Економіка шантажу
Перегляньте цифровий брифінг Cyber Signals, під час якого Васу Джакал, корпоративний віце-президент із питань Захисного комплексу Microsoft, спілкується з провідними експертами з аналізу кіберзагроз про економіку зловмисних програм із вимогою викупу та про те, як організації можуть захистити себе від них.
Цифровий брифінг: як захиститися від зловмисних програм із вимогою викупу
Нова бізнес-модель створює нові можливості для спеціалістів із безпеки
Подібно до того, як у багатьох галузях із метою підвищення ефективності залучають позаштатних працівників, кіберзлочинці передають в оренду або продають свої інструменти для вимагання за частину прибутку, замість того, щоб організовувати атаки самостійно.
RaaS знижує поріг входу й приховує особистість зловмисників, які стоять за вимогами про викуп. Деякі програми мають понад 50 "афіліатів" (так називають користувачів відповідних послуг) з різними інструментами, методами торгівлі та цілями. Так само, як кожен, хто має автомобіль, може організовувати сумісні поїздки, будь-хто з ноутбуком і кредитною карткою здатен долучитися до цієї економіки – у даркнеті доступні інструменти для тестування на проникнення або готове шкідливе програмне забезпечення.
Вихід кіберзлочинності на промисловий рівень призвів до появи спеціалізованих ролей, таких як брокери доступу, які продають доступ до мереж. В одному проникненні часто беруть участь кілька кіберзлочинців на різних етапах атаки.
Набори RaaS легко знайти в даркнеті. Їх рекламують так само, як товари в Інтернеті.
Набір RaaS може включати підтримку клієнтів, пакетні пропозиції, відгуки користувачів, форуми та інші функції. Кіберзлочинці можуть платити встановлену ціну за набір RaaS, тоді як інші групи, що продають RaaS за партнерською моделлю, отримують відсоток від прибутку.
Атаки з використанням зловмисних програм із вимогою викупу передбачають прийняття рішень на основі конфігурацій мереж і відрізняються для кожної жертви, навіть якщо корисне навантаження залишається тим самим. Зловмисна програма з вимогою викупу є кульмінацією атаки, що може включати ексфільтрацію даних та інші наслідки. Через взаємопов’язану природу кіберзлочинної економіки, на перший погляд, не пов’язані між собою вторгнення можуть спиратися одне на одне. Шкідливе програмне забезпечення Infostealer, яке викрадає паролі та файли cookie, сприймається як менш небезпечне, однак кіберзлочинці продають отримані паролі, щоб створити можливості для інших атак.
Ці атаки відбуваються за шаблоном: отримання початкового доступу шляхом зараження шкідливим програмним забезпеченням або використання вразливостей, а потім крадіжка облікових даних для отримання привілеїв і подальшого просування вглиб системи. Вихід на промисловий рівень дає змогу зловмисникам, які не мають спеціальних знань і навичок, здійснювати масштабні та ефективні атаки з використанням програм із вимогою викупу. Після припинення діяльності Conti ми спостерігаємо зміни в методах роботи вимагачів. Деякі афіліати, які використовували рішення Conti, перейшли на корисне навантаження з відомих RaaS‑екосистем, таких як LockBit і Hive, тоді як інші одночасно розгортають корисне навантаження з кількох RaaS-екосистем.
Нові групи RaaS, такі як QuantumLocker і Black Basta, заповнюють вакуум, що утворився після ліквідації Conti. Оскільки в більшості випадків протидія зловмисним програмам із вимогою викупу зосереджена на корисному навантаженні, а не на виконавцях, перехід між корисними навантаженнями може заплутати уряди, правоохоронні органи, засоби масової інформації, дослідників безпеки та захисників щодо того, хто стоїть за атаками.
Під час дослідження використання зловмисних програм із вимогою викупу може здатися, що проблема має незліченну кількість рівнів, хоча насправді існує обмежена кількість суб’єктів, які використовують певний набір методів.
Рекомендації
- Створіть правила поводження з обліковими даними. Розробіть логічну сегментацію мережі на основі дозволів, яку можна реалізувати разом із сегментацією мережі, що обмежує бокове зміщення.
- Контролюйте вразливості облікових даних. Контроль уразливостей облікових даних є критично важливим для запобігання атакам зловмисних програм із вимогою викупу та кіберзлочинності в цілому. Команди ІТ-безпеки й ЦБ можуть працювати разом, щоб звузити права адміністратора та зрозуміти, на якому рівні облікові дані вразливі.
- Звузьте вектори атак. Установіть правила звуження векторів атак, щоб запобігти поширеним технічним прийомам, що застосовуються під час атак із використанням зловмисних програм із вимогою викупу. Під час помічених атак із боку кількох активних груп, пов’язаних зі зловмисними програмами з вимогою викупу, організації з чітко визначеними правилами змогли звести до мінімуму атаки на початкових етапах, запобігши безпосередньому доступу.
