A zsarolóprogramok jelentik a legjelentősebb kiberbiztonsági fenyegetést, amellyel manapság a szervezetek szembesülnek. De mostanában a Nemzetbiztonsági Ügynökség és az FBI vezetői is jelezte, hogy a támadások csökkentek 2022 első felében. Az Oroszországgal szembeni szankciók, ahonnan sok kiberbűnöző banda származik, és a kriptovaluta piacok összeomlása hatással lehetett, megnehezítve a ransomware bandák számára a források kivonását és a kifizetések megszerzését.
De még nem értünk ki az erdőből. Az átmeneti zuhanás ellenére a ransomware nem csak virágzik, hanem fejlődik is. Mára a ransomware-as-a-service (RaaS) egy árucikké vált, automatizált modellből, amely előrecsomagolt exploit kitekre támaszkodik, ember által működtetett, célzott és kifinomult üzleti műveletté fejlődött. Ez ok arra, hogy bármilyen méretű vállalkozás aggódjon.
RaaS lesz
Köztudott, hogy a mai kiberbűnözők jól felszereltek, nagyon motiváltak és nagyon hatékonyak. Nem véletlenül lettek így, és folyamatos nélkül sem maradtak ilyen hatékonyak fejlesztik technológiáikat és módszereiket. A hatalmas anyagi haszon motivációja volt az egyetlen állandó.
A korai ransomware támadások egyszerű, technológia által vezérelt támadások voltak. A támadások fokozott figyelmet fordítottak a biztonsági mentési és visszaállítási képességekre, ami arra késztette az ellenfeleket, hogy online biztonsági másolatokat keressenek, és azokat is titkosították támadás során. A támadók sikere nagyobb váltságdíjhoz vezetett, és a nagyobb váltságdíjkövetelések miatt kevésbé valószínű, hogy az áldozat fizetni fog, és nagyobb valószínűséggel a bűnüldöző szervek is beavatkoznak. A Ransomware-bandák zsarolással válaszoltak. Áttértek nemcsak az adatok titkosítására, hanem a kiszűrésre és az áldozatok ügyfelei vagy partnerei gyakran érzékeny adatainak nyilvánosságra hozatalával fenyegetőzve, ami összetettebb márka- és hírnévkárosodást jelent. Ma már nem szokatlan, hogy a zsarolóvírus-támadók megkeresik az áldozat kiberbiztosítási kötvényét, hogy segítsenek meghatározni a váltságdíjat, és a teljes folyamatot (beleértve a fizetést is) a lehető leghatékonyabbá tegyék.
Láttunk már kevésbé fegyelmezett (de ugyanolyan káros) ransomware támadásokat is. Például a váltságdíj fizetésének választása az áldozatot egy jövőbeni támadásra is megbízhatóan alkalmas személyként azonosítja, növelve annak valószínűségét, hogy ugyanaz vagy egy másik ransomware banda ismét eltalálja. közötti kutatási becslések 50%-ról 80% (PDF) a váltságdíjat fizető szervezetek ismétlődő támadást szenvedtek el.
A ransomware támadások fejlődésével a biztonsági technológiák is fejlődtek, különösen a fenyegetések azonosítása és blokkolása terén. Az adathalászat elleni védelem, a spamszűrők, a víruskereső és a rosszindulatú programok észlelési technológiái mind úgy lettek finomhangolva, hogy kezeljék a modern fenyegetéseket, hogy minimálisra csökkentsék az e-maileken, rosszindulatú webhelyeken vagy más népszerű támadási vektorokon keresztül történő kompromittálás veszélyét.
Ez a közmondásos „macska és egér” játék az ellenfelek és a biztonsági szolgáltatók között, amelyek jobb védelmet és kifinomultabb megközelítéseket kínálnak a ransomware támadások megállítására, több együttműködést eredményezett a globális kiberbűnözők körében. Hasonlóan a hagyományos rablásoknál használt széffeltörőkhöz és riasztóspecialistákhoz, a rosszindulatú programok fejlesztésében, a hálózati hozzáférésben és a kizsákmányolásban szakértők irányítják a mai támadásokat és megteremtette a feltételeket a ransomware következő fejlődéséhez.
A RaaS modell ma
A RaaS egy kifinomult, ember által irányított műveletté fejlődött, összetett, profitmegosztó üzleti modellel. Egy RaaS-üzemeltető, aki korábban önállóan dolgozott, most szakértőkkel szerződik, hogy növelje a siker esélyeit.
