Кіберзлочинці стають більш стратегічними та професійними вимагачів. Вони все більше наслідують те, як працюють законні підприємства, включно з використанням зростаючого ланцюжка постачання кіберзлочинності як послуги.
У цій статті описано чотири ключові тенденції програм-вимагачів і надано поради щодо того, як не стати жертвою цих нових атак.
1. IABs на підйомі
Кіберзлочинність стає все більш прибутковою, про що свідчить зростання кількості брокерів початкового доступу (IAB), які спеціалізуються на зламі компаній, викраденні облікових даних і продажу цього доступу іншим зловмисникам. IAB є першою ланкою в ланцюжку знищення кіберзлочинності як послуги, тіньової економіки готових послуг, які будь-який потенційний злочинець може придбати для створення складних ланцюжків інструментів для вчинення майже будь-якого цифрового злочину, який тільки можна уявити.
Основними клієнтами IAB є оператори програм-вимагачів, які готові платити за доступ до готових жертв, зосереджуючи власні зусилля на здирництві та покращенні свого шкідливого програмного забезпечення.
У 2021 році їх було понад 1,300 списків IAB на головних форумах щодо кіберзлочинності, які відстежує Центр кіберрозвідки KELA, причому майже половина приходить з 10 IAB. У більшості випадків ціна доступу становила від 1,000 до 10,000 4,600 доларів США, а середня ціна продажу – XNUMX доларів США. Серед усіх доступних пропозицій були облікові дані VPN і доступ адміністратора домену найцінніше.
2. Безфайлові атаки залишаються поза увагою
Кіберзлочинці беруть приклад з передових постійних загроз (APT) і зловмисників з національних держав, застосовуючи живі поза межами (LotL) і безфайлові методи, щоб підвищити свої шанси уникнути виявлення та успішно розгорнути програми-вимагачі.
Ці атаки використовують законні, загальнодоступні програмні засоби, які часто зустрічаються в середовищі цілі. Наприклад, 91% з Програма-вимагач DarkSide Згідно з даними, атаки використовували законні інструменти, лише 9% з них використовували зловмисне програмне забезпечення повідомити від Picus Security. Було виявлено й інші атаки, які були на 100% без файлів.
Таким чином, суб’єкти загрози уникають виявлення, уникаючи «відомо шкідливих» індикаторів, таких як імена процесів або хеші файлів. Списки дозволених додатків, які дозволяють використання довірених програм, також не можуть обмежити зловмисних користувачів, особливо це стосується всюдисущих програм.
3. Групи програм-вимагачів, націлені на маловідомі цілі
Гучний Колоніальний трубопровід Атака програм-вимагачів у травні 2021 року настільки серйозно вплинула на критичну інфраструктуру, що спричинила міжнародну та відповідь вищого уряду.
Такі резонансні атаки спонукають до перевірки та узгоджених зусиль правоохоронних органів і оборонних органів проти операторів програм-вимагачів, що призводить до зриву злочинних операцій, а також до арештів і судових переслідувань. Більшість злочинців воліли б тримати свою діяльність поза увагою. Враховуючи кількість потенційних цілей, оператори можуть дозволити собі бути оппортуністичними, мінімізуючи ризик для власної діяльності. Актори програм-вимагачів стали набагато вибірковішими у своїх націлюваннях на жертв, що стало можливим завдяки детальній і детальній фірмовій графіці, наданій IAB.
4. Інсайдери спокушаються шматком пирога
Оператори програм-вимагачів також виявили, що вони можуть залучати шахраїв, щоб допомогти їм отримати доступ. Коефіцієнт конверсії може бути низьким, але виграш вартий зусиль.
A опитування Hitachi ID У період між 7 грудня 2021 року та 4 січня 2022 року виявилося, що 65% респондентів сказали, що до їхніх співробітників зверталися загрозливі особи, щоб допомогти надати первинний доступ. Інсайдери, які ловлять вудку, мають різні причини, щоб зрадити свої компанії, хоча найпоширенішим мотиватором є невдоволення своїм роботодавцем.
Якою б не була причина, пропозиції груп програм-вимагачів можуть бути спокусливими. В опитуванні Hitachi ID 57% співробітників, з якими зв’язалися, пропонували менше 500,000 28 доларів США, 500,000% – від 1 11 доларів до 1 мільйона доларів США, а XNUMX% – більше XNUMX мільйона доларів США.
Практичні кроки до покращення захисту
Обговорювані тут тактики, що розвиваються, збільшують загрозу від операторів програм-вимагачів, але є кроки, які організації можуть вжити, щоб захистити себе:
- Дотримуйтесь найкращих практик нульової довіри, наприклад багатофакторна автентифікація (MFA) і доступ із найменшими привілеями, щоб обмежити вплив скомпрометованих облікових даних і збільшити ймовірність виявлення аномальної активності.
- Зосередьтеся на пом’якшенні внутрішніх загроз, практика, яка може допомогти обмежити зловмисні дії не лише співробітників, але й зовнішніх учасників (які, зрештою, здаються інсайдерами, коли вони отримали доступ).
- Проводити регулярне полювання на загрозу, що може допомогти виявити безфайлові атаки та загрозливих суб’єктів, які намагаються уникнути вашого захисту.
Зловмисники завжди шукають нові способи проникнення в системи організацій, і нові прийоми, які ми бачимо, безумовно, додають переваг кіберзлочинцям перед організаціями, які не готові до атак. Однак організації далеко не безпорадні. Використовуючи практичні та перевірені кроки, викладені в цій статті, організації можуть дуже ускладнити життя IAB та групам програм-вимагачів, незважаючи на їхні нові тактики.
