Raport: Ransomware-as-a-Service este o „industrie care se autosusține”
Publicat: 2022-06-24Un nou raport a dezvăluit complexitățile ecosistemului ransomware al internetului, concluzionand că actorii care lucrează alături de grupurile de ransomware solicită mai multă atenție decât primesc în prezent.
Raportul detaliază modul în care actorii amenințărilor implementează o multitudine de tehnici de extorcare – adesea în tandem – pentru a forța companiile să negocieze și, în cele din urmă, să plătească taxe pentru a-și proteja și/sau recupera datele.
Înțelegând vectorii de atac care sunt utilizați cel mai frecvent de grupurile de ransomware, companiile pot lua măsuri pentru a se proteja. Managerii de parole , de exemplu, sunt o modalitate de a vă asigura că angajații companiei dvs. nu oferă o modalitate ușoară de acces cu acreditările slabe ale contului.
Ransomware-as-a-Service este în plină expansiune
Raportul lui Tenable explică că un motiv-cheie din spatele boom-ului recent ransomware este „apariția ransomware-as-a-service (RaaS)”.
În esență, RaaS este un model de serviciu, la fel ca Software-as-a-Service. Grupurile de ransomware produc software-ul, dar apoi alți actori ajung să intre în sisteme și să îl implementeze.
Înainte de aceasta, grupurile de ransomware erau cele care efectuau fiecare acțiune în acest proces, dar acum, sistemul este infinit mai complex și există diferite etape în care actorii mai mici pot face bani.
Ecosistemul ransomware explicat
Tenable explică că ecosistemul ransomware este, cel mai important, alcătuit nu doar din grupuri de ransomware. Grupurile de ransomware sunt creatorii și proprietarii „produsului” și, la rândul lor, primesc o mare parte a atenției, dar, per total, compania identifică trei „roluri” principale care joacă un rol în majoritatea atacurilor ransomware: IAB-uri, afiliați și grupuri de ransomware.
Brokerii de acces inițial (IAB) sunt un „grup specializat de criminali cibernetici responsabil de obținerea accesului la organizații printr-o varietate de mijloace”.
În loc să-și folosească accesul nejustificat pentru a-și orchestra propriul atac ransomware, explică raportul, IAB-urile „mentin persistența în rețelele organizațiilor victime și o vând altor persoane sau grupuri din ecosistemul criminalității cibernetice”.
Piața pentru IAB a fost în valoare de 1,6 milioane USD în 2019, dar a crescut la 7,1 milioane USD în 2021 (Grupul-IB). Aceasta este o cifră mult mai mică decât banii câștigați în altă parte a lanțului de ransomware, pur și simplu pentru că există mult mai puțin risc.
Piața brokerilor de acces inițial (IAB) a fost în valoare de 1,6 milioane USD în 2019, dar a crescut la 7,1 milioane USD în 2021 – Group-IB
După intrarea IAB-urilor, actorii cunoscuți sub numele de Afiliați vor cumpăra accesul pe care l-au exploatat oriunde între câteva sute și câteva mii de dolari. În mod alternativ, vor folosi vectori de atac, cum ar fi sistemele de protocol de desktop la distanță cu forțare brută, phishingul, vulnerabilitățile sistemului sau acreditările furate pentru a pătrunde în serverele companiei.
Raportul spune că acești actori lucrează la fel ca agenții de marketing afiliați care găsesc clienți potențiali în practicile de afaceri normale și legitime - infectează sistemul și lasă grupul de ransomware să „închidă afacerea” și să demareze procesul de negociere.
Afiliații sunt adesea sub instrucțiuni de la grupurile de ransomware, ajutând la testarea și utilizarea creațiilor lor.
Cum extorcarea „dublă”, „trilă” și „cvadrupla” face companiile să plătească
În mod tradițional, grupurile de ransomware criptau fișierele unei companii și le obligau să plătească pentru a le decripta. Dar în zilele noastre, majoritatea companiilor au copii de siguranță ale fișierelor, așa că această metodă a devenit din ce în ce mai ineficientă.
În ultimii ani, totuși, „extorcarea dublă” a devenit standardul pentru multe grupuri de ransomware. Aceasta constă în „exfiltrarea datelor de la organizațiile victimelor și publicarea de teasere” pe forumuri dark web și site-uri web cu scurgeri de informații. Companiile sunt îngrozite de faptul că informațiile private și confidențiale vor fi scurse online, iar ulterior plătesc.
În 2021, REvil a asigurat o plată de 11 milioane de dolari de la JBS, în ciuda faptului că sistemul companiei era „pe deplin operațional” la momentul plății.
Cu toate acestea, această tactică are acum câțiva ani, iar Tenable spune că alte tehnici sunt folosite în tandem una cu cealaltă în încercări de extorcare „triple” sau chiar „cvadruple”.
Metodele includ contactarea clienților la care se referă datele furate, amenințarea că va vinde datele furate celor mai mari ofertanți și avertizarea victimelor împotriva contactării agențiilor de aplicare a legii.
Concentrați-vă dincolo de grupurile de ransomware
Raportul sugerează că rolul crucial pe care IAB-urile și afiliații îl joacă în cadrul ecosistemului ransomware ar trebui să i se acorde mai multă atenție.
Grupurile de ransomware sunt, în esență, impermanente. Cu cât au mai mult succes, cu atât mai mulți afiliați doresc să se orienteze spre ei și să-și folosească software-ul, dar apoi, la rândul lor, cu atât mai multe agenții de aplicare a legii încearcă să-i dea de urma.
Multe dintre grupurile de ransomware „infame” care fac titluri astăzi, precum grupul Conti , sunt succesorii altor grupuri de ransomware. Dacă ai început o investigație asupra unui grup, s-ar putea să nu mai existe nici peste un an. IAB-urile și afiliații, totuși, vor.
Ce pot face afacerile pentru a se proteja?
Tenable oferă o serie de pași de atenuare diferiți pe care companiile le pot lua pentru a se asigura că nu sunt următoarele victime ale unui atac de tip ransomware extorsionat. Acestea includ utilizarea autentificării cu mai mulți factori, auditarea continuă a permisiunilor utilizatorilor pentru conturi, corecția activelor vulnerabile din rețea, consolidarea protocoalelor desktop la distanță și utilizarea software-ului antivirus adecvat.
Lista include, de asemenea, consolidarea parolelor angajaților dvs. și recomandă că „cerințele de parolă includ cuvinte lungi și non-dicționare”. O modalitate de a vă asigura că parolele sunt suficient de lungi fără a fi nevoie să le amintiți este să utilizați un manager de parole , care va permite, de asemenea, personalului dvs. să creeze parole unice pentru toate conturile pe care le dețin, în loc să le refolosească.
Având în vedere că piața RaaS – și grupurile rău intenționate care participă la ea – nu prezintă semne de încetinire, luarea celor mai mari precauții cu datele dumneavoastră nu a fost niciodată mai importantă.