Trace Id is missing
Перейти до основного
Security Insider

Зловмисні програми з вимогою викупу як послуга: новий тип кіберзлочинів в індустріальному світі

Дві накладені на лінію стрілки, які вказують одна на одну в різних напрямках

 Керовані атаки – нова модель, яка розширює та врізноманітнює можливості кіберзлочинців.

Зловмисні програми з вимогою викупу як одна з найбільш систематичних та поширених кіберзагроз продовжують розвиватися, і їх найновіші форми становлять нову загрозу для організацій у всьому світі. Розвиток зловмисних програм із вимогою викупу означає не застосування нових технологій, а появу економічної моделі RaaS.

Зловмисні програми з вимогою викупу як послуга (RaaS) – це домовленість між оператором, який розробляє та підтримує інструменти для шантажу, і партнером, який розгортає корисні дані зловмисної програми з вимогою викупу. Коли партнер здійснює успішну атаку й шантаж за допомогою зловмисної програми з вимогою викупу, обидві сторони отримують вигоду.

Модель RaaS знижує бар’єр проникнення для зловмисників, які можуть не мати навичок або технічних можливостей для розробки власних інструментів, однак здатні керувати готовими засобами пробного проникнення й системного адміністрування та здійснювати атаки. Ці злочинці нижчого рівня також можуть просто купити доступ до мережі у досвідченішої злочинної групи, яка вже порушила периметр.

Хоча партнери RaaS використовують корисні дані зловмисних програм із вимогою викупу, наданих досвідченішими операторами, вони не є членами однієї "банди" вимагачів. Навпаки, це розрізнені команди, що діють у межах усієї кіберзлочинної економіки.

Розширення можливостей кіберзлочинців і розвиток усієї кіберзлочинної економіки

Модель зловмисних програм із вимогою викупу як послуги сприяла швидкому вдосконаленню й індустріалізації досягнень менш здібних злочинців. У минулому ці менш досвідчені злочинці, можливо, здійснювали атаки обмеженого масштабу за допомогою створених власноруч або придбаних примітивних зловмисних програм, але тепер вони можуть отримати від операторів RaaS (звісно, за гроші) усе, що їм потрібно, – від мережевого доступу до корисних даних зловмисних програм із вимогою викупу. Багато програм RaaS додатково включають набір пропозицій для підтримки шантажу, зокрема розміщення сайтів із витоком даних, інтеграцію в нотатки про викуп, послуги з дешифрування, тиск на потенційних платників і транзакції в криптовалюті.

Це означає, що вплив успішної атаки й шантажу за допомогою зловмисної програми з вимогою викупу залишається незмінним незалежно від навичок зловмисника.

Виявлення й використання вразливостей мережі… за гроші

Один зі способів для операторів RaaS приносити користь своїм партнерам – надавати доступу до зламаних мереж. Брокери доступу сканують Інтернет на наявність уразливих систем, які вони можуть зламати й приберегти для отримання подальшого прибутку.

Щоб досягти успіху, зловмисникам потрібні облікові дані. Зламані облікові дані настільки важливі для цих атак, що коли кіберзлочинці продають доступ до мережі, у багатьох випадках ціна включає гарантований обліковий запис адміністратора.

Те, як злочинці використовують отриманий доступ, може сильно відрізнятися залежно від груп, їх завантаженості чи мотивації. Тож час між початковим доступом і розгортанням безпосереднього доступу може коливатися від хвилин до днів або довше, але коли дозволяють обставини, шкоду може бути завдано із шаленою швидкістю. Насправді було помічено, що час від початкового доступу до повного викупу (включно з передаванням від брокера доступу до партнера RaaS) займає менше ніж годину.

Підтримання економіки в русі – систематичні й приховані методи доступу

Щойно зловмисники отримують доступ до мережі, вони не хочуть її залишати, навіть після отримання викупу. Насправді сплата викупу може не зменшити ризик для враженої мережі та потенційно служить лише для фінансування кіберзлочинців, які й надалі намагатимуться монетизувати атаки за допомогою корисних даних різних зловмисних програм, зокрема з вимогою викупу, доки їх не позбавлять доступу.

Передавання доступу, помічене між різними зловмисниками під час перехідних періодів у кіберзлочинній економіці, означає, що в середовищі можуть діяти кілька активних груп, які застосовують різноманітні методи, відмінні від інструментів, задіяних в атаках зловмисних програм із вимогою викупу. Наприклад, початковий доступ, отриманий банківським трояном, призводить до розгортання Cobalt Strike, але партнер RaaS, який придбав доступ, може використовувати для керування своєю кампанією інструмент віддаленого доступу, такий як TeamViewer.

