Izsiljevalska programska oprema je najpomembnejša grožnja kibernetski varnosti, s katero se današnje organizacije soočajo. Toda pred kratkim so voditelji Agencije za nacionalno varnost in FBI-ja je pokazalo, da so se napadi zmanjšali v prvi polovici leta 2022. Kombinacija sankcij proti Rusiji, od koder izvirajo številne združbe kibernetskega kriminala, in zloma trgov kriptovalut je morda vplivala na to, da je združbam izsiljevalskih programov oteženo pridobivanje sredstev in prejemanje izplačil.
Ampak nismo še iz gozda. Kljub začasnemu padcu izsiljevalska programska oprema ne le uspeva, ampak se tudi razvija. Danes se je izsiljevalska programska oprema kot storitev (RaaS) razvila iz komercializiranega, avtomatiziranega modela, ki temelji na predpakiranih kompletih izkoriščanja, v človeško upravljano, visoko ciljno usmerjeno in prefinjeno poslovno operacijo. To je razlog za zaskrbljenost podjetij vseh velikosti.
Postati RaaS
Splošno znano je, da so današnji kiberkriminalci dobro opremljeni, visoko motivirani in zelo učinkoviti. Do tega niso prišli po naključju in niso ostali tako učinkoviti brez neprekinjenega delovanja razvijajo svoje tehnologije in metodologije. Motivacija velikega finančnega dobička je bila edina stalnica.
Zgodnji napadi z izsiljevalsko programsko opremo so bili preprosti, tehnološko usmerjeni napadi. Napadi so spodbudili večjo osredotočenost na zmogljivosti varnostnega kopiranja in obnavljanja, zaradi česar so nasprotniki med napadom poiskali spletne varnostne kopije in jih tudi šifrirali. Uspeh napadalcev je vodil do večjih odkupnin, večje zahteve po odkupnini pa so zmanjšale verjetnost, da bo žrtev plačala, in večjo verjetnost, da se bodo vključili organi pregona. Združbe izsiljevalskih programov so odgovorile z izsiljevanjem. Prešli so na ne samo šifriranje podatkov, temveč tudi iztiskanje in grožnjo, da bodo javno objavili pogosto občutljive podatke strank ali partnerjev žrtve, s čimer so uvedli bolj zapleteno tveganje za škodo blagovni znamki in ugledu. Danes ni nenavadno, da napadalci z izsiljevalsko programsko opremo poiščejo žrtvino kibernetsko zavarovalno polico, da bi jim pomagali določiti zahtevo po odkupnini in narediti celoten postopek (vključno s plačilom) čim bolj učinkovit.
Videli smo tudi manj disciplinirane (vendar enako škodljive) napade z izsiljevalsko programsko opremo. Če se na primer odločite za plačilo odkupnine, žrtev prepozna tudi kot zanesljivo primerno za prihodnji napad, s čimer se poveča verjetnost, da jo bo znova udarila ista ali druga skupina izsiljevalskih programov. Ocene raziskave med 50% do 80% (PDF) organizacij, ki so plačale odkupnino, so bile deležne ponovnega napada.
Z razvojem napadov z izsiljevalsko programsko opremo so se razvijale tudi varnostne tehnologije, zlasti na področjih prepoznavanja in blokiranja groženj. Tehnologije za preprečevanje lažnega predstavljanja, filtri za neželeno pošto, protivirusno programsko opremo in zaznavanje zlonamerne programske opreme so bile natančno prilagojene za obravnavo sodobnih groženj, da bi zmanjšali grožnjo ogrožanja prek e-pošte, zlonamernih spletnih mest ali drugih priljubljenih vektorjev napadov.
Ta pregovorna igra "mačke in miši" med nasprotniki in ponudniki varnosti, ki zagotavljajo boljšo obrambo in sofisticirane pristope za zaustavitev napadov z izsiljevalsko programsko opremo, je privedla do večjega sodelovanja znotraj globalnih krogov kibernetskih kriminalcev. Podobno kot strokovnjaki za vdiranje v sefe in alarme, ki se uporabljajo pri tradicionalnih ropih, strokovnjaki za razvoj zlonamerne programske opreme, dostop do omrežja in izkoriščanje poganjajo današnje napade in ustvaril pogoje za naslednji razvoj izsiljevalske programske opreme.
