Ransomware jest największym zagrożeniem cyberbezpieczeństwa, przed jakim stoją dziś organizacje. Ale ostatnio zarówno przywódcy Agencji Bezpieczeństwa Narodowego, jak i FBI wskazał, że ataki spadły w pierwszej połowie 2022 r. Połączenie sankcji nałożonych na Rosję, w której wywodzi się wiele gangów cyberprzestępczych, oraz krach rynków kryptowalut mogło mieć wpływ, utrudniając gangom ransomware wydobywanie funduszy i uzyskiwanie wypłat.
Ale jeszcze nie wyszliśmy z lasu. Pomimo chwilowego spadku, oprogramowanie ransomware nie tylko kwitnie, ale także ewoluuje. Obecnie oprogramowanie ransomware jako usługa (RaaS) ewoluowało od utowarowionego, zautomatyzowanego modelu opartego na gotowych zestawach exploitów do obsługiwanej przez człowieka, wysoce ukierunkowanej i wyrafinowanej operacji biznesowej. To powód do niepokoju dla firm dowolnej wielkości.
Stając się RaaS
Powszechnie wiadomo, że dzisiejsi cyberprzestępcy są dobrze wyposażeni, wysoce zmotywowani i bardzo skuteczni. Nie doszły do tego przypadkiem i nie były tak skuteczne bez ciągłego rozwijają swoje technologie i metodologie. Motywacja ogromnego zysku finansowego była jedyną stałą.
Wczesne ataki ransomware były prostymi atakami opartymi na technologii. Ataki spowodowały zwiększenie koncentracji na możliwościach tworzenia kopii zapasowych i przywracania, co skłoniło przeciwników do wyszukiwania kopii zapasowych online i ich szyfrowania podczas ataku. Sukces napastnika doprowadził do większych okupów, a większe żądania okupu zmniejszały prawdopodobieństwo, że ofiara zapłaci, a bardziej prawdopodobne, że w sprawę zaangażują się organy ścigania. Gangi ransomware odpowiedziały wymuszeniem. Przeszli nie tylko na szyfrowanie danych, ale także na eksfiltrację i grożenie upublicznieniem często wrażliwych danych klientów lub partnerów ofiary, wprowadzając bardziej złożone ryzyko uszkodzenia marki i reputacji. Obecnie nie jest niczym niezwykłym, że osoby atakujące oprogramowanie ransomware sprawdzają politykę cyberubezpieczenia ofiary, aby pomóc ustalić żądanie okupu i sprawić, by cały proces (w tym płatność) był jak najbardziej wydajny.
Widzieliśmy również mniej zdyscyplinowane (ale równie szkodliwe) ataki ransomware. Na przykład, decyzja o zapłaceniu okupu z kolei identyfikuje ofiarę jako odpowiednią do przyszłego ataku, zwiększając prawdopodobieństwo, że zostanie ponownie trafiona przez ten sam lub inny gang ransomware. Szacunki badawcze między % 50 do 80% (PDF) organizacji, które zapłaciły okup, doświadczyły powtórnego ataku.
Wraz z ewolucją ataków ransomware, rozwijają się również technologie bezpieczeństwa, zwłaszcza w obszarach identyfikacji i blokowania zagrożeń. Technologie antyphishingowe, filtry antyspamowe, antywirusowe i wykrywające złośliwe oprogramowanie zostały dostosowane do współczesnych zagrożeń, aby zminimalizować zagrożenie włamania za pośrednictwem poczty e-mail, złośliwych witryn internetowych lub innych popularnych wektorów ataków.
Ta przysłowiowa gra w kotka i myszkę między adwersarzami a dostawcami zabezpieczeń, która zapewnia lepszą ochronę i wyrafinowane metody powstrzymywania ataków ransomware, doprowadziła do zacieśnienia współpracy w ramach globalnych kręgów cyberprzestępczych. Podobnie jak włamywacze do sejfów i specjaliści od alarmów wykorzystywani w tradycyjnych napadach, tak i eksperci w zakresie tworzenia złośliwego oprogramowania, dostępu do sieci i wykorzystywania stworzył warunki do kolejnej ewolucji oprogramowania ransomware.
Model RaaS dzisiaj
RaaS ewoluował, aby stać się wyrafinowaną, kierowaną przez człowieka operacją ze złożonym modelem biznesowym dzielenia się zyskami. Operator RaaS, który w przeszłości mógł pracować samodzielnie, teraz kontraktuje ze specjalistami, aby zwiększyć szanse na sukces.
