Jak uniknąć nowych taktyk ransomware

Cyberprzestępcy podchodzą coraz bardziej strategicznie i profesjonalnie ransomware. Coraz częściej naśladują sposób działania legalnych firm, w tym wykorzystują rosnący łańcuch dostaw cyberprzestępczości jako usługi.

W tym artykule opisano cztery kluczowe trendy związane z oprogramowaniem ransomware i przedstawiono porady, jak uniknąć stania się ofiarą tych nowych ataków. 

1. IAB rośnie w siłę

Cyberprzestępczość staje się coraz bardziej opłacalna, o czym świadczy rozwój brokerów pierwszego dostępu (IAB), którzy specjalizują się w włamaniach do firm, kradzieży danych uwierzytelniających i sprzedawaniu dostępu innym atakującym. Organizacje IAB są pierwszym ogniwem w łańcuchu zabijania cyberprzestępczości jako usługi, szarej strefie obejmującej gotowe usługi, które każdy potencjalny przestępca może kupić w celu tworzenia wyrafinowanych łańcuchów narzędzi umożliwiających dokonanie niemal każdego przestępstwa cyfrowego, jakie można sobie wyobrazić.

Głównymi klientami IAB są operatorzy oprogramowania ransomware, którzy są gotowi zapłacić za dostęp do gotowych ofiar, jednocześnie skupiając własne wysiłki na wyłudzaniu i ulepszaniu swojego szkodliwego oprogramowania.

W 2021 roku było ich już ponad 1,300 wpisów IAB na głównych forach poświęconych cyberprzestępczości monitorowanych przez Centrum Wywiadu Cybernetycznego KELA, z czego prawie połowa pochodzi z 10 IAB. W większości przypadków cena dostępu wahała się od 1,000 do 10,000 4,600 dolarów, a średnia cena sprzedaży wynosiła XNUMX dolarów. Spośród wszystkich dostępnych ofert znalazły się poświadczenia VPN i dostęp administratora domeny najbardziej wartościowy.

2. Ataki bezplikowe przemykają pod radarem

Cyberprzestępcy czerpią przykład z zaawansowanych trwałych zagrożeń (APT) i ataków na państwa narodowe, stosując techniki życia poza ziemią (LotL) i techniki bezplikowe, aby zwiększyć swoje szanse na uniknięcie wykrycia i pomyślne wdrożenie oprogramowania ransomware.

Ataki te wykorzystują legalne, publicznie dostępne narzędzia programowe, które często znajdują się w środowisku celu. Na przykład 91 proc Oprogramowanie ransomware DarkSide Według nich ataki wykorzystywały legalne narzędzia, a tylko 9% z nich korzystało z złośliwego oprogramowania zgłosić przez Picus Security. Odkryto inne ataki, które były w 100% bezplikowe.

W ten sposób ugrupowania zagrażające unikają wykrycia, unikając „znanych złych” wskaźników, takich jak nazwy procesów lub skróty plików. Listy dozwolonych aplikacji, które pozwalają na korzystanie z zaufanych aplikacji, również nie ograniczają szkodliwych użytkowników, szczególnie w przypadku aplikacji wszechobecnych. 

3. Grupy ransomware atakujące cele o niskim profilu

Wysoki profil Rurociąg kolonialny Atak ransomware w maju 2021 r. wpłynął na infrastrukturę krytyczną tak poważnie, że wywołał międzynarodowe zamieszanie najwyższa reakcja rządu.

Tego typu ataki przyciągające uwagę na pierwszych stronach gazet wymagają analizy i wspólnych wysiłków organów ścigania i agencji obrony w celu podjęcia działań przeciwko operatorom oprogramowania ransomware, co prowadzi do zakłócenia działalności przestępczej, a także aresztowań i postępowań karnych. Większość przestępców wolałaby ukryć swoją działalność w tajemnicy. Biorąc pod uwagę liczbę potencjalnych celów, operatorzy mogą sobie pozwolić na oportunizm, minimalizując jednocześnie ryzyko dla własnej działalności. Podmioty ransomware stały się znacznie bardziej selektywne w atakowaniu ofiar, co umożliwiły szczegółowe i szczegółowe dane firmograficzne dostarczone przez IAB.

4. Insiderzy kuszą kawałkiem ciasta

Operatorzy oprogramowania ransomware odkryli również, że mogą pozyskać nieuczciwych pracowników, aby pomogli im uzyskać dostęp. Współczynnik konwersji może być niski, ale wypłata może być warta wysiłku.

A ankieta przeprowadzona przez Hitachi ID badania przeprowadzone między 7 grudnia 2021 r. a 4 stycznia 2022 r. wykazały, że 65% respondentów stwierdziło, że ugrupowania zagrażające zwróciły się do ich pracowników, aby pomogli w zapewnieniu wstępnego dostępu. Insiderzy, którzy dadzą się nabrać na przynętę, mają różne powody, dla których są skłonni zdradzić swoją firmę, chociaż najczęstszą motywacją jest niezadowolenie z pracodawcy.

Bez względu na powód, oferty grup zajmujących się oprogramowaniem ransomware mogą być kuszące. W ankiecie Hitachi ID 57% pracowników, z którymi się skontaktowano, otrzymało ofertę poniżej 500,000 28 dolarów, 500,000% - od 1 11 do 1 miliona dolarów, a XNUMX% - ponad XNUMX milion dolarów.

Praktyczne kroki w celu poprawy ochrony

Omawiane tutaj rozwijające się taktyki zwiększają zagrożenie ze strony operatorów oprogramowania ransomware, ale organizacje mogą podjąć kroki, aby się chronić:

• Postępuj zgodnie z najlepszymi praktykami zerowego zaufania, takie jak uwierzytelnianie wieloskładnikowe (MFA) i dostęp o najniższych uprawnieniach, aby ograniczyć wpływ naruszonych poświadczeń i zwiększyć ryzyko wykrycia nietypowej aktywności.
• Skoncentruj się na łagodzeniu zagrożeń wewnętrznych, praktyka, która może pomóc w ograniczeniu złośliwych działań nie tylko pracowników, ale także podmiotów zewnętrznych (którzy przecież po uzyskaniu dostępu wydają się być insiderami).
  
• Prowadź regularne polowanie na zagrożenia, co może pomóc w wykryciu ataków bezplikowych i aktorów zagrożeń próbujących wcześnie ominąć zabezpieczenia.

Atakujący zawsze szukają nowych sposobów infiltracji systemów organizacji, a nowe sztuczki, które obserwujemy, z pewnością zwiększają przewagę cyberprzestępców nad organizacjami, które nie są przygotowane na ataki. Organizacje nie są jednak wcale bezradne. Podejmując praktyczne i sprawdzone kroki opisane w tym artykule, organizacje mogą bardzo utrudnić życie IAB i grupom zajmującym się oprogramowaniem ransomware, pomimo ich nowego zestawu taktyk.