Tội phạm mạng ngày càng trở nên chiến lược và chuyên nghiệp hơn ransomware. Họ ngày càng mô phỏng cách thức hoạt động của các doanh nghiệp hợp pháp, bao gồm cả việc tận dụng chuỗi cung ứng dịch vụ tội phạm mạng đang phát triển.
Bài viết này mô tả bốn xu hướng ransomware chính và đưa ra lời khuyên về cách tránh trở thành nạn nhân của các cuộc tấn công mới này.
1. IAB đang gia tăng
Tội phạm mạng đang trở nên sinh lời nhiều hơn, bằng chứng là sự phát triển của các nhà môi giới truy cập ban đầu (IAB) chuyên tấn công các công ty, đánh cắp thông tin đăng nhập và bán quyền truy cập đó cho những kẻ tấn công khác. IAB là mắt xích đầu tiên trong chuỗi tiêu diệt tội phạm mạng dưới dạng dịch vụ, một nền kinh tế ngầm gồm các dịch vụ có sẵn mà bất kỳ tội phạm nào cũng có thể mua để xây dựng chuỗi công cụ phức tạp nhằm thực hiện hầu hết mọi hành vi phạm tội kỹ thuật số có thể tưởng tượng được.
Khách hàng hàng đầu của IAB là những kẻ điều hành ransomware, những người sẵn sàng trả tiền để truy cập vào các nạn nhân đã có sẵn trong khi họ tập trung nỗ lực vào việc tống tiền và cải thiện phần mềm độc hại của mình.
Vào năm 2021, có hơn 1,300 danh sách IAB trên các diễn đàn tội phạm mạng lớn do Trung tâm tình báo mạng KELA giám sát, với gần một nửa đến từ 10 IAB. Trong hầu hết các trường hợp, giá để truy cập là từ 1,000 USD đến 10,000 USD, với giá bán trung bình là 4,600 USD. Trong số tất cả các dịch vụ có sẵn, thông tin đăng nhập VPN và quyền truy cập của quản trị viên tên miền nằm trong số đó. có giá trị nhất.
2. Các cuộc tấn công phi tập tin bay dưới radar
Tội phạm mạng đang học theo mối đe dọa liên tục nâng cao (APT) và những kẻ tấn công quốc gia bằng cách sử dụng các kỹ thuật sống ngoài đất liền (LotL) và không dùng tệp để cải thiện cơ hội trốn tránh bị phát hiện nhằm triển khai thành công phần mềm ransomware.
Các cuộc tấn công này tận dụng các công cụ phần mềm hợp pháp, có sẵn công khai thường được tìm thấy trong môi trường của mục tiêu. Ví dụ, 91% Phần mềm tống tiền DarkSide các cuộc tấn công liên quan đến các công cụ hợp pháp, chỉ có 9% sử dụng phần mềm độc hại, theo báo cáo bởi Bảo mật Picus. Các cuộc tấn công khác đã được phát hiện là 100% không có tệp.
Bằng cách này, các tác nhân đe dọa sẽ tránh bị phát hiện bằng cách tránh các chỉ báo “xấu đã biết”, chẳng hạn như tên quy trình hoặc hàm băm tệp. Danh sách cho phép ứng dụng, cho phép sử dụng các ứng dụng đáng tin cậy, cũng không hạn chế được những người dùng độc hại, đặc biệt là đối với các ứng dụng phổ biến.
3. Các nhóm ransomware nhắm mục tiêu vào các mục tiêu cấu hình thấp
Các hồ sơ cao Đường ống thuộc địa Cuộc tấn công ransomware vào tháng 2021 năm XNUMX đã ảnh hưởng nghiêm trọng đến cơ sở hạ tầng quan trọng đến mức gây ra một cuộc tấn công quốc tế và phản ứng hàng đầu của chính phủ.
