Πώς να αποφύγετε νέες τακτικές Ransomware

Οι εγκληματίες του κυβερνοχώρου γίνονται πιο στρατηγικοί και επαγγελματικοί ransomware. Μιμούνται όλο και περισσότερο τον τρόπο με τον οποίο λειτουργούν οι νόμιμες επιχειρήσεις, συμπεριλαμβανομένης της μόχλευσης μιας αυξανόμενης αλυσίδας εφοδιασμού για το έγκλημα στον κυβερνοχώρο ως υπηρεσία.

Αυτό το άρθρο περιγράφει τέσσερις βασικές τάσεις ransomware και παρέχει συμβουλές για το πώς να αποφύγετε να πέσετε θύματα αυτών των νέων επιθέσεων. 

1. Τα IAB σε άνοδο

Το έγκλημα στον κυβερνοχώρο γίνεται πιο κερδοφόρο, όπως αποδεικνύεται από την ανάπτυξη των μεσιτών αρχικής πρόσβασης (IAB) που ειδικεύονται στην παραβίαση εταιρειών, την κλοπή διαπιστευτηρίων και την πώληση αυτής της πρόσβασης σε άλλους εισβολείς. Τα IAB είναι ο πρώτος κρίκος στην αλυσίδα θανάτωσης του εγκλήματος στον κυβερνοχώρο ως υπηρεσία, μια παραοικονομία υπηρεσιών που μπορεί να αγοράσει κάθε επίδοξος εγκληματίας για να κατασκευάσει εξελιγμένες αλυσίδες εργαλείων για την εκτέλεση σχεδόν οποιασδήποτε ψηφιακής παράβασης μπορεί να φανταστεί κανείς.

Οι κορυφαίοι πελάτες των IAB είναι χειριστές ransomware, οι οποίοι είναι πρόθυμοι να πληρώσουν για την πρόσβαση σε έτοιμα θύματα, ενώ εστιάζουν τις δικές τους προσπάθειες στον εκβιασμό και τη βελτίωση του κακόβουλου λογισμικού τους.

Το 2021, υπήρχαν περισσότερα από 1,300 καταχωρήσεις IAB σε μεγάλα φόρουμ για το έγκλημα στον κυβερνοχώρο που παρακολουθούνται από το KELA Cyber ​​Intelligence Center, με σχεδόν τα μισά να προέρχονται από 10 IAB. Στις περισσότερες περιπτώσεις, η τιμή πρόσβασης ήταν μεταξύ 1,000 και 10,000 $, με μέση τιμή πώλησης 4,600 $. Μεταξύ όλων των διαθέσιμων προσφορών, ήταν τα διαπιστευτήρια VPN και η πρόσβαση διαχειριστή τομέα το πολυτιμότερο.

2. Οι επιθέσεις χωρίς αρχεία πετούν κάτω από το ραντάρ

Οι εγκληματίες του κυβερνοχώρου παίρνουν το σύνθημα από την προηγμένη επίμονη απειλή (APT) και τους εισβολείς εθνικών κρατών, χρησιμοποιώντας τεχνικές που ζουν εκτός της γης (LotL) και χωρίς αρχεία για να βελτιώσουν τις πιθανότητές τους να αποφύγουν τον εντοπισμό για να αναπτύξουν επιτυχώς ransomware.

Αυτές οι επιθέσεις αξιοποιούν νόμιμα, δημόσια διαθέσιμα εργαλεία λογισμικού που βρίσκονται συχνά στο περιβάλλον ενός στόχου. Για παράδειγμα, το 91% των Το ransomware DarkSide Οι επιθέσεις αφορούσαν νόμιμα εργαλεία, με μόνο το 9% να χρησιμοποιεί κακόβουλο λογισμικό, σύμφωνα με να αναφέρουν από την Picus Security. Ανακαλύφθηκαν και άλλες επιθέσεις που ήταν 100% χωρίς αρχεία.

Με αυτόν τον τρόπο, οι φορείς απειλών αποφεύγουν τον εντοπισμό αποφεύγοντας «γνωστούς κακούς» δείκτες, όπως ονόματα διεργασιών ή κατακερματισμούς αρχείων. Οι λίστες Application-Allow, που επιτρέπουν τη χρήση αξιόπιστων εφαρμογών, αποτυγχάνουν επίσης να περιορίσουν τους κακόβουλους χρήστες, ειδικά για τις πανταχού παρούσες εφαρμογές. 

3. Ομάδες Ransomware που στοχεύουν στόχους χαμηλού προφίλ

Το υψηλού προφίλ Αποικιακός αγωγός Η επίθεση ransomware τον Μάιο του 2021 επηρέασε κρίσιμες υποδομές τόσο σοβαρά που πυροδότησε μια διεθνή και η κορυφαία κυβερνητική απάντηση.

