Остерегайтесь, что группы вымогателей могут работать как «законные» предприятия

Программы-вымогатели стали одной из самых серьезных киберугроз, с которыми сталкиваются организации в 2022 году. Воздействие атак программ-вымогателей расширяется, затрагивая не только вычислительные системы и данные, но и наш физический мир.

Кроме того, требования выкупа растут в геометрической прогрессии по сравнению с предыдущими годами. В последние годы мы стали свидетелями роста  "программы-вымогатели как услуга"(RaaS) из-за его способности приносить прибыль этим преступным организациям.

Предприятия могут уменьшить потенциал и влияние RaaS, развернув надежное решение [управления идентификацией и доступом] (https://cpl.thalesgroup.com/access-management/authentication) и включив многофакторную аутентификацию для всех своих учетных записей.

REvil (также известная как Sodinokibi) — преступная группировка Ransomware-as-a-Service, ответственная за некоторые из крупнейших атак с использованием программ-вымогателей в истории, в том числе с программами-вымогателями JBS и инцидентами в цепочке поставок Kaseya.

14 января 2022 года [объявила Россия] (http://securityweek.com/russia-lays-smackdown-revil-ransomware-gang) было арестовано 14 членов REvil. Этот шаг был сделан по запросу властей США, которые работали с международными партнерами, такими как Европол, для пресечения деятельности преступной группировки.

Эти аресты последовали за ноябрьским заявлением Европола о том, что в предыдущие месяцы было произведено семь [арестов членских организаций REvil] (https://www.europol.europa.eu/media-press/newsroom/news/five-affiliates-to-sodinokibi/ зло-отключено).

Как банды вымогателей оптимизируют свою бизнес-модель?

Популярность RaaS как услуги на основе подписки продолжает расти, поскольку она обеспечивает низкий барьер для киберпреступников, чтобы войти в бизнес программ-вымогателей и стать аффилированными лицами. Что еще более важно, эта модель также позволяет нетехническим партнерам успешно выполнять атаки программ-вымогателей.

Бизнес-модель групп RaaS отличается от традиционных атак программ-вымогателей в прошлом. Традиционные преступники-вымогатели действовали в рамках сплоченной команды, которая создавала вредоносное ПО и осуществляла атаку.

* В модели RaaS как минимум две стороны устанавливают деловые отношения: разработчик и партнер.*

Разработчик пишет вредоносную программу, а партнер осуществляет атаку и собирает выкуп. Помимо этих сторон, исследователи безопасности стали свидетелями того, как в атаках RaaS участвовала третья сторона, называемая «поставщиком услуг».

«Поставщик услуг» помогает партнеру на разных этапах атаки программ-вымогателей, начиная с выбора жертв, предоставления эксплойтов и заканчивая переговорами.

Эта бизнес-модель помогает деятельности REvil оставаться незатронутой недавними победами правоохранительных органов. Ранние данные [исследователей безопасности показывают, что активность REvil не изменилась] (https://blog.reversinglabs.com/blog/after-russian-arrests-revil-rolls-on). Эта продолжающаяся деятельность подразумевает один из двух сценариев:

• Аресты коснулись только «посредников» в иерархии преступной группировки.

• Модель программы-вымогателя REvil как услуги достаточно устойчива, чтобы выдержать сбои со стороны правоохранительных органов.

Эти данные соответствуют [совместному отчету о программах-вымогателях] (https://www.ncsc.gov.uk/files/2021%25252520Trends%25252520show%25252520increased%25252520globalised%25252520threat%25252520of%25252520ransomware.pdf), опубликованному ФБР. NCSC, ACSC и АНБ. Согласно отчету:

• RaaS становится все более профессиональным, а бизнес-модели и процессы уже устоялись.

• Бизнес-модель усложняет атрибуцию, поскольку существуют сложные сети разработчиков, аффилированных лиц и фрилансеров.

• Группы вымогателей обмениваются информацией о жертвах друг с другом, диверсифицируя угрозу для целевых организаций.

Связь между программами-вымогателями как услугой и доступом как услугой

Одним из наиболее важных «поставщиков услуг» для преступных организаций RaaS является Access-as-a-Service, известный как Initial Access Brokers (IAB). IAB предлагают скрытый доступ к сети, необходимый на первом этапе атаки программ-вымогателей.

Поскольку время — это деньги для любого бизнеса, даже криминального, экономика «программы-вымогатели как услуга» опирается на IAB, чтобы уменьшить потребность в расширенной разведке или время на поиск метода входа.

