Raport: Ransomware-as-a-Service to „samodzielna branża”
Opublikowany: 2022-06-24Nowy raport ujawnił zawiłości internetowego ekosystemu oprogramowania ransomware, stwierdzając, że aktorzy współpracujący z grupami ransomware wymagają większej uwagi niż obecnie.
Raport szczegółowo opisuje, w jaki sposób cyberprzestępcy stosują niezliczone techniki wymuszeń – często jednocześnie – w celu zmuszenia firm do negocjowania i ostatecznie uiszczania opłat za ochronę i/lub odzyskiwanie ich danych.
Dzięki zrozumieniu wektorów ataków, które są najczęściej wykorzystywane przez grupy oprogramowania ransomware, firmy mogą podjąć działania w celu ochrony siebie. Na przykład menedżery haseł to jeden ze sposobów na zapewnienie, że pracownicy Twojej firmy nie zapewniają łatwego dostępu ze słabymi danymi uwierzytelniającymi konto.
Ransomware jako usługa kwitnie
Raport Tenable wyjaśnia, że głównym powodem niedawnego boomu na oprogramowanie ransomware jest „pojawienie się oprogramowania ransomware jako usługi (RaaS)”.
Zasadniczo RaaS jest modelem usług, podobnie jak oprogramowanie jako usługa. Grupy ransomware tworzą oprogramowanie, ale potem inni aktorzy włamują się do systemów i wdrażają je.
Wcześniej to same grupy ransomware wykonywały wszystkie działania w tym procesie, ale teraz system jest nieskończenie bardziej złożony i istnieją różne etapy, na których drobni aktorzy mogą zarabiać pieniądze.
Wyjaśnienie ekosystemu ransomware
Tenable wyjaśnia, że ekosystem oprogramowania ransomware nie składa się tylko z grup oprogramowania ransomware. Grupy ransomware są twórcami i właścicielami „produktu” i z kolei przyciągają dużą uwagę, ale ogólnie rzecz biorąc, firma identyfikuje trzy główne „role”, które odgrywają rolę w większości ataków ransomware: IAB, podmioty stowarzyszone i grupy oprogramowania ransomware.
Brokerzy dostępu początkowego (IAB) to „wyspecjalizowana grupa cyberprzestępców odpowiedzialnych za uzyskiwanie dostępu do organizacji za pomocą różnych środków”.
Raport wyjaśnia, że zamiast wykorzystywać nieuzasadniony dostęp do organizowania własnego ataku ransomware, IAB „utrzymują trwałość w sieciach organizacji ofiar i sprzedają go innym osobom lub grupom w ekosystemie cyberprzestępczym”.
Rynek IAB był wart 1,6 mln USD w 2019 r., ale wzrósł do 7,1 mln USD w 2021 r. (Grupa-IB). Jest to znacznie mniejsza liczba niż pieniądze zarobione gdzie indziej w łańcuchu oprogramowania ransomware, po prostu dlatego, że ryzyko jest znacznie mniejsze.
Rynek brokerów dostępu początkowego (IAB) był wart 1,6 mln USD w 2019 r., ale wzrósł do 7,1 mln USD w 2021 r. – Group-IB
Po włamaniu się IAB aktorzy znani jako Partnerzy kupią dostęp, który wydobyli, za kilkaset do kilku tysięcy dolarów. Alternatywnie, w celu włamania się na serwery firmy będą używać wektorów ataków, takich jak systemy protokołów zdalnego pulpitu wymuszających brutalność, phishing, luki w systemie lub skradzione dane uwierzytelniające.
Raport mówi, że ci aktorzy działają podobnie jak marketerzy afiliowani, którzy znajdują potencjalnych klientów w normalnych, zgodnych z prawem praktykach biznesowych – infekują system i pozwalają grupie oprogramowania ransomware „zamknąć umowę” i rozpocząć proces negocjacji.
Partnerzy często otrzymują instrukcje od samych grup zajmujących się oprogramowaniem ransomware, pomagając testować i wykorzystywać ich kreacje.
Jak „podwójne”, „potrójne” i „poczwórne” wymuszenia sprawiają, że firmy płacą?
Tradycyjnie grupy ransomware szyfrowały pliki firmy i zmuszały je do płacenia za ich odszyfrowanie. Jednak obecnie większość firm ma bezpieczne kopie zapasowe plików, więc ta metoda stawała się coraz bardziej nieskuteczna.
Jednak w ciągu ostatnich kilku lat „podwójne wymuszenie” stało się standardem dla wielu grup oprogramowania ransomware. Polega to na „wykradaniu danych z organizacji ofiar i publikowaniu zwiastunów” na forach dark web i witrynach wycieków. Firmy przerażone, że prywatne i poufne informacje zostaną ujawnione online, a następnie płacą.
W 2021 r. REvil zabezpieczył 11 milionów dolarów płatności od JBS, mimo że system firmy był „w pełni operacyjny” w momencie płatności.
Jednak ta taktyka ma już kilka lat, a Tenable twierdzi, że inne techniki są używane razem w „potrójnych” lub nawet „poczwórnych” próbach wymuszeń.
Metody obejmują kontaktowanie się z klientami, do których odnoszą się skradzione dane, grożenie sprzedażą skradzionych danych oferentom oferującym najwyższą cenę oraz ostrzeganie ofiar przed kontaktowaniem się z organami ścigania.
Skup się poza grupami ransomware
Raport sugeruje, że należy zwrócić większą uwagę na kluczową rolę, jaką IAB i podmioty stowarzyszone odgrywają w ekosystemie oprogramowania ransomware.
Grupy ransomware są w zasadzie nietrwałe. Im większy sukces mają, tym więcej partnerów chce się do nich zwrócić i korzystać z ich oprogramowania, ale z kolei im więcej organów ścigania próbuje ich wyśledzić.
Wiele „niesławnych” grup oprogramowania ransomware, które dziś pojawiają się na pierwszych stronach gazet, takich jak grupa Conti , jest następcami innych grup oprogramowania ransomware. Jeśli rozpocząłeś dochodzenie w sprawie grupy, może ona nawet nie istnieć za rok. IAB i podmioty stowarzyszone jednak to zrobią.
Co firmy mogą zrobić, aby się chronić?
Firma Tenable oferuje szereg różnych kroków, które firmy mogą podjąć, aby upewnić się, że nie staną się kolejną ofiarą wyłudzającego ataku oprogramowania ransomware. Obejmują one korzystanie z uwierzytelniania wieloskładnikowego, ciągłe kontrolowanie uprawnień użytkowników do kont, łatanie wrażliwych zasobów w sieci, wzmacnianie protokołów zdalnego pulpitu oraz używanie odpowiedniego oprogramowania antywirusowego .
Lista zawiera również wzmocnienie haseł pracowników i informuje, że „wymagania dotyczące haseł obejmują długie i niewymagające słownika słowa”. Jednym ze sposobów upewnienia się, że hasła są wystarczająco długie bez konieczności ich zapamiętywania, jest użycie menedżera haseł , który umożliwi również pracownikom tworzenie unikalnych haseł do wszystkich kont, które posiadają, zamiast ich ponownego używania.
Biorąc pod uwagę, że rynek RaaS – i uczestniczące w nim szkodliwe grupy – nie wykazuje oznak spowolnienia, podejmowanie najwyższych środków ostrożności z danymi nigdy nie było ważniejsze.