Кіберзлочинці додають подвійний викуп до стратегії атак
Зловмисні програми з вимогою викупу існують для того, щоб вимагати в жертви гроші. Більшість сучасних RaaS-програм також викачують викрадені дані, щоб вимагати подвійний викуп. Оскільки перебої в роботі викликають зворотну реакцію, а урядові заходи проти операторів зловмисних програм із вимогою викупу посилюються, деякі угруповання відмовляються від зловмисних програм із вимогою викупу й переходять до викрадення даних.
Двома групами, орієнтованими на викрадення даних із метою шантажу, є DEV-0537 (також відома як LAPSUS$) і DEV-0390 (колишній афіліат Conti). Учасники DEV-0390 ініціюють проникнення за допомогою шкідливого програмного забезпечення, але використовують легальні інструменти для перенесення даних і вимагання коштів. Вони розгортають інструменти для тестування на проникнення, такі як Cobalt Strike, Brute Ratel C4, і легальну утиліту для віддаленого керування Atera, щоб зберегти доступ до ресурсів жертви. Учасники групи DEV-0390 отримують права вищого рівня, викрадаючи облікові дані, знаходять конфіденційні дані (часто на корпоративних резервних і файлових серверах) та відправляють їх у хмарне сховище для обміну файлами за допомогою утиліти для резервного копіювання файлів.
Група DEV-0537 використовує зовсім іншу стратегію й методи роботи. Щоб отримати початковий доступ, зловмисники купують облікові дані у підпільних ділків або в співробітників організацій, у систему яких потрібно проникнути.
Проблеми
- Викрадені паролі та незахищені ідентичності
Щоб досягти успіху, крім шкідливого програмного забезпечення, зловмисникам потрібні облікові дані. Майже в усіх успішних випадках розгортання програм із вимогою викупу зловмисники отримують доступ до привілейованих адміністративних облікових записів, які надають широкий доступ до мережі організації. - Відсутні або деактивовані засоби захисту
Практично під час кожного дослідженого інциденту з використанням зловмисних програм із вимогою викупу принаймні в одній системі, яка зазнала злому, були відсутні засоби захисту або вони мали неправильні налаштування. Це дозволило зловмисникам обійти або вимкнути певні захисні механізми. - Неправильно налаштовані програми або програми, використані не за призначенням
Ви можете використовувати популярну програму з однією метою, але це не означає, що злочинці не можуть використати її з іншою. Дуже часто використання застарілих конфігурацій означає, що програма перебуває в стані за замовчуванням, завдяки чому будь-який користувач може отримати широкий доступ до ресурсів усієї організації. Не ігноруйте цей ризик і не відмовляйтеся змінювати налаштування програми, побоюючись збоїв. - Повільне виправлення помилок
Це кліше типу "Потрібно їсти овочі!". Але це дуже важливий факт: найкращий спосіб захистити програмне забезпечення – постійно оновлювати його. Хоча деякі хмарні програми оновлюються без участі користувача, виправлення від інших постачальників слід застосовувати негайно. У 2022 році спеціалісти корпорації Майкрософт помітили, що старі вразливості залишаються основною для здійснення атак. - Викрадені паролі та незахищені ідентичності
Щоб досягти успіху, крім шкідливого програмного забезпечення, зловмисникам потрібні облікові дані. Майже в усіх успішних випадках розгортання програм із вимогою викупу зловмисники отримують доступ до привілейованих адміністративних облікових записів, які надають широкий доступ до мережі організації. - Відсутні або деактивовані засоби захисту
Практично під час кожного дослідженого інциденту з використанням зловмисних програм із вимогою викупу принаймні в одній системі, яка зазнала злому, були відсутні засоби захисту або вони мали неправильні налаштування. Це дозволило зловмисникам обійти або вимкнути певні захисні механізми. - Неправильно налаштовані програми або програми, використані не за призначенням
Ви можете використовувати популярну програму з однією метою, але це не означає, що злочинці не можуть використати її з іншою. Дуже часто використання застарілих конфігурацій означає, що програма перебуває в стані за замовчуванням, завдяки чому будь-який користувач може отримати широкий доступ до ресурсів усієї організації. Не ігноруйте цей ризик і не відмовляйтеся змінювати налаштування програми, побоюючись збоїв. - Повільне виправлення помилок
Це кліше типу "Потрібно їсти овочі!". Але це дуже важливий факт: найкращий спосіб захистити програмне забезпечення – постійно оновлювати його. Хоча деякі хмарні програми оновлюються без участі користувача, виправлення від інших постачальників слід застосовувати негайно. У 2022 році спеціалісти корпорації Майкрософт помітили, що старі вразливості залишаються основною для здійснення атак.
Дії
- Упровадити автентифікацію ідентичностей Застосуйте багатофакторну автентифікацію (БФА) до всіх облікових записів, надаючи пріоритет адміністративним та іншим важливим ролям. У разі залучення гібридних працівників вимагайте проходження БФА на всіх пристроях, усюди й завжди. Використовуйте засоби безпарольної автентифікації, наприклад ключі FIDO або Microsoft Authenticator, для програм, які її підтримують.