A RaaS operátor – aki speciális ransomware eszközöket tart fenn, kommunikál az áldozattal és biztosítja a fizetéseket – most gyakran egy magas szintű hackerrel dolgozik együtt, aki maga hajtja végre a behatolást. Az interaktív támadó a célkörnyezeten belül lehetővé teszi az élő döntéshozatalt a támadás során. Együtt dolgozva azonosítják a hálózaton belüli konkrét gyengeségeket, kiterjesztik a jogosultságokat, és titkosítják a legérzékenyebb adatokat a kifizetések biztosítása érdekében. Ezenkívül felderítést végeznek az online biztonsági mentések megtalálása és törlése, valamint a biztonsági eszközök letiltása érdekében. A szerződött hacker gyakran egy hozzáférési közvetítővel dolgozik együtt, aki felelős a hálózathoz való hozzáférés biztosításáért az ellopott hitelesítő adatokon vagy a már működő perzisztencia mechanizmusokon keresztül.
A szakértelem ezen együttműködéséből származó támadások „régimódi”, államilag támogatott előrehaladott, tartós fenyegetés jellegű támadásoknak tűnnek, de sokkal elterjedtebbek.
Hogyan védhetik meg magukat a szervezetek
Az új, ember által működtetett RaaS-modell sokkal kifinomultabb, célzottabb és pusztítóbb, mint a múltbeli RaaS-modellek, de még mindig vannak bevált gyakorlatok, amelyeket a szervezetek követhetnek, hogy megvédjék magukat.
A szervezeteknek fegyelmezettnek kell lenniük biztonsági higiéniájuk tekintetében. Az IT folyamatosan változik, és bármikor új végpontot adnak hozzá, vagy egy rendszert frissítenek, új sérülékenységet vagy kockázatot jelenthet. A biztonsági csapatoknak továbbra is a bevált biztonsági gyakorlatokra kell összpontosítaniuk: javítás, többtényezős hitelesítés, erős hitelesítési adatok érvényesítése, a Sötét Web átvizsgálása a feltört hitelesítő adatok után, az alkalmazottak képzése az adathalász kísérletek észlelésére és egyebek. Ezek a legjobb gyakorlatok segítenek csökkenteni a támadási felületet és minimálisra csökkenti annak kockázatát, hogy egy hozzáférési közvetítő kihasználja a biztonsági rést a belépéshez. Ezenkívül minél erősebb biztonsági higiéniával rendelkezik egy szervezet, annál kevesebb „zaj” lesz az elemzőknek a biztonsági műveleti központban (SOC), amely lehetővé teszi számukra, hogy a valódi fenyegetésre összpontosítsanak, amikor azonosítják azt.
A legjobb biztonsági gyakorlatokon túl a szervezeteknek gondoskodniuk kell fejlett fenyegetésészlelési és reagálási képességeikről is. Mivel a hozzáférési brókerek időt töltenek a szervezet infrastruktúrájában végzett felderítéssel, a biztonsági elemzőknek lehetőségük van észrevenni őket, és megállítani a támadást annak korai szakaszában – de csak akkor, ha rendelkeznek a megfelelő eszközökkel. A szervezeteknek olyan kiterjesztett észlelési és válaszmegoldásokat kell keresniük, amelyek képesek észlelni és keresztkorrelálni a biztonsági események telemetriáját végpontjaikon, hálózataikon, szervereiken, e-mail- és felhőrendszereiken, valamint alkalmazásaikon. A gyors leállításhoz szükségük van arra is, hogy reagálni tudjanak bárhol, ahol a támadást azonosítják. A nagyvállalatok beépíthetik ezeket a képességeket SOC-jukba, míg a közepes méretű szervezetek megfontolhatják a menedzselt észlelési és reagálási modellt a 24 órás fenyegetésfigyelés és reagálás érdekében.
A ransomware támadások közelmúltbeli visszaesése ellenére a biztonsági szakemberek nem számíthatnak arra, hogy a fenyegetés egyhamar elmúlik. A RaaS tovább fog fejlődni, ahol a legújabb adaptációkat új megközelítések váltották fel a kiberbiztonsági innovációkra válaszul. A bevált biztonsági gyakorlatokra, valamint a legfontosabb fenyegetés-megelőzési, -észlelési és -reagálási technológiákra összpontosítva azonban a szervezetek ellenállóbbá válnak a támadásokkal szemben.
