วิธีหลีกเลี่ยงกลยุทธ์แรนซัมแวร์ใหม่

อาชญากรไซเบอร์เริ่มมีกลยุทธ์และเป็นมืออาชีพมากขึ้น ransomware. พวกเขากำลังเลียนแบบวิธีดำเนินธุรกิจที่ถูกกฎหมายมากขึ้นเรื่อยๆ รวมถึงการใช้ประโยชน์จากห่วงโซ่อุปทานของอาชญากรรมทางไซเบอร์ที่เพิ่มขึ้นเรื่อยๆ

บทความนี้จะอธิบายแนวโน้มสำคัญของแรนซัมแวร์ XNUMX ประการ และให้คำแนะนำเกี่ยวกับวิธีหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีใหม่ๆ เหล่านี้ 

1. IAB ที่กำลังเติบโต

อาชญากรรมทางไซเบอร์กำลังสร้างผลกำไรมากขึ้น ดังที่เห็นได้จากการเติบโตของนายหน้าการเข้าถึงเบื้องต้น (IAB) ที่เชี่ยวชาญในการละเมิดบริษัท การขโมยข้อมูลประจำตัว และการขายการเข้าถึงนั้นให้กับผู้โจมตีรายอื่น IAB เป็นจุดเชื่อมต่อแรกในห่วงโซ่การฆ่าอาชญากรรมทางไซเบอร์ในรูปแบบบริการ ซึ่งเป็นระบบเศรษฐกิจเงาของบริการนอกชั้นวางที่อาชญากรสามารถซื้อได้เพื่อสร้างห่วงโซ่เครื่องมือที่ซับซ้อนเพื่อดำเนินการกระทำความผิดทางดิจิทัลเกือบทุกรูปแบบเท่าที่จะจินตนาการได้

ลูกค้าอันดับต้นๆ ของ IAB คือผู้ให้บริการแรนซัมแวร์ ซึ่งยินดีจ่ายเงินเพื่อเข้าถึงเหยื่อสำเร็จรูป ในขณะที่พวกเขามุ่งความสนใจไปที่การขู่กรรโชกและปรับปรุงมัลแวร์ของตน

ในปี 2021 มีมากกว่า รายชื่อ IAB 1,300 รายการ ในฟอรัมอาชญากรรมทางไซเบอร์หลักๆ ที่ดูแลโดย KELA Cyber ​​Intelligence Center โดยเกือบครึ่งหนึ่งมาจาก 10 IAB ในกรณีส่วนใหญ่ ราคาสำหรับการเข้าถึงจะอยู่ระหว่าง 1,000 ถึง 10,000 เหรียญสหรัฐฯ โดยมีราคาขายเฉลี่ยอยู่ที่ 4,600 เหรียญสหรัฐฯ จากข้อเสนอทั้งหมดที่มีอยู่ ข้อมูลประจำตัว VPN และการเข้าถึงของผู้ดูแลระบบโดเมนเป็นหนึ่งในนั้น มีค่าที่สุด.

2. การโจมตีแบบไร้ไฟล์บินอยู่ใต้เรดาร์

อาชญากรไซเบอร์กำลังรับข้อมูลจากภัยคุกคามขั้นสูงแบบถาวร (APT) และผู้โจมตีโดยรัฐชาติโดยการใช้เทคนิคการใช้ชีวิตนอกพื้นที่ (LotL) และเทคนิคแบบไร้ไฟล์เพื่อเพิ่มโอกาสในการหลบเลี่ยงการตรวจจับเพื่อปรับใช้แรนซัมแวร์ได้สำเร็จ

การโจมตีเหล่านี้ใช้ประโยชน์จากเครื่องมือซอฟต์แวร์ที่ถูกต้องและเปิดเผยต่อสาธารณะซึ่งมักพบในสภาพแวดล้อมของเป้าหมาย ตัวอย่างเช่น 91% ของ แรนซั่มแวร์ DarkSide การโจมตีเกี่ยวข้องกับเครื่องมือที่ถูกกฎหมาย โดยมีเพียง 9% เท่านั้นที่ใช้มัลแวร์ เพื่อรายงาน โดย Picus Security การโจมตีอื่นๆ ถูกค้นพบว่าไร้ไฟล์ 100%

ด้วยวิธีนี้ ผู้ดำเนินการภัยคุกคามจะหลบเลี่ยงการตรวจจับโดยหลีกเลี่ยงตัวบ่งชี้ที่ “ทราบว่าไม่ดี” เช่น ชื่อกระบวนการหรือแฮชของไฟล์ รายชื่อแอปพลิเคชันที่อนุญาต ซึ่งอนุญาตให้ใช้งานแอปพลิเคชันที่เชื่อถือได้ ไม่สามารถจำกัดผู้ใช้ที่เป็นอันตรายได้ โดยเฉพาะสำหรับแอปที่แพร่หลาย 

3. กลุ่มแรนซัมแวร์ที่กำหนดเป้าหมายเป้าหมายที่มีรายละเอียดต่ำ

รายละเอียดสูง ท่ออาณานิคม การโจมตีด้วยแรนซัมแวร์ในเดือนพฤษภาคม 2021 ส่งผลกระทบต่อโครงสร้างพื้นฐานที่สำคัญอย่างรุนแรงจนกระตุ้นให้เกิดการโจมตีระดับนานาชาติและ การตอบสนองของรัฐบาลระดับสูง.

