2021 рік, швидше за все, увійде в історію кібербезпеки як рік програм-вимагачів. Глобальний список відомих жертв варіюється від операторів трубопроводів і цілих районів до видавців і роздрібних мереж.
Varonis Threat Labs визначила три ключові тенденції, якими ми також будемо зайняті у 2022 році. Тому що одне можна сказати точно: цього року нам знову доведеться мати справу з програмами-вимагачами, ймовірно, ще сильнішими та з ще більшою кількістю атак, ніж у 2021 році.
Ransomware as-a-Service
Минулого року відбувся значний зсув до бізнес-моделі програм-вимагачів як послуги (RaaS), коли групи наймають партнерів для виконання певних частин операцій. Ці численні пропозиції надають навіть менш кмітливим кіберзлочинцям доступ до потужних зловмисних програм і шкідливих інструментів, знижуючи бар’єр доступу для багатьох потенційних зловмисників.
Існують, по суті, дві різні моделі: з одного боку, підписки, де програми-вимагачі можуть використовуватися за певну плату, а з іншого боку, відсоткові частки прибутку. Другий варіант, зокрема, створює цілу екосистему окремих партнерів, так званих афілійованих осіб, і підгруп, які спеціалізуються на певних сферах атаки.
Методи масового сканування шукають доступу
Прикладом зростаючого розподілу завдань і спеціалізації є «Посередники початкового доступу» (IAB). Хоча це явище не нове, але зараз воно переживає певний бум. Зазвичай вони використовують методи масового сканування, щоб виявити вразливі хости й таким чином отримати початковий доступ до систем потенційних жертв. Традиційно ці доступи продаються через підпільні форуми та ринки, ціни залежать від уявної цінності: наприклад, доступ до великої, відомої та фінансово сильної компанії дорожчий, ніж доступ до невеликої компанії. Це дозволяє групам програм-вимагачів націлюватися на своїх жертв дуже цілеспрямовано. Багато IAB тепер також об’єднуються або співпрацюють з групами програм-вимагачів, стаючи субпідрядниками. Натомість вони отримують частку викупу. Зазвичай це більш прибутково, ніж класична модель продажу.
Висока частка прибутку завжди відображає вищий ризик. Зрештою, партнери як «виконавчі органи» піддаються більшому ризику бути виявленими, тоді як фонові постачальники RaaS піддаються набагато меншому ризику, особливо тому, що вони часто приховують свою особу від своїх партнерів. Якщо все-таки вони потрапляють у центр уваги органів кримінального переслідування, групи зазвичай переховуються на короткий час, щоб потім перегрупуватися, зазвичай під іншою назвою.
Спеціальне програмне забезпечення-вимагач
За останній рік Varonis Threat Labs виявила зростаючу кількість програм-вимагачів, розроблених спеціально для конкретних жертв. Це значно ускладнить виявлення та підвищить ефективність атаки.
Більшість загроз програм-вимагачів є виконуваними файлами, які націлені на Windows і часто поширюються за допомогою ботнетів. Однак атаки також все частіше спрямовані на хости на базі Linux, включно з тими, які використовуються для зберігання файлів і віртуалізації (наприклад, VMware ESX).
ALPHV (BlackCat) адаптує програми-вимагачі
Нещодавно ідентифікована група програм-вимагачів ALPHV (BlackCat) розробляє варіанти Linux і Windows. Програма-вимагач відтворюється для кожної жертви. Це включає, наприклад, тип використовуваного шифрування (наприклад, шифрування лише частин великих файлів) або вбудовування облікових даних жертви для автоматичного розповсюдження програми-вимагача на інші сервери.
Але не тільки саме програмне забезпечення-вимагач, але й сума викупу, яку вимагають, спеціально пристосована до жертви: отримані фінансові дані компанії аналізуються, щоб визначити суму, яку можна отримати. У деяких випадках навіть поліси кіберстрахування детально перевіряються на суму покриття збитків, яку потім висувають як позов кіберзлочинці.
Подвійний відбір стає стандартом
За допомогою підходу «подвійного вимагання» дані також викрадаються перед шифруванням, щоб погрожувати їх опублікуванням і таким чином ще більше тиснути на жертв. Зрештою, не шифрування та пов’язаний з цим збій системи становлять більшу загрозу для компаній, а скоріше крадіжка даних: крадіжка та публікація персональних даних (PII) не тільки шкодить репутації, але також може призвести до штрафів GDPR. Зараз кіберзлочинці навіть відкрито погрожують залучити відповідні наглядові органи. Але витік інтелектуальної власності також може завдати величезної шкоди, якщо в результаті інноваційні розробки також стають доступними для конкурентів.
Подвійним шантажем аж ніяк не закінчується тактичний розвиток. Групи програм-вимагачів постійно вдосконалюють свої методи здирництва, починаючи з простого повідомлення про викуп, закінчуючи тактикою «викрадення, шифрування та публікації» і закінчуючи зв’язком із клієнтами, співробітниками, органами влади та пресою, щоб повідомити їх про компрометацію. Щоб посилити тиск, багато груп відмовляються працювати з переговорниками та радять жертвам платити гроші без залучення постачальників засобів кібербезпеки та правоохоронних органів. Інакше жертви ризикують отримати більший викуп або назавжди втратити дані.
Ескалація рівнів як засіб тиску для оплати
Деякі кіберзлочинці також додають ще один рівень ескалації: за допомогою цього «потрійного вимагання» або постраждалі партнери чи клієнти потім інформуються, або виникає загроза подальших атак, таких як DDoS-атаки. Усі ці заходи в кінцевому підсумку призводять до суттєвого посилення тиску на потерпілих з метою спонукати їх швидко заплатити. І, очевидно, з успіхом: за оцінками, у 2021 році програми-вимагачі завдали збитків у всьому світі на 6 трильйонів доларів США. Для порівняння: у 2020 році валовий внутрішній продукт Федеративної Республіки Німеччина становив «лише» 3,8 трильйона доларів США.
Більше на Varonis.de
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,