Model RaaS danes
RaaS se je razvil v prefinjeno operacijo, ki jo vodi človek, s kompleksnim poslovnim modelom delitve dobička. Operater RaaS, ki je morda v preteklosti deloval neodvisno, zdaj sklene pogodbo s strokovnjaki, da poveča možnosti za uspeh.
Operater RaaS – ki vzdržuje posebna orodja za izsiljevalsko programsko opremo, komunicira z žrtvijo in varuje plačila – bo zdaj pogosto delal skupaj s hekerjem na visoki ravni, ki bo sam izvedel vdor. Interaktivni napadalec v ciljnem okolju omogoča sprejemanje odločitev v živo med napadom. Skupaj odkrijejo določene slabosti znotraj omrežja, povečajo privilegije in šifrirajo najbolj občutljive podatke, da zagotovijo izplačila. Poleg tega izvajajo izvidovanje, da najdejo in izbrišejo spletne varnostne kopije ter onemogočijo varnostna orodja. Pogodbeni heker bo pogosto delal skupaj s posrednikom dostopa, ki je odgovoren za zagotavljanje dostopa do omrežja prek ukradenih poverilnic ali vztrajnih mehanizmov, ki so že vzpostavljeni.
Napadi, ki izhajajo iz tega sodelovanja strokovnega znanja, imajo občutek in videz »staromodnih«, državno sponzoriranih naprednih vztrajnih napadov v slogu groženj, vendar so veliko bolj razširjeni.
Kako se lahko organizacije branijo
Novi model RaaS, ki ga upravlja človek, je veliko bolj prefinjen, ciljno usmerjen in uničujoč od modelov RaaS iz preteklosti, vendar še vedno obstajajo najboljše prakse, ki jih lahko organizacije upoštevajo, da se branijo.
Organizacije morajo biti disciplinirane glede svoje varnostne higiene. IT se vedno spreminja in vsakič, ko je dodana nova končna točka ali posodobljen sistem, lahko povzroči novo ranljivost ali tveganje. Varnostne ekipe se morajo še naprej osredotočati na najboljše varnostne prakse: popravljanje popravkov, uporaba večfaktorske avtentikacije, uveljavljanje močnih poverilnic, skeniranje temnega spleta za ogrožene poverilnice, usposabljanje zaposlenih, kako odkriti poskuse lažnega predstavljanja, in več. te najboljše prakse pomagajo zmanjšati površino napada in zmanjšajte tveganje, da bo posrednik dostopa lahko izkoristil ranljivost za vstop. Poleg tega, višjo kot ima organizacija varnostno higieno, manj bo »hrupa« za analitike, ki jih bodo morali razvrščati v varnostno-operativnem centru (SOC), kar jim bo omogočilo, da se osredotočijo na resnično grožnjo, ko jo prepoznajo.
Poleg najboljših praks glede varnosti morajo organizacije zagotoviti tudi napredne zmožnosti odkrivanja groženj in odzivanja. Ker posredniki dostopa porabijo čas za izvidovanje v infrastrukturi organizacije, imajo varnostni analitiki priložnost, da jih odkrijejo in zaustavijo napad v zgodnjih fazah – vendar le, če imajo prava orodja. Organizacije bi morale iskati rešitve za razširjeno zaznavanje in odziv, ki lahko zaznajo in medsebojno povežejo telemetrijo iz varnostnih dogodkov v njihovih končnih točkah, omrežjih, strežnikih, e-pošti in sistemih v oblaku ter aplikacijah. Potrebujejo tudi sposobnost, da se odzovejo, kjer koli je napad prepoznan, da ga hitro zaustavijo. Velika podjetja imajo lahko te zmogljivosti vgrajene v svoj SOC, medtem ko srednje velike organizacije morda želijo razmisliti o upravljanem modelu zaznavanja in odzivanja za 24/7 spremljanje groženj in odzivanje.
Kljub nedavnemu upadu napadov z izsiljevalsko programsko opremo strokovnjaki za varnost ne bi smeli pričakovati, da bo grožnja kmalu izumrla. RaaS se bo še naprej razvijal, z najnovejšimi prilagoditvami, ki so jih nadomestili novi pristopi kot odgovor na inovacije na področju kibernetske varnosti. Toda s poudarkom na najboljših varnostnih praksah v kombinaciji s ključnimi tehnologijami za preprečevanje, odkrivanje in odzivanje na grožnje bodo organizacije postale bolj odporne na napade.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