การโจมตีที่พาดหัวข่าวดังกล่าวกระตุ้นให้มีการตรวจสอบและร่วมมือกันโดยหน่วยงานบังคับใช้กฎหมายและการป้องกันเพื่อดำเนินการกับผู้ให้บริการแรนซัมแวร์ ซึ่งนำไปสู่การหยุดชะงักของการดำเนินการทางอาญา รวมถึงการจับกุมและการดำเนินคดี อาชญากรส่วนใหญ่อยากจะเก็บกิจกรรมของตนไว้เป็นความลับ เมื่อพิจารณาจากจำนวนเป้าหมายที่เป็นไปได้ ผู้ปฏิบัติงานสามารถฉวยโอกาสในขณะที่ลดความเสี่ยงในการปฏิบัติงานของตนเองให้เหลือน้อยที่สุด ผู้ดำเนินการแรนซัมแวร์ได้เลือกสรรมากขึ้นในการกำหนดเป้าหมายไปที่เหยื่อ โดยอาศัยข้อมูลบริษัทที่มีรายละเอียดและละเอียดซึ่งจัดทำโดย IAB

4. คนวงในถูกล่อลวงด้วยพายชิ้นหนึ่ง

ผู้ดำเนินการแรนซัมแวร์ยังค้นพบว่าพวกเขาสามารถเกณฑ์พนักงานโกงเพื่อช่วยให้พวกเขาเข้าถึงได้ อัตราการแปลงอาจต่ำ แต่ผลตอบแทนก็คุ้มค่ากับความพยายาม

A การสำรวจโดย Hitachi ID ซึ่งดำเนินการระหว่างวันที่ 7 ธันวาคม 2021 ถึง 4 มกราคม 2022 พบว่า 65% ของผู้ตอบแบบสอบถามกล่าวว่าพนักงานของตนได้รับการติดต่อจากผู้แสดงภัยคุกคาม เพื่อช่วยให้สามารถเข้าถึงเบื้องต้นได้ คนวงในที่ตกเป็นเหยื่อล่อมีเหตุผลที่แตกต่างกันในการเต็มใจที่จะทรยศต่อบริษัทของตน แม้ว่าความไม่พอใจต่อนายจ้างจะเป็นแรงจูงใจที่พบบ่อยที่สุดก็ตาม

ไม่ว่าจะด้วยเหตุผลใดก็ตาม ข้อเสนอของกลุ่มแรนซัมแวร์ก็อาจดึงดูดใจได้ ในแบบสำรวจของ Hitachi ID นั้น 57% ของพนักงานที่ได้รับการติดต่อได้รับการเสนอให้มีมูลค่าน้อยกว่า 500,000 ดอลลาร์สหรัฐฯ, 28% ได้รับการเสนอราคาระหว่าง 500,000 ถึง 1 ล้านดอลลาร์สหรัฐฯ และ 11% ได้รับการเสนอราคามากกว่า 1 ล้านดอลลาร์

ขั้นตอนการปฏิบัติเพื่อปรับปรุงการป้องกัน

กลยุทธ์การพัฒนาที่กล่าวถึงในที่นี้จะเพิ่มภัยคุกคามให้กับผู้ให้บริการแรนซัมแวร์ แต่มีขั้นตอนที่องค์กรสามารถทำได้เพื่อปกป้องตนเอง:

• ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดแบบ Zero Trust เช่น การรับรองความถูกต้องด้วยหลายปัจจัย (MFA) และการเข้าถึงที่มีสิทธิ์น้อยที่สุด เพื่อจำกัดผลกระทบของข้อมูลประจำตัวที่ถูกบุกรุก และเพิ่มโอกาสในการตรวจพบกิจกรรมที่ผิดปกติ
• มุ่งเน้นการบรรเทาภัยคุกคามจากภายใน แนวทางปฏิบัติที่สามารถช่วยจำกัดการกระทำที่เป็นอันตรายไม่เพียงแต่โดยพนักงานเท่านั้น แต่ยังรวมถึงผู้กระทำภายนอกด้วย (ซึ่งท้ายที่สุดแล้วดูเหมือนจะเป็นคนวงในเมื่อพวกเขาสามารถเข้าถึงได้)
  
• ดำเนินการตามล่าภัยคุกคามเป็นประจำ ซึ่งสามารถช่วยตรวจจับการโจมตีที่ไม่มีไฟล์และผู้คุกคามที่ทำงานเพื่อหลบเลี่ยงการป้องกันของคุณตั้งแต่เนิ่นๆ

ผู้โจมตีมักจะมองหาวิธีใหม่ๆ ในการแทรกซึมระบบขององค์กร และแนวทางใหม่ที่เราเห็นนี้ช่วยเพิ่มข้อได้เปรียบที่อาชญากรไซเบอร์มีเหนือองค์กรที่ไม่ได้เตรียมพร้อมสำหรับการโจมตีอย่างแน่นอน อย่างไรก็ตาม องค์กรต่างๆ ยังห่างไกลจากการทำอะไรไม่ถูก ด้วยการทำตามขั้นตอนที่ใช้งานได้จริงและผ่านการพิสูจน์แล้วตามที่ระบุไว้ในบทความนี้ องค์กรต่างๆ สามารถทำให้ชีวิตของ IAB และกลุ่มแรนซัมแวร์เป็นเรื่องยากลำบากได้ แม้ว่าจะมีกลยุทธ์ใหม่ๆ ก็ตาม