Використання законних інструментів і налаштувань (таких як Cobalt Strike) для протидії впровадженим зловмисним програмам є популярним серед зловмисників-вимагачів технічним прийомом, щоб уникнути виявлення й довше залишатися в мережі.

Інший популярний технічний прийом зловмисників полягає у створенні нових обхідних облікових записів користувачів (локальних або в Active Directory), які потім можна додати до інструментів віддаленого доступу, таких як віртуальна приватна мережа (VPN) або віддалений робочий стіл. Було помічено, що зловмисники-вимагачі також змінювали налаштування систем, щоб увімкнути віддалений робочий стіл, знизити безпеку протоколу та додати нових людей у групу користувачів віддаленого робочого столу.

Блок-схема, на якій пояснено, як плануються й реалізуються атаки

Протистояння найневловнішим і найхитрішим супротивникам у світі

Одна з особливостей RaaS, яка робить цю загрозу такою небезпечною: такі атаки ініціюють люди, здатні приймати обґрунтовані й виважені рішення, а також змінювати моделі атак залежно від інформації в мережах, у які вони проникають.

Корпорація Майкрософт використовує термін керована людиною зловмисна програма з вимогою викупу для цієї категорії атак. Цей термін означає послідовність дій, кульмінацією яких є розгортання й застосування зловмисної програми з вимогою викупу (а не набір зловмисних програм, які потрібно заблокувати).

Хоча більшість кампаній з отримання початкового доступу покладаються на автоматизовану інформаційну розвідку, щойно атака переходить у фазу безпосереднього доступу, зловмисники використовують свої знання й уміння, щоб спробувати подолати засоби безпеки в середовищі.

Зловмисники здійснюють атаки за допомогою програм із вимогою викупу, щоб отримати легкий прибуток. Тому збільшення їхніх витрат шляхом посилення безпеки – запорука руйнування кіберзлочинної економіки. Таке прийняття рішень людиною означає, що навіть якщо засоби безпеки виявлять певні етапи атаки, самі зловмисники не будуть повністю позбавлені доступу й намагатимуться продовжити, якщо їх не заблокує система безпеки. У багатьох випадках, якщо антивірусна програма виявляє та блокує інструмент або корисні дані, зловмисники просто беруть інший інструмент або змінюють корисні дані.

Зловмисники також знають про час реагування центру безпеки (ЦБ) і про можливості й обмеження засобів виявлення. На момент, коли атака дійде до етапу видалення резервних або тіньових копій, до розгортання зловмисної програми з вимогою викупу залишаться лічені хвилини. Зловмисник, імовірно, уже вчинив шкідливі дії, такі як ексфільтрація даних. Центрам безпеки, які реагують на зловмисні програми з вимогою викупу, важливо знати: дослідження виявлених порушень (наприклад, Cobalt Strike) до етапу розгортання зловмисної програми з вимогою викупу й швидке виконання виправних дій і процедур реагування на інциденти (IR) є критичними для стримування супротивника-людини.

Посилення захисту від загроз й зменшення кількості оповіщень

Довготривала стратегія захисту від рішучих супротивників-людей має включати цілі виявлення загроз і їх зведення до мінімуму. Недостатньо покладатися лише на виявлення, оскільки 1) деякі події проникнення практично неможливо виявити (вони виглядають як кілька дозволених дій) і 2) атаки зловмисних програм із вимогою викупу нерідко залишаються непоміченими через перевтому від оповіщень, що надходять від різних інструментів захисту.

Оскільки зловмисники мають багато способів обійти й вимкнути засоби безпеки та здатні імітувати доброчесну поведінку адміністратора, щоб якнайкраще злитися із середовищем, команди ІТ-безпеки й ЦБ мають доповнити свої зусилля з виявлення заходами з посилення захисту.

Зловмисники здійснюють атаки за допомогою програм із вимогою викупу, щоб отримати легкий прибуток. Тому збільшення їхніх витрат шляхом посилення безпеки – запорука руйнування кіберзлочинної економіки.

Нижче описано кілька дій, які допоможуть організаціям захиститися.

