Kako se izogniti novim taktikam izsiljevalske programske opreme

Kibernetski kriminalci postajajo bolj strateški in profesionalni izsiljevalska. Vse bolj posnemajo, kako delujejo zakonita podjetja, vključno z izkoriščanjem naraščajoče dobavne verige kibernetske kriminalitete kot storitve.

Ta članek opisuje štiri ključne trende izsiljevalske programske opreme in ponuja nasvete, kako se izogniti temu, da bi postali žrtev teh novih napadov. 

1. IAB v porastu

Kibernetski kriminal postaja vse bolj donosen, kar dokazuje rast posrednikov za začetni dostop (IAB), ki so specializirani za vdor v podjetja, krajo poverilnic in prodajo tega dostopa drugim napadalcem. IAB so prvi člen v verigi ubijanja kibernetske kriminalitete kot storitve, sivi ekonomiji gotovih storitev, ki jih lahko kupi vsak morebitni kriminalec, da sestavi sofisticirane verige orodij za izvedbo skoraj vseh digitalnih kaznivih dejanj, ki si jih lahko zamislite.

IABs’ top customers are ransomware operators, who are willing to pay for access to ready-made victims while they focus their own efforts on extortion and improving their malware.

V letu 2021 jih je bilo več kot 1,300 seznamov IAB na večjih forumih o kibernetski kriminaliteti, ki jih spremlja KELA Cyber ​​Intelligence Center, pri čemer skoraj polovica prihaja iz 10 IAB. V večini primerov je bila cena dostopa med 1,000 in 10,000 $, povprečna prodajna cena pa je bila 4,600 $. Med vsemi razpoložljivimi ponudbami sta bila poverilnica VPN in skrbniški dostop domene najbolj dragoceno.

2. Napadi brez datotek so pod radarjem

Kibernetski kriminalci se zgledujejo po naprednih trajnih grožnjah (APT) in napadalcih iz držav z uporabo tehnik življenja zunaj zemlje (LotL) in tehnik brez datotek, da bi izboljšali svoje možnosti za izogibanje odkrivanju za uspešno uvedbo izsiljevalske programske opreme.

These attacks leverage legitimate, publicly available software tools often found in a target’s environment. For example, 91% of DarkSide izsiljevalska programska oprema napadi so vključevali zakonita orodja, pri čemer le 9 % uporablja zlonamerno programsko opremo Poročilo avtor Picus Security. Odkriti so bili tudi drugi napadi, ki so bili 100 % brez datotek.

This way, threat actors evade detection by avoiding “known bad” indicators, such as process names or file hashes. Application-allow lists, which permit the usage of trusted applications, also fail to restrict malicious users, especially for ubiquitous apps. 

3. Skupine izsiljevalske programske opreme, ki ciljajo na tarče nizkega profila

Visok profil Kolonialni cevovod napad z izsiljevalsko programsko opremo maja 2021 je tako močno prizadel kritično infrastrukturo, da je sprožil mednarodno in odgovor najvišje vlade.

Takšni napadi, ki pritegnejo naslovnice, sprožijo nadzor in usklajena prizadevanja organov kazenskega pregona in obrambnih agencij za ukrepanje proti operaterjem izsiljevalske programske opreme, kar vodi do motenj kriminalnih operacij ter aretacij in pregona. Večina kriminalcev bi svoje dejavnosti raje obdržala pod radarjem. Glede na število potencialnih tarč si operaterji lahko privoščijo oportunističnost, hkrati pa čim bolj zmanjšajo tveganje za svoje delovanje. Akterji izsiljevalske programske opreme so postali veliko bolj selektivni pri ciljanju žrtev, kar jim omogoča podrobna in razdrobljena firmografija, ki jo zagotavljajo IAB-ji.

4. Insajderje mika kos pogače

Operaterji izsiljevalske programske opreme so odkrili tudi, da lahko pridobijo lažne zaposlene, da jim pomagajo pri dostopu. Stopnja konverzije je lahko nizka, vendar je izplačilo vredno truda.

A raziskava Hitachi ID med 7. decembrom 2021 in 4. januarjem 2022 je bilo ugotovljeno, da je 65 % anketirancev reklo, da so se na njihove zaposlene obrnili akterji groženj, da bi jim pomagali zagotoviti začetni dostop. Insajderji, ki zagrizejo v vabo, imajo različne razloge, zakaj so pripravljeni izdati svoja podjetja, čeprav je nezadovoljstvo z delodajalcem najpogostejši motivator.

Ne glede na razlog so lahko ponudbe skupin izsiljevalske programske opreme mamljive. V raziskavi Hitachi ID je bilo 57 % zaposlenih ponujenih manj kot 500,000 USD, 28 % med 500,000 in 1 milijonom USD, 11 % pa več kot 1 milijon USD.

Praktični koraki za izboljšanje zaščite

Razvijajoče se taktike, o katerih razpravljamo tukaj, povečujejo grožnjo operaterjev izsiljevalske programske opreme, vendar obstajajo koraki, ki jih lahko organizacije sprejmejo, da se zaščitijo:

• Sledite najboljšim praksam brez zaupanja, kot je večfaktorsko preverjanje pristnosti (MFA) in dostop z najmanjšimi pravicami, da se omeji vpliv ogroženih poverilnic in poveča možnost odkrivanja nenormalne dejavnosti.
• Osredotočite se na ublažitev notranjih groženj, a practice that can help limit malicious actions not only by employees but also by external actors (who, after all, appear to be insiders once they’ve gained access).
  
• Redno lovite grožnje, ki lahko pomaga zgodaj odkriti napade brez datotek in akterje groženj, ki se poskušajo izogniti vaši obrambi.

Attackers are always looking for new ways to infiltrate organizations’ systems, and the new ploys we’re seeing certainly add to the advantages cybercriminals have over organizations that are unprepared for attacks. However, organizations are far from helpless. By taking the practical and proven steps outlined in this article, organizations can make life very tough for IABs and ransomware groups, despite their new array of tactics.