privilegije krađom akreditiva, locirati osetljive podatke (često na korporativnim rezervnim kopijama i serverima datoteka) i poslati podatke na lokaciju za deljenje datoteka u oblaku koristeći uslužni program za pravljenje rezervnih kopija datoteka.

DEV-0537 koristi veoma drugačiju strategiju i zanat. Početni pristup se dobija kupovinom akreditiva u kriminalnom podzemlju ili od zaposlenih u ciljanim organizacijama.

Problemi

  • Ukradene lozinke i nezaštićeni identiteti
    Više od malvera, napadači moraju da imaju akreditive da bi uspeli. U skoro svim uspešnim primenama ransomvera, napadači dobijaju pristup privilegovanim nalozima na nivou administratora koji omogućavaju širok pristup mreži organizacije.
  • Bezbednosni proizvodi koji nedostaju ili su onemogućeni
    U skoro svakom uočenom incidentu vezanom za ransomver, najmanje jedan sistem eksploatisan u napadu nije imao ili je imao pogrešno konfigurisane bezbednosne proizvode koji su uljezima omogućili da menjaju ili onemoguće određene zaštite.
  • Pogrešno konfigurisane ili zloupotrebljene aplikacije
    Možete koristiti neku popularnu aplikaciju u jednu svrhu, ali to ne znači da kriminalci ne mogu da je iskoriste za drugi cilj. Prečesto „zastarele“ konfiguracije znače da je aplikacija u podrazumevanom stanju, omogućavajući svim korisnicima širok pristup u čitavoj organizaciji. Nemojte zanemariti ovaj rizik niti oklevati da promenite podešavanja aplikacije iz straha od prekida rada.
  • Spora primena zakrpa
    To je kliše, baš kao i da treba jesti povrće. Ali je i veoma važna činjenica: Najbolji način da ojačate softver jeste da ga redovno ažurirate. Dok se neke aplikacije zasnovane na oblaku ažuriraju bez akcije korisnika, kompanije moraju odmah da primene zakrpe drugih dobavljača. U 2022. Microsoft primećuje da su stare ranjivosti i dalje glavni pokretač napada.
  • Ukradene lozinke i nezaštićeni identiteti
    Više od malvera, napadači moraju da imaju akreditive da bi uspeli. U skoro svim uspešnim primenama ransomvera, napadači dobijaju pristup privilegovanim nalozima na nivou administratora koji omogućavaju širok pristup mreži organizacije.
  • Bezbednosni proizvodi koji nedostaju ili su onemogućeni
    U skoro svakom uočenom incidentu vezanom za ransomver, najmanje jedan sistem eksploatisan u napadu nije imao ili je imao pogrešno konfigurisane bezbednosne proizvode koji su uljezima omogućili da menjaju ili onemoguće određene zaštite.
  • Pogrešno konfigurisane ili zloupotrebljene aplikacije
    Možete koristiti neku popularnu aplikaciju u jednu svrhu, ali to ne znači da kriminalci ne mogu da je iskoriste za drugi cilj. Prečesto „zastarele“ konfiguracije znače da je aplikacija u podrazumevanom stanju, omogućavajući svim korisnicima širok pristup u čitavoj organizaciji. Nemojte zanemariti ovaj rizik niti oklevati da promenite podešavanja aplikacije iz straha od prekida rada.
  • Spora primena zakrpa
    To je kliše, baš kao i da treba jesti povrće. Ali je i veoma važna činjenica: Najbolji način da ojačate softver jeste da ga redovno ažurirate. Dok se neke aplikacije zasnovane na oblaku ažuriraju bez akcije korisnika, kompanije moraju odmah da primene zakrpe drugih dobavljača. U 2022. Microsoft primećuje da su stare ranjivosti i dalje glavni pokretač napada.

Radnje

  • Potvrda identiteta Primenite višestruku potvrdu identiteta (MFA) na svim nalozima, dajte prioritet administratorskim i drugim osetljivim ulogama. Sa hibridnom radnom snagom, zahtevajte MFA na svim uređajima, na svim lokacijama, u svakom trenutku. Omogućite potvrdu identiteta bez lozinke, kao što su FIDO ključevi ili Microsoft Authenticator za aplikacije koje to podržavaju.
  • Uklonite mrtve tačke na polju bezbednosti
    Kao i alarmi za dim, bezbednosni proizvodi moraju biti instalirani u ispravnim prostorima i često testirani. Proverite da li bezbednosne alatke rade u najbezbednijoj konfiguraciji i uverite se da nijedan deo mreže nije nezaštićen.
  • Ojačajte resurse okrenute internetu
    Razmislite o brisanju duplih ili nekorišćenih aplikacija da biste eliminisali rizične, nekorišćene usluge. Vodite računa o tome gde dozvoljavate aplikacije za daljinsku pomoć kao što je TeamViewer. Za njih je dobro poznato da su često na meti pretnji radi dobijanja ekspresnog pristupa laptop računarima.
  • Održavajte sisteme ažurnim
    Učinite inventar softvera stalnim procesom. Pratite šta radite i dajte prioritet podršci za ove proizvode. Iskoristite svoju sposobnost brze i konačne primene zakrpa da biste procenili kada je prelazak na usluge zasnovane na oblaku koristan.