Брокеры Initial Access предлагают доступ как услугу за определенную плату, и эти преступники предоставляют злоумышленникам-вымогателям простой путь в корпоративные сети, прокладывая путь для реальных вредоносных атак.

Рынок Access-as-a-Service является источником разрыва между первоначальным корпоративным взломом и последующими атаками, которые следуют через несколько дней или даже месяцев.

IAB получают учетные данные, которые они продают, из разных мест. Эти учетные данные могут находиться в открытом доступе, приобретены у других злоумышленников, найдены в результате использования уязвимости или в результате других взломов.

Одной из основных услуг, предоставляемых брокерами доступа, является [проверка учетных данных] (https://www.trendmicro.com/vinfo/de/security/news/cybercrime-and-digital-threats/Investigating-the-emerging-access-as -рынок услуг). Независимо от источника этих учетных данных, IAB всегда пытаются проверить, работают ли они, пробуя их вручную или используя специализированные сценарии, которые могут делать это в масштабе.

Согласно [исследованию, проведенному форумом по кибербезопасности KELA] (https://ke-la.com/blog/), IAB продают первоначальный доступ за 4 600 долларов США, и для завершения продажи требуется от одного до трех дней. После того, как доступ был куплен, атака программы-вымогателя может занять до месяца. По крайней мере пять известных русскоязычных операторов программ-вымогателей используют IAB: LockBit, Avaddon, DarkSide, Conti и BlackByte.

DarkSide печально известна атакой на [колониальный трубопровод] (https://www.zdnet.com/article/darkside-the-ransomware-group-responsible-for-colonial-pipeline-cyberattack-explained/), вызвавшей топливную панику. покупка в США. Незадолго до начала Суперкубка команда San Francisco 49ers стала последней [жертвой BlackByte] (https://www.zdnet.com/article/blackbyte-ransomware-attacks-san-francisco-49ers-ahead-of-super). -bowl/), который также назвал организацию на сайте утечки.

Каковы рекомендуемые стратегии защиты от RaaS?

Хотя передовые методы обеспечения безопасности, такие как эффективные возможности резервного копирования, сегментация сетей, мониторинг вредоносных сообщений электронной почты и защита пользователей от их последствий, являются отличными превентивными мерами, стратегии корпоративной защиты не должны ограничиваться этими шагами.

Развертывание эффективных и действенных средств управления идентификацией и доступом, подкрепленных надежными политиками доступа, может значительно предотвратить первоначальную утечку учетных данных со стороны IAB, которая делает возможной последующую атаку программ-вымогателей.

• Мониторинг нарушений общедоступных учетных данных. Эти нарушения должны вызывать красные флажки для поиска признаков нарушения в вашей сети.

• Если вы подозреваете, что некоторые из ваших учетных данных находятся в открытом доступе, инициируйте сброс пароля для всех пользователей.

• Настоятельно рассмотрите возможность установки многофакторной аутентификации (MFA) для всех ваших сотрудников, партнеров и поставщиков. Не ограничивайте MFA только вашими привилегированными учетными записями, поскольку любой сотрудник является потенциальной целью.

Как директор по маркетингу продуктов, управлению идентификацией и доступом (IAM) в Thales, Данна Бетлехем предлагает, чтобы предприятия переходили на современные методы многофакторной аутентификации, например FIDO2. Она говорит: «FIDO2 предлагает многофакторную аутентификацию без пароля» с «высоким уровнем безопасности и упрощением входа в систему для сотрудников».

• Отслеживайте поведение пользователей, ища вещи, которые ваши сотрудники не должны делать.

• Рассмотрите возможность использования стандартных рекомендаций по политикам паролей, таких как разработанные NIST или ENISA.

• Предположим, что ваши сотрудники уже потеряли свои пароли из-за преступников, и, следовательно, вы были взломаны и разоблачены. Тогда вы будете вынуждены внедрить архитектуру с нулевым доверием и систему безопасности в своей сети.

Преступники-вымогатели продвигают свою бизнес-модель, которая теперь все больше основана на покупке доступа к целевым сетям. Следовательно, рынок доступа как услуги приобретает все большее значение и специализацию.

Если компания может защитить себя от кражи учетных данных, она лучше защищена от любых будущих атак программ-вымогателей. Наилучшей стратегией защиты является создание надежного управления идентификацией и доступом, а также включение многофакторной аутентификации для всех ваших учетных записей в рамках политики безопасности с нулевым доверием.