Отчет: Программа-вымогатель как услуга — это «самоокупаемая отрасль»
Опубликовано: 2022-06-24В новом отчете раскрываются сложности экосистемы программ-вымогателей в Интернете, и делается вывод о том, что действующие лица, работающие вместе с группами программ-вымогателей, требуют большего внимания, чем они получают в настоящее время.
В отчете подробно описывается, как злоумышленники используют множество методов вымогательства — часто в тандеме — чтобы заставить компании вести переговоры и, в конечном итоге, платить комиссию за защиту и/или получение своих данных.
Понимая векторы атак, которые чаще всего используются группами вымогателей, предприятия могут принять меры для своей защиты. Менеджеры паролей , например, являются одним из способов гарантировать, что сотрудники вашего бизнеса не предоставляют легкий доступ со слабыми учетными данными.
Программа-вымогатель как услуга переживает бум
В отчете Tenable поясняется, что ключевой причиной недавнего бума программ-вымогателей является «появление программ-вымогателей как услуги (RaaS)».
По сути, RaaS — это сервисная модель, такая же, как «Программное обеспечение как услуга». Группы вымогателей создают программное обеспечение, но затем другие участники в конечном итоге взламывают системы и развертывают его.
До этого каждое действие в процессе выполняли сами группы вымогателей, но теперь система бесконечно сложнее, и существуют различные этапы, на которых более мелкие участники могут зарабатывать деньги.
Объяснение экосистемы программ-вымогателей
Tenable объясняет, что экосистема программ-вымогателей, что важно, состоит не только из групп программ-вымогателей. Группы программ-вымогателей являются создателями и владельцами «продукта» и, в свою очередь, получают большую часть внимания, но в целом компания выделяет три основные «роли», которые играют роль в большинстве атак программ-вымогателей: IAB, филиалы и группы программ-вымогателей.
Брокеры начального доступа (IAB) — это «специализированная группа киберпреступников, ответственных за получение доступа к организациям с помощью различных средств».
В отчете поясняется, что вместо того, чтобы использовать свой несанкционированный доступ для организации собственной атаки программ-вымогателей, IAB «сохраняют стойкость в сетях организаций-жертв и продают ее другим лицам или группам в экосистеме киберпреступности».
Рынок IAB стоил 1,6 миллиона долларов в 2019 году, но вырос до 7,1 миллиона долларов в 2021 году (Group-IB). Это гораздо меньшая сумма, чем деньги, заработанные где-либо еще в цепочке программ-вымогателей, просто потому, что риск гораздо меньше.
Рынок начальных брокеров доступа (IAB) стоил 1,6 млн долларов в 2019 году, но вырос до 7,1 млн долларов в 2021 году – Group-IB
После взлома IAB участники, известные как Affiliates, приобретут добытый ими доступ за сумму от нескольких сотен до нескольких тысяч долларов. В качестве альтернативы они будут использовать векторы атак, такие как взлом систем протоколов удаленных рабочих столов, фишинг, системные уязвимости или украденные учетные данные для взлома серверов компании.
В отчете говорится, что эти участники работают так же, как аффилированные маркетологи, которые находят потенциальных клиентов в рамках обычной, законной деловой практики — они заражают систему и позволяют группе вымогателей «закрыть сделку» и запустить процесс переговоров.
Партнеры часто получают инструкции от самих групп вымогателей, помогая тестировать и использовать их творения.
Как «двойное», «тройное» и «четверное» вымогательство заставляет компании платить
Традиционно группы вымогателей шифровали файлы компании и заставляли их платить за их расшифровку. Но в настоящее время у большинства компаний есть безопасные резервные копии файлов, поэтому этот метод становится все менее эффективным.
Однако за последние несколько лет «двойное вымогательство» стало стандартом для многих групп вымогателей. Это включает в себя «изъятие данных из организаций-жертв и публикацию тизеров» на форумах даркнета и сайтах утечки. Компании, напуганные тем, что личная и конфиденциальная информация будет просочена в сеть, впоследствии заплатят.
В 2021 году REvil получила от JBS платеж в размере 11 миллионов долларов , несмотря на то, что на момент платежа система компании была «полностью работоспособной».
Однако этой тактике уже несколько лет, и Тенейбл говорит, что другие методы используются в тандеме друг с другом в «тройных» или даже «четырехкратных» попытках вымогательства.
Методы включают в себя обращение к клиентам, к которым относятся украденные данные, угрозы продать украденные данные тем, кто предложит самую высокую цену, и предупреждение жертв обращаться в правоохранительные органы.
Сосредоточьтесь не только на группах программ-вымогателей
В отчете предлагается уделить больше внимания решающей роли IAB и аффилированных лиц в экосистеме программ-вымогателей.
Группы программ-вымогателей, по сути, непостоянны. Чем большего успеха они добиваются, тем больше аффилиатов хотят повернуться к ним и использовать их программное обеспечение, но тогда, в свою очередь, тем больше правоохранительных органов пытаются их выследить.
Многие из «печально известных» групп программ-вымогателей, попадающих сегодня в заголовки газет, например группа Conti , являются преемниками других групп программ-вымогателей. Если вы начали расследование в отношении группы, через год ее может и не быть вовсе. Однако IAB и аффилированные лица будут.
Что может сделать бизнес, чтобы защитить себя?
Tenable предлагает ряд различных мер по смягчению последствий, которые предприятия могут предпринять, чтобы гарантировать, что они не станут следующими жертвами вымогательской атаки программ-вымогателей. К ним относятся использование многофакторной аутентификации, непрерывный аудит разрешений пользователей для учетных записей, исправление уязвимых активов в вашей сети, усиление защиты протоколов удаленного рабочего стола и использование соответствующего антивирусного программного обеспечения .
Список также включает усиление паролей ваших сотрудников и советует, чтобы «требования к паролям включали длинные слова, не входящие в словарь». Один из способов обеспечить достаточную длину паролей без необходимости их запоминания — использовать диспетчер паролей , который также позволит вашим сотрудникам создавать уникальные пароли для всех принадлежащих им учетных записей, а не использовать их повторно.
Поскольку рынок RaaS и участвующие в нем группы злоумышленников не проявляют никаких признаков замедления, принятие максимальных мер предосторожности при работе с вашими данными как никогда важно.