مجرمان سایبری استراتژیک تر و حرفه ای تر می شوند باجافزار. آنها به طور فزایندهای در حال تقلید از نحوه عملکرد کسبوکارهای قانونی هستند، از جمله استفاده از زنجیره تامین رو به رشد جرایم سایبری به عنوان خدمات.
این مقاله چهار روند کلیدی باجافزار را توضیح میدهد و توصیههایی در مورد چگونگی جلوگیری از قربانی شدن این حملات جدید ارائه میدهد.
1. IABs در حال افزایش
جرایم سایبری سودآورتر می شود، همانطور که با رشد کارگزاران دسترسی اولیه (IABs) که در نفوذ به شرکت ها، سرقت اعتبار و فروش این دسترسی به مهاجمان دیگر تخصص دارند، مشهود است. IAB ها اولین حلقه در زنجیره کشتن جرایم سایبری به عنوان یک خدمت هستند، یک اقتصاد سایه از خدمات خارج از قفسه که هر جنایتکار احتمالی می تواند برای ساخت زنجیره های ابزار پیچیده برای اجرای تقریباً هر جرم دیجیتالی قابل تصوری خریداری کند.
مشتریان اصلی IAB ها اپراتورهای باج افزار هستند که مایلند برای دسترسی به قربانیان آماده هزینه بپردازند در حالی که تلاش های خود را بر اخاذی و بهبود بدافزار خود متمرکز می کنند.
در سال 2021، بیش از 1,300 لیست IAB در انجمنهای بزرگ جرایم سایبری که توسط مرکز اطلاعات سایبری KELA نظارت میشوند و تقریباً نیمی از آنها از 10 IAB هستند. در بیشتر موارد، قیمت دسترسی بین 1,000 تا 10,000 دلار بود و میانگین قیمت فروش آن 4,600 دلار بود. از بین همه پیشنهادات موجود، اعتبار VPN و دسترسی سرپرست دامنه از جمله آنها بود با ارزش ترین.
2. حملات بدون فایل زیر رادار پرواز می کنند
مجرمان سایبری با استفاده از روشهای زندگی در خارج از زمین (LotL) و بدون فایل برای افزایش شانس خود برای فرار از شناسایی و استقرار موفقیتآمیز باجافزار، از تهدیدهای دائمی پیشرفته (APT) و مهاجمان دولت-ملت سرنخ میگیرند.
این حملات از ابزارهای نرم افزاری قانونی و در دسترس عموم استفاده می کنند که اغلب در محیط هدف یافت می شوند. به عنوان مثال، 91٪ از باج افزار DarkSide طبق گفتهها، حملات شامل ابزارهای قانونی بوده و تنها 9 درصد از آنها از بدافزار استفاده میکنند گزارش توسط Picus Security. حملات دیگری نیز کشف شده است که 100% بدون فایل بودند.
به این ترتیب، عوامل تهدید با اجتناب از نشانگرهای "بد شناخته شده"، مانند نام فرآیند یا هش فایل، از شناسایی فرار می کنند. لیستهای Application-Allow، که استفاده از برنامههای کاربردی قابل اعتماد را مجاز میسازد، همچنین نمیتوانند کاربران مخرب را محدود کنند، بهویژه برای برنامههای همه جا حاضر.
3. گروههای باجافزاری که اهداف با مشخصات پایین را هدف قرار میدهند
مشخصات بالا خط لوله استعماری حمله باج افزار در می 2021 زیرساخت های حیاتی را به شدت تحت تاثیر قرار داد که باعث ایجاد یک حمله بین المللی و واکنش عالی دولت.
چنین حملات تیتربرانگیزی باعث بررسی دقیق و تلاش های هماهنگ توسط مجریان قانون و آژانس های دفاعی برای اقدام علیه اپراتورهای باج افزار می شود که منجر به اختلال در عملیات جنایی و همچنین دستگیری و پیگرد قانونی می شود. بیشتر مجرمان ترجیح می دهند فعالیت های خود را زیر رادار نگه دارند. با توجه به تعداد اهداف بالقوه، اپراتورها می توانند فرصت طلب باشند و در عین حال خطر برای عملیات خود را به حداقل برسانند. بازیگران باجافزار در هدفگیری قربانیان بسیار گزینشگرتر شدهاند، که توسط فیرموگرافی دقیق و دقیق ارائهشده توسط IABها فعال شده است.
4. خودی ها با یک تکه پای وسوسه می شوند
اپراتورهای باج افزار همچنین کشف کرده اند که می توانند کارمندان سرکش را برای کمک به دسترسی به آنها استخدام کنند. نرخ تبدیل ممکن است پایین باشد، اما بازده آن می تواند ارزش تلاش را داشته باشد.
A نظرسنجی توسط هیتاچی آیدی که بین 7 دسامبر 2021 و 4 ژانویه 2022 گرفته شد، مشخص شد که 65٪ از پاسخ دهندگان گفتند که عوامل تهدید با کارمندانشان تماس گرفته اند تا به آنها دسترسی اولیه را فراهم کنند. خودیهایی که طعمه را میگیرند دلایل مختلفی برای تمایل به خیانت به شرکتهای خود دارند، اگرچه نارضایتی از کارفرمای خود رایجترین انگیزه است.
به هر دلیلی، پیشنهادات ارائه شده توسط گروه های باج افزار می تواند وسوسه انگیز باشد. در نظرسنجی Hitachi ID، به 57 درصد از کارمندانی که با آنها تماس گرفته شد، کمتر از 500,000 دلار، 28 درصد بین 500,000 تا 1 میلیون دلار و 11 درصد بیش از 1 میلیون دلار پیشنهاد شد.
گام های عملی برای بهبود حفاظت
تاکتیکهای در حال تکاملی که در اینجا مورد بحث قرار میگیرند، تهدید اپراتورهای باجافزار را افزایش میدهند، اما اقداماتی وجود دارد که سازمانها میتوانند برای محافظت از خود بردارند:
- بهترین شیوه های اعتماد صفر را دنبال کنید، مانند احراز هویت چند عاملی (MFA) و دسترسی با حداقل امتیاز، برای محدود کردن تأثیر اعتبارنامه های به خطر افتاده و افزایش شانس تشخیص فعالیت غیرعادی.
- تمرکز بر کاهش تهدیدات داخلی، روشی که می تواند به محدود کردن اقدامات مخرب نه تنها توسط کارمندان، بلکه توسط بازیگران خارجی (که در نهایت به نظر می رسد زمانی که دسترسی پیدا کردند، خودی هستند) را محدود کند.
- انجام شکار تهدید به طور منظم، که می تواند به شناسایی حملات بدون فایل و عوامل تهدید کننده ای که برای فرار زودهنگام از دفاع شما کار می کنند کمک کند.
مهاجمان همیشه به دنبال راههای جدیدی برای نفوذ به سیستمهای سازمانها هستند و ترفندهای جدیدی که میبینیم مطمئناً به مزایای مجرمان سایبری نسبت به سازمانهایی که آمادگی حملات را ندارند میافزایند. با این حال، سازمان ها به دور از درماندگی هستند. با برداشتن گامهای عملی و اثباتشده در این مقاله، سازمانها میتوانند علیرغم مجموعهای از تاکتیکهای جدید، زندگی را برای IABها و گروههای باجافزار بسیار سخت کنند.