Các cuộc tấn công gây chú ý như vậy thúc đẩy các cơ quan thực thi pháp luật và quốc phòng phải xem xét kỹ lưỡng và phối hợp nỗ lực chống lại những kẻ khai thác ransomware, dẫn đến sự gián đoạn các hoạt động tội phạm cũng như các vụ bắt giữ và truy tố. Hầu hết tội phạm thà giữ hoạt động của họ dưới radar. Với số lượng mục tiêu tiềm năng, các nhà khai thác có thể tận dụng cơ hội đồng thời giảm thiểu rủi ro cho hoạt động của chính họ. Những kẻ tấn công ransomware đã trở nên chọn lọc hơn rất nhiều trong việc nhắm mục tiêu vào nạn nhân, nhờ vào bản đồ công nghệ chi tiết và chi tiết do IAB cung cấp.
4. Người trong cuộc bị cám dỗ bởi một miếng bánh
Những kẻ điều hành ransomware cũng đã phát hiện ra rằng họ có thể chiêu mộ những nhân viên lừa đảo để giúp họ giành quyền truy cập. Tỷ lệ chuyển đổi có thể thấp nhưng kết quả đạt được có thể xứng đáng với nỗ lực.
A khảo sát của Hitachi ID được thực hiện từ ngày 7 tháng 2021 năm 4 đến ngày 2022 tháng 65 năm XNUMX, cho thấy XNUMX% số người được hỏi cho biết nhân viên của họ đã bị các tác nhân đe dọa tiếp cận để giúp cung cấp quyền truy cập ban đầu. Những người trong cuộc mắc bẫy có nhiều lý do khác nhau để sẵn sàng phản bội công ty của họ, mặc dù sự không hài lòng với người chủ của họ là động cơ phổ biến nhất.
Dù lý do là gì đi nữa, những lời đề nghị do các nhóm ransomware đưa ra có thể rất hấp dẫn. Trong khảo sát của Hitachi ID, 57% nhân viên được liên hệ được đề nghị mức lương dưới 500,000 USD, 28% được đề nghị từ 500,000 USD đến 1 triệu USD và 11% được đề nghị trên 1 triệu USD.
Các bước thực tế để cải thiện khả năng bảo vệ
Các chiến thuật ngày càng phát triển được thảo luận ở đây làm tăng mối đe dọa từ những kẻ khai thác ransomware, nhưng có một số bước mà các tổ chức có thể thực hiện để tự bảo vệ mình:
- Thực hiện theo các phương pháp hay nhất về không tin cậy, chẳng hạn như xác thực đa yếu tố (MFA) và quyền truy cập có đặc quyền thấp nhất, để hạn chế tác động của thông tin xác thực bị xâm phạm và tăng cơ hội phát hiện hoạt động bất thường.
- Tập trung vào việc giảm thiểu các mối đe dọa nội bộ, một phương pháp có thể giúp hạn chế các hành động nguy hiểm không chỉ của nhân viên mà còn của các tác nhân bên ngoài (những người xét cho cùng dường như là người trong cuộc sau khi họ có được quyền truy cập).
- Tiến hành săn lùng mối đe dọa thường xuyên, điều này có thể giúp phát hiện các cuộc tấn công không cần dùng tệp và các tác nhân đe dọa đang cố gắng sớm né tránh hệ thống phòng thủ của bạn.
Những kẻ tấn công luôn tìm kiếm những cách mới để xâm nhập vào hệ thống của các tổ chức và những thủ đoạn mới mà chúng tôi đang thấy chắc chắn sẽ tăng thêm lợi thế mà tội phạm mạng có được so với các tổ chức không được chuẩn bị cho các cuộc tấn công. Tuy nhiên, các tổ chức không hề bất lực. Bằng cách thực hiện các bước thực tế và đã được chứng minh được nêu trong bài viết này, các tổ chức có thể khiến cuộc sống của các IAB và các nhóm ransomware trở nên rất khó khăn, bất chấp loạt chiến thuật mới của họ.