Razumevajući međusobno povezanu prirodu identiteta i odnosa poverenja u modernim tehnološkim ekosistemima, oni ciljaju na telekomunikacije, tehnologiju, IT usluge i kompanije za podršku da bi iskoristili pristup iz jedne organizacije i ušli u mreže partnera ili dobavljača. Napadi samo putem iznude pokazuju da branioci mreže moraju da gledaju dalje od završnog ransomvera i da pažljivo prate izdvajanje podataka i lateralno kretanje.

Ako akter pretnje planira da iznudi organizaciji da zadrži svoje podatke u privatnosti, teret ransomvera je najmanje značajan i najmanje vredan deo strategije napada. Na kraju krajeva, operater ima izbor šta će da primeni, a ransomver nije uvek dovoljno isplativ da bi ga želeo svaki zlonamerni akter.

Iako ransomver ili dvostruka iznuda mogu izgledati kao neizbežan ishod napada sofisticiranog napadača, ransomver je katastrofa koja se može izbeći. Oslanjanje napadača na bezbednosne slabosti znači da ulaganja u kibernetičku higijenu mogu mnogo da znače.

Jedinstvena vidljivost kompanije Microsoft pruža nam uvid u aktivnosti zlonamernih aktera. Umesto da se oslanjaju na poruke na forumima ili curenja ćaskanja, naš tim stručnjaka za bezbednost proučava nove taktike ransomvera i razvija obaveštajne podatke o pretnjama na kojima zasnivamo svoja bezbednosna rešenja.

Integrisana zaštita od pretnji na uređajima, identitetima, aplikacijama, e-pošti, podacima i oblaku pomaže nam da identifikujemo napade koji bi bili označeni kao napadi višestrukih aktera, dok je u stvari u pitanju jedan skup kibernetičkih kriminalaca. Naša jedinica za digitalne zločine sačinjena od tehničkih, pravnih i poslovnih stručnjaka nastavlja da sarađuje sa organima za sprovođenje zakona na sprečavanju kibernetičkog kriminala

Preporuke:

Očvršćavanje oblaka: Kako se napadači kreću ka resursima u oblaku, važno je osigurati te resurse i identitete, kao i lokalne naloge. Bezbednosni timovi treba da se usredsrede na jačanje infrastrukture bezbednosnog identiteta, sprovođenje višestruke potvrde identiteta (MFA) na svim nalozima i tretiranje administratora u oblaku/zakupaca sa istim nivoom bezbednosti i higijene akreditiva kao i u slučaju administratora domena.
Sprečavanje inicijalnog pristupa: Sprečite izvršavanje koda upravljanjem makroima i skriptama i omogućavanjem pravila za smanjenje površine napada.
Zatvaranje mrtvih tačaka na polju bezbednosti: Organizacije treba da provere da li njihove bezbednosne alatke rade u optimalnoj konfiguraciji i da vrše redovna skeniranja mreže kako bi osigurali da bezbednosni proizvod štiti sve sisteme.

Microsoft ima detaljne preporuke:  https://go.microsoft.com/fwlink/?linkid=2262350.

Od analitičarke informacija o pretnjama Emili Haker saznajte više o tome kako njen tim ostaje u toku sa promenljivim ransomverom kao okruženjem na polju usluga.

Microsoft jedinica za digitalni kriminal (DCU):
Naložila je uklanjanje više od 531.000 jedinstvenih URL-ova za phishing i 5400 kompleta za phishing između jula 2021. i juna 2022, što je dovelo do uočavanja i zatvaranja više od 1400 zlonamernih naloga e-pošte koji su korišćeni za prikupljanje ukradenih akreditiva klijenata.1
Pretnje e-poštom:
Srednja vrednost vremena za napadača da pristupi vašim privatnim podacima ako postanete žrtva phishing e-pošte jedan je sat i 12 minuta.1
Pretnje u krajnjim tačkama:
Srednja vrednost vremena za napadača da počne da se kreće lateralno unutar vaše korporativne mreže ako je uređaj kompromitovan jedan je sat i 42 minuta.1
  1. [1]

    Metodologija: Za potrebe snimka, Microsoft platforme, uključujući Defender i Azure Active Directory, i naša jedinica za digitalne zločine obezbedile su anonimizovane podatke o aktivnostima pretnji, kao što su zlonamerni nalozi e-pošte, e-poruke za krađu identiteta i kretanje napadača unutar mreža. Dodatni uvidi proističu iz 43 triliona dnevnih bezbednosnih signala dobijenih širom korporacije Microsoft, uključujući oblak, krajnje tačke, inteligentnu lokaciju, kao i našu službu za uklanjanje bezbednosnih proboja i timove za otkrivanje i reagovanje.

Cyber Signals Kibernetička otpornost Ransomver Zlonamerni akteri

Profil stručnjaka: Emili Haker

Analitičarka informacija o pretnjama Emili Haker priča o tome kako njen tim drži korak sa promenljivim pejzažom ransomvera kao usluge i o merama koje preduzimaju da bi uhvatili pošiljaoce ransomvera pre slanja.
Saznajte više

Cyber Signals: Broj 3: Rastući IoT i rizik za operativne tehnologije

Sve veća cirkulacija na platformi internet stvari dovodi u opasnost operativne tehnologije nizom potencijalnih ranjivosti i izloženosti zlonamernim akterima. Saznajte kako da zaštitite organizaciju
Saznajte više

Cyber Signals: Prvo izdanje

Identitet je novo bojno polje. Steknite uvid u razvoj kibernetičkih pretnji i korake koje treba preduzeti za bolju zaštitu organizacije.
Saznajte više

Pratite Microsoft bezbednost