Küberkurjategijad muutuvad strateegilisemaks ja professionaalsemaks ransomware. Nad jäljendavad üha enam seaduslike ettevõtete toimimist, sealhulgas kasvavat küberkuritegevuse kui teenuse tarneahelat.
See artikkel kirjeldab nelja peamist lunavaratrendi ja annab nõuandeid, kuidas vältida nende uute rünnakute ohvriks langemist.
1. IAB-d tõusuteel
Küberkuritegevus on muutumas tulusamaks, mida tõendab ettevõtete sissemurdmisele, volikirjade varastamisele ja selle juurdepääsu teistele ründajatele müümisele spetsialiseerunud esialgsete juurdepääsuvahendajate (IAB-de) kasv. IAB-d on esimene lüli küberkuritegevuse kui teenuse tapmisahelas, mis on valmisteenuste varimajandus, mida iga võimalik kurjategija saab osta, et luua keerukaid tööriistakette peaaegu kõigi digitaalsete kuritegude toimepanemiseks.
IAB-de peamised kliendid on lunavaraoperaatorid, kes on valmis valmis ohvritele juurdepääsu eest maksma, kui nad keskenduvad oma jõupingutustele väljapressimisele ja pahavara täiustamisele.
2021. aastal oli neid rohkem kui 1,300 IAB kirjet suurematel küberkuritegevuse foorumitel, mida jälgib KELA küberluurekeskus, kusjuures peaaegu pooled pärineb kümnest IAB-st. Enamikul juhtudel oli juurdepääsu hind 10–1,000 10,000 dollarit, keskmine müügihind 4,600 dollarit. Kõigi saadaolevate pakkumiste hulgas olid VPN-i mandaadid ja domeeni administraatori juurdepääs kõige väärtuslikum.
2. Radari all lendavad failita rünnakud
Küberkurjategijad võtavad eeskuju arenenud püsivatest ohtudest (APT) ja rahvusriikide ründajatest, rakendades maavälise elu (LotL) ja failivaba tehnikat, et parandada oma võimalusi lunavara edukaks juurutamiseks avastamisest kõrvale hiilida.
Need rünnakud kasutavad legitiimseid, avalikult kättesaadavaid tarkvaratööriistu, mida sageli leidub sihtmärgi keskkonnas. Näiteks 91 protsenti DarkSide'i lunavara Rünnakud hõlmasid legitiimseid tööriistu ja ainult 9% kasutas pahavara aruanne Picus Security poolt. On avastatud ka teisi rünnakuid, mis olid 100% failita.
Nii väldivad ohutegijad tuvastamist, vältides "teadaolevaid halbu" näitajaid, nagu protsessinimed või failiräsi. Rakenduste lubade loendid, mis lubavad kasutada usaldusväärseid rakendusi, ei piira ka pahatahtlikke kasutajaid, eriti üldlevinud rakenduste puhul.
3. Lunavararühmad, mis sihivad madala profiiliga sihtmärke
Kõrge profiil Koloniaalne torujuhe lunavararünnak mais 2021 mõjutas kriitilist infrastruktuuri nii tõsiselt, et käivitas rahvusvahelise ja valitsuse kõrgeim reaktsioon.
Sellised pealkirju haaravad rünnakud ärgitavad õiguskaitse- ja kaitseasutuste kontrolli ja ühiseid jõupingutusi lunavaraoperaatorite vastu tegutsemiseks, mille tulemuseks on kuritegelike toimingute katkemine, samuti vahistamised ja vastutusele võtmine. Enamik kurjategijaid hoiaks oma tegevuse pigem radari all. Arvestades potentsiaalsete sihtmärkide arvu, saavad operaatorid endale lubada olla oportunistlikud, minimeerides samal ajal oma tegevusega seotud riski. Lunavarategijad on muutunud ohvrite sihtimisel palju selektiivsemaks, tänu IAB-de esitatud üksikasjalikule ja üksikasjalikule firmograafiale.
4. Insaiderid on kiusatud pirukatükiga
Lunavaraoperaatorid on ka avastanud, et nad saavad värvata petturitest töötajaid, et aidata neil juurdepääsu saada. Konversioonimäär võib olla madal, kuid tasu võib olla pingutust väärt.
A Hitachi ID küsitlus 7. detsembrist 2021 kuni 4. jaanuarini 2022 tehtud uuringus leiti, et 65% vastanutest ütles, et nende töötajate poole pöördusid ohustajad, et aidata neil esmast juurdepääsu pakkuda. Insaideril, kes õnge haarab, on erinevad põhjused, miks nad on valmis oma ettevõtet reetma, kuigi rahulolematus oma tööandjaga on kõige levinum motivaator.
Olenemata põhjusest, võivad lunavaragruppide pakkumised olla ahvatlevad. Hitachi ID uuringus pakuti 57%-le töötajatest, kellega ühendust võeti, vähem kui 500,000 28 dollarit, 500,000%-le 1 11 kuni 1 miljon dollarit ja XNUMX%-le rohkem kui miljon dollarit.
Praktilised sammud kaitse parandamiseks
Siin käsitletud arenevad taktikad suurendavad lunavaraoperaatorite ohtu, kuid organisatsioonid saavad enda kaitsmiseks astuda samme:
- Järgige null-usalduse parimaid tavasid, nagu mitmefaktoriline autentimine (MFA) ja vähima privileegiga juurdepääs, et piirata rikutud mandaatide mõju ja suurendada anomaalse tegevuse tuvastamise võimalust.
- Keskenduge siseringi ohtude leevendamisele, tava, mis võib aidata piirata mitte ainult töötajate, vaid ka väliste osalejate pahatahtlikke tegevusi (kes pärast juurdepääsu saamist näivad olevat siseringi).
- korraldada regulaarset ohujahti, mis aitab varakult tuvastada failita rünnakuid ja ohus osalejaid, kes püüavad teie kaitsemehhanismidest kõrvale hiilida.
Ründajad otsivad alati uusi viise, kuidas tungida organisatsioonide süsteemidesse ja uued nipid, mida me näeme, lisavad kindlasti eeliseid, mis küberkurjategijatel on võrreldes organisatsioonidega, mis pole rünnakuteks valmis. Organisatsioonid pole aga kaugeltki abitud. Selles artiklis kirjeldatud praktilisi ja tõestatud samme astudes võivad organisatsioonid IAB-de ja lunavaragruppide elu väga raskeks muuta, hoolimata nende uutest taktikatest.