 

  • Створіть правила поводження з обліковими даними. Розробіть логічну сегментацію мережі на основі дозволів, яку можна реалізувати разом із сегментацією мережі, що обмежує бокове зміщення.
  • Контролюйте вразливості облікових даних. Контроль уразливостей облікових даних є критичним для запобігання атакам зловмисних програм із вимогою викупу й кіберзлочинності в цілому. Команди ІТ-безпеки й ЦБ можуть працювати разом, щоб звузити права адміністратора та зрозуміти, на якому рівні облікові дані вразливі.
  • Посильте захист хмари. Оскільки зловмисники намагаються отримати доступ до хмарних ресурсів, важливо захистити ці ресурси й ідентифікаційні дані, а також локальні облікові записи. Команди безпеки мають зосередитися на зміцненні інфраструктури ідентифікаторів безпеки, упровадивши багатофакторну автентифікацію (БФA) для всіх облікових записів і застосовуючи до адміністраторів хмар/осередків ті самі рівні безпеки та правила поводження з обліковими даними, що й до адміністраторів домену.
  • Закрийте сліпі зони безпеки. Щоб забезпечити захист усіх систем організації, слід подбати про оптимальні конфігурації відповідних засобів і регулярно перевіряти мережу.
  • Звузьте вектори атак. Установіть правила звуження векторів атак, щоб запобігти поширеним технічним прийомам, що застосовуються під час атак зловмисних програм із вимогою викупу. Під час помічених атак із боку кількох активних груп, пов’язаних зі зловмисними програмами з вимогою викупу, організації з чітко визначеними правилами змогли звести до мінімуму атаки на початкових етапах, запобігши безпосередньому доступу.
  • Оцініть периметр. Організації мають визначити й захистити системи периметра, які зловмисники можуть використовувати для доступу до мережі. Для доповнення даних можна використовувати загальнодоступні інтерфейси сканування.
  • Посильте захист ресурсів, до яких є доступ з Інтернету. Зловмисники-вимагачі та брокери доступу використовують уже розкриті невиправлені вразливості й загрози нульового дня, особливо на початковому етапі доступу. Також вони швидко реагують на нові вразливості. Щоб зменшити ризик, організації можуть виявляти, класифікувати та виправляти вразливості й неправильні конфігурації за допомогою функцій керування загрозами та вразливостями в засобах протидії загрозам у кінцевих точках.
  • Підготуйтеся до відновлення. Найкращий захист від зловмисних програм із вимогою викупу має включати плани швидкого відновлення в разі атаки. Відновлення після атаки обійдеться дешевше, ніж сплата викупу, тому обов’язково регулярно створюйте резервні копії критично важливих систем і захищайте ці копії від навмисного стирання й шифрування. Якщо можливо, зберігайте резервні копії в незмінному онлайн-сховищі, повністю автономно або за межами організації.
  • Додатково захищайтеся від атак зловмисних програм із вимогою викупу. Багатогранна загроза нової економіки зловмисних програм із вимогою викупу й невловима природа керованих людьми атак вимагають від організацій комплексного підходу до безпеки.

Описані вище дії допомагають захиститися від поширених моделей атак і значною мірою запобігти атакам зловмисних програм із вимогою викупу. Щоб посилити захист від традиційних і керованих людиною зловмисних програм із вимогою викупу та інших загроз, використовуйте засоби безпеки з глибокою міждоменною видимістю й уніфікованими можливостями розслідування.

Щоб дізнатися більше про зловмисні програми з вимогою викупу й отримати підказки та практичні поради щодо попередження, виявлення й усунення загроз, перегляньте статтю Захист організації від зловмисних програм із вимогою викупу. А докладнішу інформацію про керовані людиною зловмисні програми з вимогою викупу читайте в статті старшого дослідника з безпеки Джесіки Пейн Зловмисні програми з вимогою викупу як послуга: розуміння кіберзлочинної економіки та способів захисту.

Пов’язані статті

Cyber Signals, випуск 2: економіка шантажу

Дізнайтеся від провідних експертів про розвиток зловмисних програм із вимогою викупу як послуги. Від програм і корисних відомостей до доступу до брокерів і партнерів — дізнайтеся більше про інструменти, методи й цілі кіберзлочинців і отримайте допомогу із захистом вашої організації.

Експерт: Нік Карр

Керівник групи з питань аналізу кіберзлочинів Центру аналізу загроз Microsoft Нік Карр обговорює тенденції зловмисних програм із вимогою викупу, пояснює, як корпорація Майкрософт захищає клієнтів від них, а також описує можливі дії організацій у разі, якщо вони постраждали від таких атак.

Захист організації від зловмисних програм із вимогою викупу

Дізнайтеся більше про хакерів, які виконують операції зі зловмисними програмами з вимогою викупу в межах тіньової економіки. Ми допоможемо вам зрозуміти цілі й механізми атак зловмисних програм із вимогою викупу та надамо практичні поради щодо захисту від них, а також щодо резервного копіювання й відновлення файлів.