Lunavara on tänapäeval kõige olulisem küberjulgeolekuoht, millega organisatsioonid silmitsi seisavad. Kuid hiljuti on nii riikliku julgeolekuagentuuri kui ka FBI juhid näitas, et rünnakud vähenesid 2022. aasta esimesel poolel. Venemaale, kust paljud küberkurjategijate jõugud pärinevad, kehtestatud sanktsioonid ja krüptovaluutaturgude krahh võisid avaldada mõju, muutes lunavaraga tegelevatel jõukudel raskeks raha hankida ja väljamakseid saada.
Kuid me pole veel metsast väljas. Vaatamata ajutisele langusele ei arene lunavara mitte ainult jõudsalt, vaid ka areneb. Tänapäeval on lunavara-teenusena (RaaS) arenenud kaubaks muudetud, automatiseeritud mudelist, mis tugineb pakendatud kasutuskomplektidele, inimeste juhitavaks, täpselt sihipäraseks ja keerukaks äritegevuseks. See on põhjus, miks igas suuruses ettevõtted muretsevad.
Saades RaaS
On laialt teada, et tänapäeva küberkurjategijad on hästi varustatud, väga motiveeritud ja väga tõhusad. Nad ei saanud nii juhuslikult ja nad pole nii tõhusad püsinud ilma pidevalt oma tehnoloogiaid ja metoodikat. Ainus püsiv on olnud tohutu rahalise kasu motivatsioon.
Varased lunavararünnakud olid lihtsad, tehnoloogiapõhised rünnakud. Rünnakud ajendasid suuremat tähelepanu varundamise ja taastamise võimalustele, mis pani vastased rünnaku ajal veebist varukoopiaid otsima ja neid ka krüpteerima. Ründaja edu tõi kaasa suuremad lunarahad ja suuremad lunarahanõuded muutsid vähem tõenäoliseks, et ohver maksab ja õiguskaitseorganite sekkumine oli tõenäolisem. Lunavarajõugud vastasid väljapressimisega. Nad läksid üle mitte ainult andmete krüpteerimisele, vaid ka eksfiltreerimisele ning ähvardades avalikustada ohvri klientide või partnerite sageli tundlikud andmed, mis tõi kaasa keerukama kaubamärgi- ja mainekahjustuse ohu. Tänapäeval ei ole ebatavaline, et lunavararündajad otsivad ohvri küberkindlustuspoliisi, et aidata määrata lunarahanõudlust ja muuta kogu protsess (sh maksmine) võimalikult tõhusaks.
Oleme näinud ka vähem distsiplineeritud (kuid sama kahju tekitavaid) lunavararünnakuid. Näiteks lunaraha maksmise valimine tuvastab ohvri ka tulevase rünnaku jaoks usaldusväärselt sobivaks, suurendades tõenäosust, et teda tabab uuesti sama või mõni muu lunavararühm. Uuringute hinnangud vahemikus 50% kuni 80% (PDF) lunaraha maksnud organisatsioonid kannatasid korduva rünnaku all.
Lunavararünnakute arenedes on arenenud ka turvatehnoloogiad, eriti ohtude tuvastamise ja blokeerimise valdkondades. Andmepüügivastased, rämpspostifiltrid, viirusetõrje ja pahavara tuvastamise tehnoloogiad on kõik nüüdisaegsete ohtudega tegelemiseks viimistletud, et minimeerida e-kirjade, pahatahtlike veebisaitide või muude populaarsete rünnakuvektorite kaudu saadava kompromissi oht.
See vanasõnaline "kassi ja hiire" mäng vastaste ja turvateenuste pakkujate vahel, mis pakub paremat kaitset ja keerukamaid lähenemisviise lunavararünnakute peatamiseks, on toonud kaasa rohkem koostööd ülemaailmsete küberkurjategijate ringkondades. Sarnaselt tavapärastes röövimistes kasutatavate seifikrakkerite ja häirespetsialistidega juhivad tänapäeva rünnete ja rünnakute eest vastutavad eksperdid pahavara arendamise, võrgule juurdepääsu ja ärakasutamise alal. lõi tingimused lunavara järgmiseks arenguks.
RaaS-i mudel täna
RaaS on arenenud keerukaks, inimeste juhitud toiminguks, millel on keeruline kasumi jagamise ärimudel. Varem iseseisvalt töötanud RaaS-i operaator sõlmib nüüd eduvõimaluste suurendamiseks lepinguid spetsialistidega.
