รายงาน: Ransomware-as-a-Service เป็น 'อุตสาหกรรมที่พึ่งพาตนเองได้'

รายงานฉบับใหม่ได้เปิดเผยความซับซ้อนของระบบนิเวศแรนซัมแวร์ของอินเทอร์เน็ต โดยสรุปว่านักแสดงที่ทำงานร่วมกับกลุ่มแรนซัมแวร์ต้องการความสนใจมากกว่าที่พวกเขาได้รับในปัจจุบัน

รายงานนี้ให้รายละเอียดว่าผู้คุกคามใช้เทคนิคการขู่กรรโชกมากมายอย่างไร ซึ่งมักใช้ควบคู่กัน เพื่อบังคับให้บริษัทต่างๆ เจรจาและจ่ายค่าธรรมเนียมในท้ายที่สุดเพื่อปกป้องและ/หรือดึงข้อมูลของตน

ด้วยการทำความเข้าใจเวกเตอร์การโจมตีที่กลุ่มแรนซัมแวร์ใช้กันมากที่สุด ธุรกิจสามารถดำเนินการเพื่อป้องกันตนเองได้ ตัวอย่างเช่น ผู้จัดการรหัสผ่าน เป็นวิธีหนึ่งที่จะทำให้แน่ใจได้ว่าพนักงานของธุรกิจของคุณไม่ได้ให้วิธีง่ายๆ กับข้อมูลประจำตัวของบัญชีที่อ่อนแอ

Ransomware-as-a-Service กำลังเฟื่องฟู

รายงาน ของ Tenable อธิบายว่าเหตุผลหลักที่อยู่เบื้องหลังการเติบโตของ ransomware ล่าสุดคือ “การกำเนิดของ ransomware-as-a-service (RaaS)”

โดยพื้นฐานแล้ว RaaS เป็นรูปแบบการบริการ เช่นเดียวกับ Software-as-a-Service กลุ่มแรนซัมแวร์สร้างซอฟต์แวร์ขึ้นมา แต่แล้วผู้กระทำการรายอื่นๆ ก็ลงเอยด้วยการบุกเข้าไปในระบบและปรับใช้ซอฟต์แวร์ดังกล่าว

ก่อนหน้านี้ เป็นกลุ่มแรนซัมแวร์ที่จะดำเนินการทุกอย่างในกระบวนการ แต่ตอนนี้ ระบบมีความซับซ้อนมากขึ้นอย่างไม่มีขีดจำกัด และมีขั้นตอนต่างๆ ที่ผู้ดำเนินการรายย่อยสามารถทำเงินได้

อธิบายระบบนิเวศของแรนซัมแวร์

Tenable อธิบายว่าระบบนิเวศของแรนซัมแวร์นั้น ที่สำคัญ ไม่ใช่แค่ประกอบด้วยกลุ่มแรนซัมแวร์เท่านั้น กลุ่มแรนซัมแวร์คือผู้สร้างและเจ้าของ "ผลิตภัณฑ์" และในทางกลับกันก็ได้รับความสนใจอย่างมาก แต่โดยรวมแล้ว บริษัทระบุ 'บทบาท' หลักสามประการที่มีส่วนร่วมในการโจมตีแรนซัมแวร์ส่วนใหญ่: IABs, Affiliates และกลุ่ม ransomware

Initial Access Brokers (IABs) เป็น “กลุ่มอาชญากรไซเบอร์ที่เชี่ยวชาญซึ่งรับผิดชอบในการเข้าถึงองค์กรด้วยวิธีการที่หลากหลาย”

แทนที่จะใช้การเข้าถึงโดยไม่ได้รับอนุญาตเพื่อจัดการการโจมตีแรนซัมแวร์ของพวกเขาเอง รายงานนี้อธิบาย IABs “รักษาความคงอยู่ภายในเครือข่ายขององค์กรที่ตกเป็นเหยื่อและขายให้กับบุคคลหรือกลุ่มอื่นๆ ภายในระบบนิเวศของอาชญากรรมทางอินเทอร์เน็ต”

ตลาดสำหรับ IAB มีมูลค่า 1.6 ล้านดอลลาร์ในปี 2562 แต่เติบโตเป็น 7.1 ล้านดอลลาร์ในปี 2564 (Group-IB) นี่เป็นตัวเลขที่เล็กกว่าเงินที่ได้รับจากที่อื่นในห่วงโซ่ของแรนซัมแวร์ เพียงเพราะมีความเสี่ยงน้อยกว่ามาก

ตลาดสำหรับ Initial Access Brokers (IAB) มีมูลค่า 1.6 ล้านดอลลาร์ในปี 2562 แต่เติบโตเป็น 7.1 ล้านดอลลาร์ในปี 2564 – Group-IB

หลังจากที่ IAB บุกเข้ามา นักแสดงที่รู้จักในชื่อ Affiliates จะซื้อสิทธิ์การเข้าถึงที่พวกเขาขุดได้ในราคาตั้งแต่สองสามร้อยถึงสองสามพันดอลลาร์ อีกทางหนึ่ง พวกเขาจะใช้เวกเตอร์โจมตี เช่น ระบบโปรโตคอลเดสก์ท็อประยะไกลที่บังคับใช้อย่างดุร้าย ฟิชชิง ช่องโหว่ของระบบ หรือข้อมูลประจำตัวที่ถูกขโมยเพื่อเจาะเข้าไปในเซิร์ฟเวอร์ของบริษัท

รายงานระบุว่านักแสดงเหล่านี้ทำงานเหมือนกับนักการตลาดแบบ Affiliate ที่พบว่ามีแนวทางปฏิบัติทางธุรกิจที่ปกติและถูกต้องตามกฎหมาย พวกเขาติดเชื้อในระบบและปล่อยให้กลุ่ม ransomware "ปิดข้อตกลง" และเริ่มต้นกระบวนการเจรจา

