Програмне забезпечення-вимагач є найбільшою загрозою кібербезпеці, з якою сьогодні стикаються організації. Але нещодавно керівники Агентства національної безпеки та ФБР вказав, що напади зменшилися протягом першої половини 2022 року. Поєднання санкцій проти Росії, звідки походить багато угруповань кіберзлочинців, і обвалу ринків криптовалюти могло вплинути, ускладнивши угрупованням програм-вимагачів вилучення коштів і отримання виплат.
але ми ще не вийшли з лісу. Незважаючи на тимчасовий спад, програми-вимагачі не тільки процвітають, але й розвиваються. Сьогодні програмне забезпечення-вимагач як послуга (RaaS) еволюціонувало від коммерціалізованої автоматизованої моделі, яка базується на попередньо розфасованих наборах експлойтів, до керованої людиною, високоцільової та складної бізнес-операції. Це причина для занепокоєння для компаній будь-якого розміру.
Становлення RaaS
Загальновідомо, що сучасні кіберзлочинці добре оснащені, високо мотивовані та дуже ефективні. Вони не стали такими випадково, і вони не залишалися такими ефективними без постійного розвивати свої технології та методології. Мотивація величезної фінансової вигоди була єдиною постійною.
Ранні атаки програм-вимагачів були простими, орієнтованими на технології. Атаки змусили зосередитися на можливостях резервного копіювання та відновлення, що спонукало зловмисників шукати резервні копії в Інтернеті та шифрувати їх також під час атаки. Успіх зловмисників призвів до отримання більших викупів, а більші вимоги викупу зменшили ймовірність того, що жертва заплатить, і збільшили ймовірність того, що правоохоронні органи втручаться. Угруповання програм-вимагачів відповіли вимаганням. Вони перейшли не лише до шифрування даних, але й до викрадання та погроз оприлюднити часто конфіденційні дані клієнтів або партнерів жертви, створюючи більш складний ризик пошкодження бренду та репутації. Сьогодні зловмисники-вимагачі нерідко шукають поліс кіберстрахування жертви, щоб допомогти встановити вимогу викупу та зробити весь процес (включаючи оплату) максимально ефективним.
Ми також бачили менш дисципліновані (але не менш шкідливі) атаки програм-вимагачів. Наприклад, вибір у свою чергу сплатити викуп також визначає жертву як надійну придатну для майбутньої атаки, збільшуючи ймовірність того, що вона знову постраждає від тієї самої чи іншої банди програм-вимагачів. Оцінки досліджень між 50% до 80% (PDF) організацій, які заплатили викуп, зазнали повторної атаки.
З розвитком атак програм-вимагачів розвивалися й технології безпеки, особливо в сферах ідентифікації та блокування загроз. Технології захисту від фішингу, фільтри спаму, антивіруси та виявлення зловмисного програмного забезпечення були налаштовані на сучасні загрози, щоб мінімізувати загрозу компрометації через електронну пошту, шкідливі веб-сайти чи інші популярні вектори атак.
Ця відома гра «в кішки-мишки» між супротивниками та постачальниками засобів безпеки, які забезпечують кращий захист і витончені підходи до припинення атак програм-вимагачів, призвела до більшої співпраці в рамках глобальних груп кіберзлочинців. Подібно до спеціалістів із злому сейфів і сигналізації, які використовуються під час традиційних пограбувань, експерти з розробки зловмисного програмного забезпечення, доступу до мережі та експлуатації є джерелом сучасних атак і створив умови для наступної еволюції програм-вимагачів.
Модель RaaS сьогодні
RaaS перетворився на складну, керовану людьми операцію зі складною бізнес-моделлю розподілу прибутку. Оператор RaaS, який раніше, можливо, працював незалежно, тепер укладає контракти зі спеціалістами, щоб збільшити шанси на успіх.
Оператор RaaS, який обслуговує спеціальні інструменти програм-вимагачів, спілкується з жертвою та забезпечує платежі, тепер часто працюватиме разом із хакером високого рівня, який сам здійснить вторгнення. Наявність інтерактивного зловмисника в цільовому середовищі дає змогу приймати рішення під час атаки. Працюючи разом, вони виявляють конкретні слабкі місця в мережі, підвищують привілеї та шифрують найбільш конфіденційні дані, щоб забезпечити виплати. Крім того, вони проводять розвідку, щоб знайти та видалити онлайн-резервні копії та відключити засоби безпеки. Найнятий хакер часто працює разом із посередником доступу, який відповідає за надання доступу до мережі за допомогою викрадених облікових даних або механізмів збереження, які вже існують.
Атаки, які є результатом цієї співпраці експертів, мають відчуття та вигляд «старомодних», фінансованих державою вдосконалених стійких атак у стилі загроз, але вони набагато більш поширені.
Як організації можуть захистити себе
Нова модель RaaS, керована людиною, є набагато складнішою, цілеспрямованою та руйнівнішою, ніж моделі RaaS минулого, але організації все ще можуть дотримуватися найкращих практик, щоб захистити себе.
Організації повинні дотримуватися гігієни безпеки. ІТ постійно змінюються, і щоразу, коли додається нова кінцева точка або оновлюється система, це потенційно може створити нову вразливість або ризик. Команди безпеки повинні залишатися зосередженими на найкращих практиках безпеки: виправлення, використання багатофакторної автентифікації, застосування надійних облікових даних, сканування Dark Web на наявність скомпрометованих облікових даних, навчання співробітників тому, як виявляти спроби фішингу тощо. Ці найкращі практики допомагають зменшити поверхню атаки і звести до мінімуму ризик того, що брокер доступу зможе використати вразливість для входу. Крім того, чим сильніша гігієна безпеки в організації, тим менше «шуму» буде для аналітиків, які будуть аналізувати дані в центрі безпеки (SOC), що дозволить їм зосередитися на реальній загрозі, коли її буде виявлено.
Окрім найкращих практик безпеки, організації також повинні забезпечити розширені можливості виявлення загроз і реагування на них. Оскільки брокери доступу витрачають час на розвідку в інфраструктурі організації, аналітики безпеки мають можливість помітити їх і зупинити атаку на ранніх стадіях — але лише за наявності відповідних інструментів. Організаціям слід шукати розширені рішення для виявлення та реагування, які можуть виявляти та взаємно корелювати телеметрію з подій безпеки в їхніх кінцевих точках, мережах, серверах, електронних і хмарних системах і програмах. Їм також потрібна здатність реагувати на виявлення атаки, щоб швидко її припинити. Великі підприємства можуть мати ці можливості, вбудовані в SOC, тоді як організації середнього розміру можуть розглянути модель керованого виявлення та реагування для цілодобового моніторингу загроз та реагування на них.
Незважаючи на останній спад кількості атак програм-вимагачів, фахівцям із безпеки не слід очікувати, що загроза зникне найближчим часом. RaaS продовжить розвиватися, з останніми адаптаціями, заміненими новими підходами у відповідь на інновації в кібербезпеці. Але якщо зосередитися на найкращих практиках безпеки в поєднанні з ключовими технологіями запобігання загрозам, їх виявлення та реагування, організації стануть більш стійкими до атак.