- Усунути сліпі зони безпеки
Як і димові сигналізатори, засоби безпеки слід установлювати в правильних місцях та часто перевіряти. Переконайтеся, що для інструментів безпеки налаштовано найбезпечнішу конфігурацію, і що жодна частина мережі не є незахищеною. - Посилити захист ресурсів, до яких є доступ з Інтернету
Поміркуйте над видаленням дублюючих або невикористовуваних програм, щоб позбутися непотрібних служб, які становлять загрозу. Стежте за тим, де дозволено використовувати програми віддаленої допомоги, такі як TeamViewer. Вони, як відомо, є мішенню для зловмисників, які намагаються отримати швидкий доступ до ноутбуків. - Підтримувати актуальний стан систем
Проводьте безперервну інвентаризацію програмного забезпечення. Відстежуйте використовувані інструменти й визначайте пріоритетність їх підтримки. Використовуйте здатність швидко й безпомилково виправляти недоліки, щоб визначати перспективи переходу на хмарні служби.
Розуміючи взаємопов’язану природу ідентичностей і довірчих відносин у сучасних технологічних екосистемах, зловмисники націлюють свої атаки на компанії, що працюють у сферах телекомунікацій, технологій, ІТ-послуг і технічної підтримки, щоб скористатися доступом до однієї організації для проникнення в мережі партнерів або постачальників. Проникнення, орієнтовані виключно на шантаж, демонструють потребу уважно стежити за ексфільтрацією даних і боковим зміщенням небажаних гостей, а не сприймати розміщення зловмисної програми з вимогою викупу як кінцевий етап атаки.
Якщо зловмисник планує вимагати від організації викуп за збереження конфіденційності її даних, корисне навантаження зловмисної програми з вимогою викупу є найменш значущою і найменш цінною частиною стратегії атаки. Зрештою, оператор сам обирає, що саме розгортати, і успішне розміщення програми з вимогою викупу не завжди є тією великою винагородою, на яку розраховують зловмисники.
Хоча розміщення зловмисної програми з вимогою викупу або отримання подвійного викупу можуть здаватися неминучим результатом атаки досвідченого зловмисника, проникнення зловмисної програми з вимогою викупу можна уникнути. Оскільки зловмисники шукають слабкі місця в системі безпеки, інвестиції в кібергігієну набувають особливого значення.
Унікальна система спостереження Microsoft дає нам змогу аналізувати дії суб’єктів загроз. Замість того, щоб покладатися на дописи на форумах або повідомлення в чатах, наша команда експертів з безпеки вивчає нові тактики зловмисників-вимагачів і розробляє засоби аналізу загроз, які використовуються в наших рішеннях для захисту.
Інтегрований захист від загроз для пристроїв, ідентичностей, програм, електронної пошти, даних і хмарних середовищ допомагає нам виявляти атаки, які раніше вважалися такими, що здійснюються кількома суб’єктами, тоді як насправді за ними стоїть одна група кіберзлочинців. Наш підрозділ із боротьби з кіберзлочинами, до складу якого входять експерти з технічних, юридичних і комерційних питань, продовжує співпрацювати з правоохоронними органами для досягнення більших результатів.
Рекомендації
Докладні рекомендації від фахівців корпорації Майкрософт можна переглянути на сторінці https://go.microsoft.com/fwlink/?linkid=2262350.
Почуйте розповідь фахівчині з аналізу кіберзагроз Емілі Хекер про те, як її команда стежить за постійними змінами в середовищі зловмисних програм із вимогою викупу як послуги.
у період із червня 2021 року по липень 2022 очолив вилучення понад 531 000 унікальних фішингових URL-адрес і 5400 наборів для фішингу, що призвело до виявлення й закриття понад 1400 зловмисних облікових записів електронної пошти, які використовувалися для збору вкрадених облікових даних клієнтів1.
Середній час доступу зловмисника до ваших особистих даних, якщо ви стали жертвою фішингового листа, становить 1 годину 12 хвилин1.
Середній час, за який зловмисник може почати бокове зміщення в корпоративній мережі після злому пристрою, становить 1 годину 42 хвилини1.
- [1]
Методологія: Для даних знімка платформи Microsoft, включаючи Defender і Azure Active Directory, а також Підрозділ із боротьби з кіберзлочинами, надали анонімізовані дані щодо загроз, наприклад про зловмисні облікові записи електронної пошти, фішингові листи й активність злочинців у мережах. Додаткову аналітику отримано на основі 43 трильйонів щоденних сигналів безпеки із середовища Microsoft, зокрема хмари, кінцевих точок, а також за допомогою передових технологій і даних Команди експертів із порушень безпеки й Команди з виявлення та реагування.
Підпишіться на новини про Захисний комплекс Microsoft