บริษัทในเครือมักอยู่ภายใต้คำสั่งสอนจากกลุ่มแรนซัมแวร์ ช่วยในการทดสอบและใช้ประโยชน์จากการสร้างสรรค์ของพวกเขา

การกรรโชกแบบ “ทวีคูณ”, “สามเท่า” และ “สี่เท่า” ทำให้บริษัทจ่ายเงินได้อย่างไร

ตามเนื้อผ้ากลุ่ม ransomware จะเข้ารหัสไฟล์ของบริษัทและทำให้พวกเขาต้องจ่ายเงินเพื่อถอดรหัสไฟล์เหล่านั้น แต่ทุกวันนี้ บริษัทส่วนใหญ่มีไฟล์สำรองที่ปลอดภัย ดังนั้นวิธีนี้จึงไม่ได้ผลมากขึ้นเรื่อยๆ

อย่างไรก็ตาม ในช่วงไม่กี่ปีที่ผ่านมา “การกรรโชกสองครั้ง” ได้กลายเป็นมาตรฐานสำหรับกลุ่มแรนซัมแวร์จำนวนมาก ประกอบด้วย “การกรองข้อมูลจากองค์กรเหยื่อและการเผยแพร่ทีเซอร์” ในฟอรัมเว็บมืดและเว็บไซต์รั่วไหล บริษัทต่างๆ กลัวว่าข้อมูลส่วนตัวและข้อมูลที่เป็นความลับจะรั่วไหลทางออนไลน์และจ่ายเงินในภายหลัง

ในปี 2564 REvil ได้รับ เงินจำนวน 11 ล้านดอลลาร์ จาก JBS แม้ว่าระบบของบริษัทจะ "ทำงานได้อย่างสมบูรณ์" ในขณะที่ชำระเงิน

อย่างไรก็ตาม กลยุทธ์นี้มีอายุหลายปีแล้ว และ Tenable กล่าวว่าเทคนิคอื่นๆ กำลังถูกใช้ควบคู่กันไปในการพยายามกรรโชก "สามครั้ง" หรือแม้แต่ "สี่เท่า"

วิธีการต่างๆ ได้แก่ การติดต่อลูกค้าที่อ้างถึงข้อมูลที่ถูกขโมย การขู่ว่าจะขายข้อมูลที่ถูกขโมยให้กับผู้เสนอราคาสูงสุด และเตือนผู้ที่ตกเป็นเหยื่อไม่ให้ติดต่อหน่วยงานบังคับใช้กฎหมาย

Focus Beyond Ransomware Groups

รายงานชี้ให้เห็นว่าบทบาทสำคัญที่ IAB และบริษัทในเครือเล่นภายในระบบนิเวศของแรนซัมแวร์ควรได้รับความสนใจมากขึ้น

โดยพื้นฐานแล้วกลุ่มแรนซัมแวร์นั้นไม่ถาวร ยิ่งประสบความสำเร็จมากเท่าใด บริษัทในเครือก็ยิ่งต้องการหันเข้าหาพวกเขาและใช้ซอฟต์แวร์ของตนมากขึ้น แต่ในทางกลับกัน หน่วยงานบังคับใช้กฎหมายก็พยายามติดตามพวกเขามากขึ้น

กลุ่ม ransomware ที่ “น่าอับอาย” จำนวนมากที่พาดหัวข่าวในปัจจุบัน เช่น กลุ่ม Conti เป็นผู้สืบทอดกลุ่ม ransomware อื่นๆ หากคุณเริ่มการสอบสวนในกลุ่ม หนึ่งปีต่อจากนี้อาจจะไม่มีเลย อย่างไรก็ตาม IAB และบริษัทในเครือจะทำเช่นนั้น

ธุรกิจสามารถทำอะไรได้บ้างเพื่อปกป้องตัวเอง?

Tenable เสนอขั้นตอนบรรเทาผลกระทบต่างๆ ที่ธุรกิจสามารถทำได้เพื่อให้แน่ใจว่าพวกเขาจะไม่ใช่เหยื่อรายต่อไปของการโจมตีแรนซัมแวร์ที่ขู่กรรโชก ซึ่งรวมถึงการใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย การตรวจสอบสิทธิ์ของผู้ใช้อย่างต่อเนื่องสำหรับบัญชี การแก้ไขสินทรัพย์ที่มีช่องโหว่ในเครือข่ายของคุณ การเสริมความแข็งแกร่งให้กับโปรโตคอลเดสก์ท็อประยะไกล และการใช้ ซอฟต์แวร์ป้องกันไวรัส ที่เหมาะสม

รายการนี้ยังรวมถึงการเสริมสร้างรหัสผ่านของพนักงานของคุณ และแนะนำว่า “ข้อกำหนดรหัสผ่านรวมถึงคำที่ยาวและไม่ใช้พจนานุกรม” วิธีหนึ่งเพื่อให้แน่ใจว่ารหัสผ่านมีความยาวเพียงพอโดยไม่ต้องจำรหัสผ่านคือการใช้ตัว จัดการรหัสผ่าน ซึ่งจะช่วยให้พนักงานของคุณสร้างรหัสผ่านที่ไม่ซ้ำกันสำหรับบัญชีทั้งหมดที่พวกเขาเป็นเจ้าของแทนที่จะใช้ซ้ำ

ด้วยตลาด RaaS และกลุ่มที่เป็นอันตรายที่เข้าร่วม - ไม่มีสัญญาณของการชะลอตัว การใช้ความระมัดระวังสูงสุดกับข้อมูลของคุณไม่เคยมีความสำคัญมากไปกว่านี้