Operator RaaS — który utrzymuje określone narzędzia ransomware, komunikuje się z ofiarą i zabezpiecza płatności — będzie teraz często współpracować z hakerem wysokiego szczebla, który sam przeprowadzi włamanie. Posiadanie interaktywnego napastnika w środowisku docelowym umożliwia podejmowanie decyzji na żywo podczas ataku. Współpracując, identyfikują konkretne słabości w sieci, eskalują przywileje i szyfrują najbardziej wrażliwe dane, aby zapewnić wypłaty. Ponadto przeprowadzają rozpoznanie w celu znalezienia i usunięcia kopii zapasowych online oraz wyłączenia narzędzi zabezpieczających. Zatrudniony haker często współpracuje z brokerem dostępu, który jest odpowiedzialny za zapewnienie dostępu do sieci za pomocą skradzionych poświadczeń lub istniejących już mechanizmów trwałości.
Ataki wynikające z tej współpracy ekspertów mają wrażenie i wygląd „staromodnych”, sponsorowanych przez państwo zaawansowanych, uporczywych ataków typu zagrożenie, ale są znacznie bardziej rozpowszechnione.
Jak organizacje mogą się bronić
Nowy, obsługiwany przez człowieka model RaaS jest znacznie bardziej wyrafinowany, ukierunkowany i destrukcyjny niż modele RaaS z przeszłości, ale nadal istnieją najlepsze praktyki, które organizacje mogą stosować, aby się bronić.
Organizacje muszą być zdyscyplinowane pod względem higieny bezpieczeństwa. IT ciągle się zmienia, a za każdym razem, gdy dodawany jest nowy punkt końcowy lub aktualizowany jest system, może to potencjalnie wprowadzić nową lukę lub ryzyko. Zespoły ds. bezpieczeństwa muszą nadal koncentrować się na najlepszych praktykach w zakresie bezpieczeństwa: łataniu, stosowaniu uwierzytelniania wieloskładnikowego, wymuszaniu silnych poświadczeń, skanowaniu ciemnej sieci w poszukiwaniu złamanych poświadczeń, szkoleniu pracowników w zakresie wykrywania prób phishingu i nie tylko. Te najlepsze praktyki pomagają zmniejszyć powierzchnię ataku i zminimalizować ryzyko, że broker dostępu będzie w stanie wykorzystać lukę w zabezpieczeniach, aby uzyskać dostęp. Ponadto, im silniejsza jest higiena bezpieczeństwa w organizacji, tym mniej „hałasu” będą mieli analitycy do sortowania w centrum operacji bezpieczeństwa (SOC), umożliwiając im skupienie się na rzeczywistym zagrożeniu, gdy zostanie ono zidentyfikowane.
Poza najlepszymi praktykami w zakresie bezpieczeństwa, organizacje muszą również zapewnić zaawansowane możliwości wykrywania zagrożeń i reagowania. Ponieważ brokerzy dostępu spędzają czas na rekonesansie infrastruktury organizacji, analitycy bezpieczeństwa mają możliwość ich wykrycia i powstrzymania ataku na wczesnym etapie — ale tylko wtedy, gdy dysponują odpowiednimi narzędziami. Organizacje powinny szukać rozszerzonych rozwiązań wykrywania i reagowania, które mogą wykrywać i skorelować dane telemetryczne ze zdarzeń związanych z bezpieczeństwem w ich punktach końcowych, sieciach, serwerach, systemach poczty e-mail i chmurze oraz aplikacjach. Potrzebują również zdolności do reagowania wszędzie tam, gdzie atak zostanie zidentyfikowany, aby szybko go zamknąć. Duże przedsiębiorstwa mogą mieć takie możliwości wbudowane w SOC, podczas gdy średnie organizacje mogą chcieć rozważyć zarządzany model wykrywania i reagowania na potrzeby całodobowego monitorowania zagrożeń i reagowania na nie.
Pomimo niedawnego spadku liczby ataków ransomware, specjaliści ds. bezpieczeństwa nie powinni oczekiwać, że zagrożenie zniknie w najbliższym czasie. RaaS będzie nadal ewoluować, przy czym najnowsze dostosowania zostały zastąpione nowymi podejściami w odpowiedzi na innowacje w dziedzinie cyberbezpieczeństwa. Jednak dzięki skupieniu się na najlepszych praktykach bezpieczeństwa w połączeniu z kluczowymi technologiami zapobiegania zagrożeniom, wykrywania i reagowania, organizacje staną się bardziej odporne na ataki.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
