Программы-вымогатели являются наиболее серьезной угрозой кибербезопасности, с которой сегодня сталкиваются организации. Но недавно руководители Агентства национальной безопасности и ФБР указали, что количество атак сократилось в течение первой половины 2022 года. Сочетание санкций в отношении России, откуда родом многие банды киберпреступников, и крах рынков криптовалют, возможно, оказали свое влияние, затруднив для банд-вымогателей извлечение средств и получение выплат.
Но мы еще не вышли из леса. Несмотря на временный спад, программы-вымогатели не только процветают, но и развиваются. Сегодня программа-вымогатель как услуга (RaaS) превратилась из коммерческой автоматизированной модели, основанной на заранее подготовленных наборах эксплойтов, в управляемую человеком, узконаправленную и сложную бизнес-операцию. Это повод для беспокойства для предприятий любого размера.
Становление RaaS
Широко известно, что современные киберпреступники хорошо оснащены, высоко мотивированы и очень эффективны. Они стали такими не случайно и не остались такими эффективными без постоянного развивая свои технологии и методологии. Мотивация получения огромной финансовой выгоды была единственной постоянной.
Ранние атаки программ-вымогателей были простыми, основанными на технологиях. Атаки привлекли повышенное внимание к возможностям резервного копирования и восстановления, что побудило злоумышленников искать онлайн-резервные копии и также шифровать их во время атаки. Успех злоумышленника привел к увеличению выкупа, а более крупные требования о выкупе снизили вероятность того, что жертва заплатит, и повысили вероятность вмешательства правоохранительных органов. Банды вымогателей ответили вымогательством. Они перешли не только к шифрованию данных, но и к их эксфильтрации и угрозам обнародовать часто конфиденциальные данные клиентов или партнеров жертвы, создавая более сложный риск нанесения ущерба бренду и репутации. Сегодня злоумышленники, использующие программы-вымогатели, нередко ищут полис киберстрахования жертвы, чтобы помочь установить требование выкупа и сделать весь процесс (включая оплату) максимально эффективным.
Мы также видели менее дисциплинированные (но не менее разрушительные) атаки программ-вымогателей. Например, решение заплатить выкуп в свою очередь также идентифицирует жертву как надежную кандидатуру для будущей атаки, увеличивая вероятность того, что она снова подвергнется атаке со стороны той же или другой банды программ-вымогателей. Оценки исследований между 50% до 80% (PDF) организаций, заплативших выкуп, подверглись повторной атаке.
По мере развития атак программ-вымогателей развивались и технологии безопасности, особенно в области выявления и блокирования угроз. Технологии защиты от фишинга, спам-фильтры, антивирусные программы и технологии обнаружения вредоносных программ были точно настроены для борьбы с современными угрозами, чтобы минимизировать угрозу компрометации через электронную почту, вредоносные веб-сайты или другие популярные векторы атак.
Эта пресловутая игра «кошки-мышки» между злоумышленниками и поставщиками услуг безопасности, которые обеспечивают лучшую защиту и сложные подходы к предотвращению атак программ-вымогателей, привела к расширению сотрудничества в рамках глобальных группировок киберпреступников. Подобно специалистам по взлому сейфов и сигнализации, используемым при традиционных ограблениях, эксперты по разработке вредоносных программ, доступу к сети и их эксплуатации обеспечивают сегодняшние атаки и создали условия для следующей эволюции программ-вымогателей.
Модель RaaS сегодня
RaaS превратился в сложную, управляемую человеком операцию со сложной бизнес-моделью распределения прибыли. Оператор RaaS, который раньше, возможно, работал самостоятельно, теперь заключает контракт со специалистами, чтобы увеличить шансы на успех.
Оператор RaaS, который обслуживает определенные инструменты для вымогательства, общается с жертвой и обеспечивает безопасность платежей, теперь часто будет работать вместе с хакером высокого уровня, который сам осуществит вторжение. Наличие интерактивного злоумышленника внутри целевой среды позволяет принимать решения в реальном времени во время атаки. Работая вместе, они выявляют конкретные уязвимости в сети, повышают привилегии и шифруют наиболее конфиденциальные данные для обеспечения выплат. Кроме того, они проводят разведку с целью поиска и удаления онлайн-резервных копий и отключения инструментов безопасности. Хакер, заключивший контракт, часто работает вместе с брокером доступа, который отвечает за предоставление доступа к сети с помощью украденных учетных данных или уже существующих механизмов сохранения.
Атаки, возникающие в результате такого сотрудничества специалистов, напоминают «старомодные», спонсируемые государством продвинутые атаки в стиле постоянных угроз, но они гораздо более распространены.
Как организации могут защитить себя
Новая модель RaaS, управляемая человеком, гораздо более сложна, целенаправленна и разрушительна, чем модели RaaS прошлого, но все еще существуют передовые методы, которым организации могут следовать, чтобы защитить себя.
Организации должны быть дисциплинированы в отношении гигиены безопасности. ИТ постоянно меняются, и каждый раз, когда добавляется новая конечная точка или обновляется система, существует вероятность появления новой уязвимости или риска. Команды безопасности должны по-прежнему сосредоточиться на передовых методах обеспечения безопасности: исправлениях, использовании многофакторной аутентификации, обеспечении надежных учетных данных, сканировании даркнета на предмет скомпрометированных учетных данных, обучении сотрудников тому, как выявлять попытки фишинга и многом другом. Эти лучшие практики помогают уменьшить поверхность атаки и минимизировать риск того, что брокер доступа сможет использовать уязвимость для получения доступа. Кроме того, чем более строгая гигиена безопасности соблюдается в организации, тем меньше «шума» придется анализировать аналитикам в оперативном центре безопасности (SOC), что позволит им сосредоточиться на реальной угрозе при ее выявлении.
Помимо передовых методов обеспечения безопасности, организации также должны обеспечить наличие расширенных возможностей обнаружения угроз и реагирования на них. Поскольку брокеры доступа тратят время на разведку инфраструктуры организации, у аналитиков безопасности есть возможность обнаружить их и остановить атаку на ранних стадиях — но только если у них есть подходящие инструменты. Организациям следует обратиться к расширенным решениям по обнаружению и реагированию, которые смогут обнаруживать и сопоставлять телеметрию событий безопасности в их конечных точках, сетях, серверах, электронной почте, облачных системах и приложениях. Им также необходима возможность отреагировать, где бы ни была обнаружена атака, чтобы быстро ее остановить. Крупные предприятия могут иметь эти возможности, встроенные в их SOC, тогда как организации среднего размера могут рассмотреть возможность использования модели управляемого обнаружения и реагирования для круглосуточного мониторинга угроз и реагирования на них.
Несмотря на недавнее снижение количества атак с использованием программ-вымогателей, специалистам по безопасности не следует ожидать, что угроза исчезнет в ближайшее время. RaaS будет продолжать развиваться, при этом последние адаптации заменены новыми подходами в ответ на инновации в области кибербезопасности. Но если сосредоточить внимание на передовых методах обеспечения безопасности в сочетании с ключевыми технологиями предотвращения, обнаружения и реагирования на угрозы, организации станут более устойчивыми к атакам.
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
