Как избежать новой тактики программ-вымогателей

Киберпреступники становятся более стратегическими и профессиональными в отношении вымогателей. Они все чаще подражают тому, как работают законные предприятия, в том числе используют растущую цепочку поставок «киберпреступность как услуга».

В этой статье описаны четыре основные тенденции в области программ-вымогателей и даны советы о том, как не стать жертвой этих новых атак. 

1. IAB на подъеме

Киберпреступность становится все более прибыльной, о чем свидетельствует рост числа брокеров начального доступа (IAB), которые специализируются на взломе компаний, краже учетных данных и продаже этого доступа другим злоумышленникам. IAB являются первым звеном в цепочке убийств «киберпреступность как услуга», теневой экономики готовых услуг, которые любой потенциальный преступник может приобрести для создания сложных цепочек инструментов для совершения практически любого мыслимого цифрового преступления.

Основными клиентами IAB являются операторы программ-вымогателей, которые готовы платить за доступ к готовым жертвам, в то же время сосредоточив свои собственные усилия на вымогательстве и улучшении своего вредоносного ПО.

В 2021 году их было более 1,300 списков IAB на крупных форумах по киберпреступности, контролируемых Центром киберразведки KELA, почти половина из которых поступает от 10 IAB. В большинстве случаев цена за доступ составляла от 1,000 до 10,000 4,600 долларов, при средней цене продажи XNUMX долларов. Среди всех доступных предложений были учетные данные VPN и доступ администратора домена. самый ценный.

2. Бесфайловые атаки остаются незамеченными

Киберпреступники берут пример с продвинутых постоянных угроз (APT) и злоумышленников национального государства, используя методы жизни за пределами земли (LotL) и бесфайловые методы, чтобы повысить свои шансы избежать обнаружения для успешного развертывания программ-вымогателей.

В этих атаках используются законные общедоступные программные средства, часто встречающиеся в среде жертвы. Например, 91% Программа-вымогатель DarkSide по данным сообщить Пикус Секьюрити. Были обнаружены и другие атаки, которые были на 100% бесфайловыми.

Таким образом злоумышленники избегают обнаружения, избегая «известных плохих» индикаторов, таких как имена процессов или хэши файлов. Списки разрешенных приложений, которые разрешают использование доверенных приложений, также не могут ограничить злоумышленников, особенно для вездесущих приложений. 

3. Группы программ-вымогателей, нацеленные на малоизвестные цели

Высокий Колониальный Трубопровод Атака программ-вымогателей в мае 2021 года настолько серьезно затронула критическую инфраструктуру, что вызвала международную и высший правительственный ответ.

Такие захватывающие заголовки атаки вызывают тщательное изучение и согласованные усилия правоохранительных органов и органов обороны по противодействию операторам программ-вымогателей, что приводит к срыву преступных операций, а также к арестам и судебному преследованию. Большинство преступников предпочитают держать свою деятельность в тайне. Учитывая количество потенциальных целей, операторы могут позволить себе быть авантюристичными, сводя к минимуму риск для своих собственных операций. Субъекты программ-вымогателей стали гораздо более избирательными в выборе жертв благодаря подробной и детализированной фирмографии, предоставляемой IAB.

4. Инсайдеры соблазняются куском пирога

Операторы программ-вымогателей также обнаружили, что они могут привлекать мошеннических сотрудников, чтобы те помогли им получить доступ. Коэффициент конверсии может быть низким, но отдача может стоить затраченных усилий.

A опрос Hitachi ID проведенное в период с 7 декабря 2021 г. по 4 января 2022 г., показало, что 65% респондентов заявили, что злоумышленники обращались к их сотрудникам с просьбой помочь предоставить первоначальный доступ. Инсайдеры, попадающиеся на удочку, имеют разные причины предать свои компании, хотя наиболее распространенным мотиватором является неудовлетворенность своим работодателем.

Какой бы ни была причина, предложения групп вымогателей могут быть заманчивыми. В опросе Hitachi ID 57 % опрошенных сотрудников предложили менее 500,000 28 долларов, 500,000 % — от 1 11 до 1 миллиона долларов, а XNUMX % — более XNUMX миллиона долларов.

Практические шаги по улучшению защиты

Развивающаяся тактика, обсуждаемая здесь, увеличивает угрозу операторов программ-вымогателей, но есть шаги, которые организации могут предпринять, чтобы защитить себя:

• Следуйте передовым методам нулевого доверия, таких как многофакторная проверка подлинности (MFA) и доступ с минимальными привилегиями, чтобы ограничить влияние скомпрометированных учетных данных и повысить вероятность обнаружения аномальной активности.
• Сосредоточьтесь на смягчении внутренних угроз, практика, которая может помочь ограничить злонамеренные действия не только сотрудников, но и внешних субъектов (которые, в конце концов, кажутся инсайдерами после получения доступа).
  
• Проводите регулярный поиск угроз, которые могут помочь обнаружить бесфайловые атаки и злоумышленников, пытающихся обойти вашу защиту на раннем этапе.

Злоумышленники всегда ищут новые способы проникновения в системы организаций, и новые уловки, которые мы наблюдаем, безусловно, увеличивают преимущества киберпреступников перед организациями, которые не готовы к атакам. Однако организации далеко не беспомощны. Предпринимая практические и проверенные шаги, изложенные в этой статье, организации могут значительно усложнить жизнь IAB и группам вымогателей, несмотря на их новый набор тактик.