Τέτοιες επιθέσεις άρπαξαν πρωτοσέλιδο οδηγούν τον έλεγχο και τις συντονισμένες προσπάθειες από τις υπηρεσίες επιβολής του νόμου και τις υπηρεσίες άμυνας για δράση κατά των χειριστών ransomware, οδηγώντας στη διακοπή εγκληματικών επιχειρήσεων, καθώς και σε συλλήψεις και διώξεις. Οι περισσότεροι εγκληματίες προτιμούν να κρατούν τις δραστηριότητές τους υπό το ραντάρ. Δεδομένου του αριθμού των πιθανών στόχων, οι φορείς εκμετάλλευσης έχουν την πολυτέλεια να είναι ευκαιριακές, ελαχιστοποιώντας παράλληλα τον κίνδυνο για τις δικές τους δραστηριότητες. Οι φορείς ransomware έχουν γίνει πολύ πιο επιλεκτικοί στη στόχευση των θυμάτων, κάτι που επιτρέπονται από τα λεπτομερή και αναλυτικά γραφικά που παρέχονται από τα IAB.

4. Οι μυημένοι σε πειρασμό με ένα κομμάτι της πίτας

Οι χειριστές ransomware ανακάλυψαν επίσης ότι μπορούν να στρατολογήσουν απατεώνες υπαλλήλους για να τους βοηθήσουν να αποκτήσουν πρόσβαση. Το ποσοστό μετατροπής μπορεί να είναι χαμηλό, αλλά η ανταμοιβή μπορεί να αξίζει τον κόπο.

A έρευνα από την Hitachi ID που ελήφθη από τις 7 Δεκεμβρίου 2021 έως τις 4 Ιανουαρίου 2022, διαπιστώθηκε ότι το 65% των ερωτηθέντων είπε ότι οι υπάλληλοί τους είχαν προσεγγιστεί από παράγοντες απειλών για να βοηθήσουν στην παροχή αρχικής πρόσβασης. Οι μυημένοι που δέχονται το δόλωμα έχουν διαφορετικούς λόγους για να είναι πρόθυμοι να προδώσουν τις εταιρείες τους, αν και η δυσαρέσκεια με τον εργοδότη τους είναι το πιο κοινό κίνητρο.

Όποιος κι αν είναι ο λόγος, οι προσφορές που γίνονται από ομάδες ransomware μπορεί να είναι δελεαστικές. Στην έρευνα της Hitachi ID, στο 57% των εργαζομένων με τους οποίους ήρθαν σε επαφή προσφέρθηκαν λιγότερα από 500,000 $, στο 28% προσφέρθηκαν μεταξύ 500,000 και 1 εκατομμύριο $ και στο 11% προσφέρθηκαν περισσότερα από 1 εκατομμύριο $.

Πρακτικά βήματα για τη βελτίωση της προστασίας

Οι εξελισσόμενες τακτικές που συζητούνται εδώ αυξάνουν την απειλή των χειριστών ransomware, αλλά υπάρχουν βήματα που μπορούν να λάβουν οι οργανισμοί για να προστατευθούν:

• Ακολουθήστε τις βέλτιστες πρακτικές μηδενικής εμπιστοσύνης, όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) και η πρόσβαση ελάχιστων προνομίων, για να περιοριστεί ο αντίκτυπος των παραβιασμένων διαπιστευτηρίων και να αυξηθεί η πιθανότητα ανίχνευσης ανώμαλης δραστηριότητας.
• Εστίαση στον μετριασμό των εσωτερικών απειλών, μια πρακτική που μπορεί να βοηθήσει στον περιορισμό των κακόβουλων ενεργειών όχι μόνο από υπαλλήλους αλλά και από εξωτερικούς παράγοντες (οι οποίοι, σε τελική ανάλυση, φαίνονται να είναι εμπιστευτικοί όταν αποκτήσουν πρόσβαση).
  
• Διεξάγετε τακτικό κυνήγι απειλών, που μπορεί να βοηθήσει στην ανίχνευση επιθέσεων χωρίς αρχεία και απειλών που εργάζονται για να αποφύγουν έγκαιρα τις άμυνές σας.

Οι επιτιθέμενοι αναζητούν πάντα νέους τρόπους διείσδυσης στα συστήματα των οργανισμών και τα νέα τεχνάσματα που βλέπουμε σίγουρα προσθέτουν στα πλεονεκτήματα των εγκληματιών του κυβερνοχώρου έναντι των οργανισμών που είναι απροετοίμαστοι για επιθέσεις. Ωστόσο, οι οργανισμοί δεν είναι καθόλου αβοήθητοι. Λαμβάνοντας τα πρακτικά και αποδεδειγμένα βήματα που περιγράφονται σε αυτό το άρθρο, οι οργανισμοί μπορούν να κάνουν τη ζωή πολύ δύσκολη για τα IAB και τις ομάδες ransomware, παρά τη νέα σειρά τακτικών τους.