Cum să evitați noile tactici de ransomware

Infractorii cibernetici devin din ce în ce mai strategici și profesioniști Ransomware. Ei emulează din ce în ce mai mult modul în care funcționează întreprinderile legitime, inclusiv prin folosirea unui lanț de aprovizionare în creștere a criminalității cibernetice ca serviciu.

Acest articol descrie patru tendințe cheie în domeniul ransomware și oferă sfaturi despre cum să evitați să cădeți victima acestor noi atacuri. 

1. IAB-uri în ascensiune

Criminalitatea cibernetică devine din ce în ce mai profitabilă, așa cum demonstrează creșterea brokerilor de acces inițial (IAB) care se specializează în încălcarea companiilor, furtul acreditărilor și vânzarea acel acces altor atacatori. IAB-urile sunt prima verigă a lanțului de ucidere a criminalității cibernetice ca serviciu, o economie tenebroasă a serviciilor de la raft pe care orice potențial criminal le poate achiziționa pentru a construi lanțuri de instrumente sofisticate pentru a executa aproape orice infracțiune digitală imaginabilă.

Clienții de top ai IAB-urilor sunt operatorii de ransomware, care sunt dispuși să plătească pentru accesul la victime gata făcute, în timp ce își concentrează propriile eforturi pe extorcare și îmbunătățirea programelor malware.

În 2021, au fost mai mult de 1,300 de listări IAB pe forumurile majore de criminalitate cibernetică monitorizate de Centrul de Informații Cybernetice KELA, aproape jumătate provenind de la 10 IAB-uri. În majoritatea cazurilor, prețul pentru acces a fost între 1,000 USD și 10,000 USD, cu un preț mediu de vânzare de 4,600 USD. Dintre toate ofertele disponibile, acreditările VPN și accesul de administrator de domeniu se numără printre cel mai valoros.

2. Atacurile fără fișiere zboară sub radar

Criminalii cibernetici iau un semnal de la amenințările persistente avansate (APT) și atacatorii statelor naționale, utilizând tehnici care trăiesc în afara terenului (LotL) și fără fișiere pentru a-și îmbunătăți șansele de a evita detectarea pentru a implementa cu succes ransomware.

Aceste atacuri folosesc instrumente software legitime, disponibile public, care se găsesc adesea în mediul unei ținte. De exemplu, 91% din Ransomware DarkSide atacurile au implicat instrumente legitime, doar 9% utilizând programe malware, potrivit un raport de Picus Security. Au fost descoperite alte atacuri care au fost 100% fără fișiere.

În acest fel, actorii amenințărilor se sustrage de la detecție evitând indicatorii „deficienți cunoscuți”, cum ar fi numele proceselor sau hashurile de fișiere. Listele de aplicații permise, care permit utilizarea aplicațiilor de încredere, nu reușesc, de asemenea, să restricționeze utilizatorii rău intenționați, în special pentru aplicațiile omniprezente. 

3. Grupuri de ransomware care vizează ținte cu profil redus

Cel de profil înalt Conductă colonială Atacul ransomware din mai 2021 a afectat infrastructura critică atât de grav încât a declanșat un atac internațional și răspunsul guvernului de vârf.

Astfel de atacuri care captează titlurile provoacă controlul și eforturile concertate din partea agențiilor de aplicare a legii și de apărare pentru a acționa împotriva operatorilor de ransomware, ceea ce duce la întreruperea operațiunilor criminale, precum și la arestări și urmăriri penale. Majoritatea criminalilor ar prefera să-și păstreze activitățile sub radar. Având în vedere numărul de ținte potențiale, operatorii își pot permite să fie oportuniști minimizând în același timp riscul pentru propriile operațiuni. Actorii ransomware au devenit mult mai selectivi în țintirea victimelor, datorită firmografiei detaliate și granulare furnizate de IAB.

4. Persoanele din interior sunt tentate cu o bucată de plăcintă

Operatorii de ransomware au descoperit, de asemenea, că pot înrola angajați necinstiți pentru a-i ajuta să obțină acces. Rata de conversie poate fi scăzută, dar profitul poate merita efortul.

A sondaj realizat de Hitachi ID luate între 7 decembrie 2021 și 4 ianuarie 2022, au constatat că 65% dintre respondenți au spus că angajații lor au fost abordați de actori amenințări pentru a ajuta la furnizarea accesului inițial. Persoanele din interior care iau momeala au motive diferite pentru a fi dispuși să-și trădeze companiile, deși nemulțumirea față de angajator este cel mai frecvent motivator.

Oricare ar fi motivul, ofertele făcute de grupurile de ransomware pot fi tentante. În sondajul Hitachi ID, 57% dintre angajații contactați li s-au oferit mai puțin de 500,000 USD, 28% între 500,000 USD și 1 milion USD, iar 11% li s-au oferit mai mult de 1 milion USD.

Pași practici pentru îmbunătățirea protecției

Tacticile în evoluție discutate aici cresc amenințarea operatorilor de ransomware, dar există pași pe care organizațiile pot lua pentru a se proteja:

• Urmați cele mai bune practici de încredere zero, cum ar fi autentificarea multifactorială (MFA) și accesul cu cel mai mic privilegiu, pentru a limita impactul acreditărilor compromise și pentru a crește șansa de a detecta activități anormale.
• Concentrați-vă pe atenuarea amenințărilor interne, o practică care poate ajuta la limitarea acțiunilor rău intenționate nu numai ale angajaților, ci și ale actorilor externi (care, la urma urmei, par a fi din interior odată ce au acces).
  
• Efectuați vânătoare regulate de amenințări, care poate ajuta la detectarea atacurilor fără fișiere și a amenințărilor care lucrează pentru a vă sustrage din timp apărarea.

Atacatorii caută mereu noi modalități de a se infiltra în sistemele organizațiilor, iar noile trucuri pe care le vedem se adaugă cu siguranță la avantajele pe care le au infractorii cibernetici față de organizațiile care nu sunt pregătite pentru atacuri. Cu toate acestea, organizațiile sunt departe de a fi neajutorate. Făcând pașii practici și dovediți evidențiați în acest articol, organizațiile pot face viața foarte grea pentru IAB și grupurile de ransomware, în ciuda noii lor game de tactici.