RaaS-i operaator, kes haldab konkreetseid lunavaratööriistu, suhtleb ohvriga ja kindlustab maksed, töötab nüüd sageli koos kõrgetasemelise häkkeriga, kes teeb sissetungi ise. Interaktiivse ründaja olemasolu sihtkeskkonnas võimaldab rünnaku ajal reaalajas otsuseid teha. Koos töötades tuvastavad nad võrgus konkreetsed nõrkused, suurendavad privileege ja krüpteerivad väljamaksete tagamiseks kõige tundlikumad andmed. Lisaks viivad nad läbi luure, et leida ja kustutada võrgus tehtud varukoopiaid ning keelata turvatööriistad. Lepinguline häkker töötab sageli koos juurdepääsu vahendajaga, kes vastutab võrgule juurdepääsu tagamise eest varastatud mandaatide või juba olemasolevate püsivusmehhanismide kaudu.
Sellest ekspertide koostööst tulenevad rünnakud meenutavad ja näevad välja nagu "vanaaegsed", riiklikult toetatud arenenud püsivad ohulaadsed rünnakud, kuid need on palju levinumad.
Kuidas organisatsioonid saavad end kaitsta
Uus inimkäitav RaaS-i mudel on palju keerukam, sihipärasem ja hävitavam kui mineviku RaaS-i mudelid, kuid organisatsioonidel on endiselt parimaid tavasid, mida saavad enda kaitsmiseks järgida.
Organisatsioonid peavad olema oma turvahügieeni osas distsiplineeritud. IT muutub alati ja iga kord, kui lisatakse uus lõpp-punkt või süsteemi värskendatakse, võib see tuua kaasa uue haavatavuse või riski. Turvameeskonnad peavad jätkuvalt keskenduma turvalisuse parimatele tavadele: paikamine, mitmefaktorilise autentimise kasutamine, tugevate mandaatide jõustamine, Dark Web'i kontrollimine ohustatud mandaatide leidmiseks, töötajate koolitamine andmepüügikatsete tuvastamiseks ja palju muud. Need parimad tavad aitavad vähendada rünnaku pinda ja minimeerida riski, et juurdepääsuvahendaja saab sisenemiseks turvaauku ära kasutada. Lisaks, mida tugevam on organisatsiooni turvahügieen, seda vähem on analüütikute jaoks turvaoperatsioonide keskuses (SOC) toimingut läbi viidav müra, mis võimaldab neil keskenduda tegelikule ohule, kui see tuvastatakse.
Lisaks turvalisuse parimatele tavadele peavad organisatsioonid tagama ka täiustatud ohu tuvastamise ja reageerimise võimalused. Kuna juurdepääsumaaklerid kulutavad aega organisatsiooni infrastruktuuri luurele, on turvaanalüütikutel võimalus neid märgata ja rünnak selle varases staadiumis peatada – kuid ainult siis, kui neil on õiged tööriistad. Organisatsioonid peaksid otsima laiendatud tuvastus- ja reageerimislahendusi, mis suudavad tuvastada ja ristkorreleerida telemeetriat turvasündmustest nende lõpp-punktides, võrkudes, serverites, meili- ja pilvesüsteemides ning rakendustes. Samuti vajavad nad võimet reageerida kõikjal, kus rünnak tuvastatakse, et see kiiresti välja lülitada. Suurtel ettevõtetel võivad need võimalused olla oma SOC-sse sisse ehitatud, samas kui keskmise suurusega organisatsioonid võivad soovida kaaluda hallatud avastamise ja reageerimise mudelit ööpäevaringseks ohtude jälgimiseks ja reageerimiseks.
Vaatamata lunavararünnakute hiljutisele vähenemisele ei tohiks turvaspetsialistid oodata, et oht niipea välja sureb. RaaS areneb edasi, kus uusimad kohandused on asendatud uute lähenemisviisidega, mis on vastuseks küberturvalisuse uuendustele. Kuid keskendudes turvalisuse parimatele tavadele, mis on seotud peamiste ohtude ennetamise, avastamise ja reageerimise tehnoloogiatega, muutuvad organisatsioonid rünnakute suhtes vastupidavamaks.
