Пропозиції «як послуги» можна знайти скрізь в ІТ. Кіберзлочинці також адаптували цю ідею сервісу і вже деякий час пропонують програми-вимагачі як послугу, скорочено RaaS. Це означає, що менш досвідчені зловмисники також можуть здійснювати атаки програм-вимагачів. Настільки збільшується кількість атак. Аналіз Arctic Wolf.
Як Дослідження цифрової асоціації Bitcom eV показує, що 2020 відсотків усіх компаній постраждали від атак програм-вимагачів у 21/88. Бум віддаленої роботи, домашнього офісу, хмарних технологій і мережевих пристроїв IoT грає на руку зловмисникам, оскільки ці тенденції збільшують площу атаки та пропонують нові шлюзи.
Під час таких атак кіберзлочинці проникають у корпоративні системи та викрадають та/або шифрують певну інформацію. Для того, щоб знову розшифрувати ці дані, вимагають викуп. Окрім значної фінансової шкоди, спричиненої платежем або процесом відновлення, такі атаки також можуть призвести до величезної репутаційної шкоди. Більшість цих атак (за оцінками 64 відсотків) вже відбуваються за методом RaaS – і ця тенденція зростає.
Послуга з темної сторони
У випадку пропозицій RaaS групи програм-вимагачів, такі як Conti, REvil або RagnarLocker, а також їхні відокремлені групи та наступники надають відповідні інструменти чи платформи, а також додаткові послуги, такі як інструкції, найкращі практики та навіть службу підтримки ІТ. Хоча назви груп дуже мінливі, фактичні актори часто залишаються незмінними. Вони діють високопрофесійно і не мають нічого спільного з поширеним хакерським кліше про самотнього вовка в худі. Власне, їх важко відрізнити від солідних компаній: з власним відділом кадрів, бонусними програмами та нагородами «Працівник місяця», як нещодавно хак показав.
Кібер гангстер з корпоративною структурою
Послуги зазвичай можна знайти через глибоку або темну мережу. Провайдери іноді сильно відрізняються в тому, що вони пропонують. Так само, як і авторитетні постачальники послуг, угруповання RaaS також пропонують все, що забажає серце (злочинців), від простої покупки програм-вимагачів до моделі підписки. Провайдери також пропонують різні моделі, коли мова йде про цінову стратегію – від одноразового платежу при покупці до моделей лізингу та частки викупу.
Криптовалюти, такі як Bitcoin, Monero та Co., є ключовим фактором успіху RaaS-атак, оскільки їх важко відстежити, і їх можна порівняно легко «відмити». Таким чином, вони чудово підходять для платежів RaaS і вимог викупу, і малоймовірно, що останні Зниження курсу криптовалюти багато що зміниться. Падіння цін просто компенсується на етапі переговорів з жертвою.
Що робити, коли все серйозно?
Шифрування систем і загроза публікації отриманих даних, таких як інформація про клієнтів, деталі продукту та фінансові дані, можуть загрожувати існуванню компаній. Саме це робить RaaS таким привабливим і робить програмне забезпечення-вимагач неймовірно потужною розмінною монетою в руках кіберзлочинців. Якщо атака програми-вимагача була успішною, багато компаній спочатку часто зазнають збитків. Зневірені та безпорадні, вони часто не мають іншого вибору, окрім як задовольнити вимогу викупу – хоча LKA, BKA та BSI категорично не рекомендують цього, щоб не додатково фінансувати організовану злочинність і не створювати мотивації для подальших злочинів. Але як повинні реагувати компанії?
Після нападу зараховується відпочинок
доктор Себастьян Шмерл, директор служби безпеки EMEA, Arctic Wolf
Перш за все, зберігайте спокій! Гострий напад – не найкращий час, щоб звинувачувати. Швидше, настав час працювати разом і не діяти поспішно. Необхідно негайно повідомити відповідні органи (вони також готові надати консультацію). Якщо компанія вже має план дій у непередбачених ситуаціях, його слід дотримуватися. Наступний крок – проаналізувати та обдумати ситуацію, а потім розпочати необхідні контрзаходи. Якщо в цій винятковій ситуації не вистачає внутрішніх ресурсів і досвіду, компанії також можуть звернутися за професійною допомогою до зовнішніх постачальників послуг безпеки, таких як Арктичний вовк падати назад.
- Перший крок — прояснити поточну ситуацію. Це означає реалізацію Реагування на інцидент- Заходи щодо припинення подальшого поширення інциденту.
- Як тільки статус-кво буде прояснено, вони повинні розмір пошкодження і варіанти відновлення бути визначеним. Які резервні копії все ще доступні та їх потрібно перевести в автономний режим? Які служби вплинули, які дані зашифровано та які дії для відновлення потрібно виконати?
- Після відповіді на ці запитання третім кроком є Інформація про розвідку загроз зібрати разом, тобто всю інформацію про зловмисників, використане шкідливе програмне забезпечення та подібні інциденти.
- На четвертому етапі Бізнес-кейс налаштувати – вимогу викупу задовольняти чи ні? Слід дуже ретельно зважити всі аспекти: капітал компанії, можливу репутаційну шкоду, судові позови тощо.
- На п’ятому й останньому кроці ми переходимо до справи: Переговори з кіберзлочинцями. Тут варто відзначити два моменти: ведуться переговори зі злочинцями, тобто гарантій немає. Тим не менш, ввічливість потрібна, щоб не дратувати іншу людину без потреби.
Програми-вимагачі: краще запобігти, ніж лікувати
Незалежно від того, був сплачений викуп чи ні, справа повинна бути добре оброблена, щоб краще позиціонувати компанію в майбутньому. Тому після атаки всі системи слід ретельно просканувати та очистити, а дані для входу всіх користувачів слід перепризначити. Крім того, слід інтенсивне полювання або публічний, темний і глибокий веб-моніторинг, щоб переконатися, що жодні дані дійсно не були опубліковані.
І останнє, але не менш важливе: краще перестрахуватися, ніж шкодувати! «Найкращий захист від атак програм-вимагачів — це хороша підготовка. Прогалини в безпеці та слабкі місця системи слід усувати за допомогою регулярних патчів і здійснювати комплексний моніторинг безпеки. Як це часто буває, найбільшою слабкістю є людський фактор. Таким чином, найважливішим заходом є регулярне навчання співробітників і, таким чином, формування мислення безпеки в компанії. Якщо компанії не вистачає для цього необхідних внутрішніх ресурсів, вона може звернутися до надійних експертів із безпеки, таких як Arctic Wolf, які підтримають їх у впровадженні цих заходів безпеки. Якщо все це взяти до уваги, компанія добре готова до надзвичайної ситуації». за словами доктора Себастьян Шмерл, директор служби безпеки EMEA, Arctic Wolf.
Більше на ArcticWolf.com
Про Арктичного вовка Arctic Wolf є світовим лідером у сфері операцій безпеки, надаючи першу хмарну платформу операцій безпеки для зменшення кіберризиків. На основі даних телеметрії про загрози, що охоплюють кінцеві точки, мережі та хмарні джерела, Arctic Wolf® Security Operations Cloud аналізує понад 1,6 трильйона подій безпеки на тиждень у всьому світі. Він надає важливу для компанії інформацію про майже всі випадки використання безпеки та оптимізує неоднорідні рішення безпеки клієнтів. Платформу Arctic Wolf використовують понад 2.000 клієнтів по всьому світу. Він забезпечує автоматичне виявлення загроз і реагування на них, дозволяючи організаціям будь-якого розміру налаштовувати операції безпеки світового класу одним натисканням кнопки.
Статті по темі