Як і більшість галузей, кіберзлочинці адаптувалися та змінилися протягом останніх двох років у міру зміни обставин. Вони мають у своєму арсеналі безліч інструментів, що розвиваються, і можуть використовувати багато векторів, щоб дістатися до місця призначення: цінних корпоративних даних. Експерти Varonis пояснюють, що кожен керівник повинен знати про сучасні атаки програм-вимагачів.
Ось як сучасні зловмисники навчилися запускати ще більш руйнівні кампанії програм-вимагачів. Водночас вони стали ефективнішими та вмілими уникати кримінального переслідування. Ось як групи програм-вимагачів перегруповуються після (рідкісного) розпаду, будують нову інфраструктуру та дають собі нову назву. Наприклад, DarkSide, група програм-вимагачів, яка стоїть за кількома резонансними атаками, тепер, можливо, відома як BlackMatter. Часто після такої перебудови кіберзлочинці повертаються сильнішими, навчаючись на своєму досвіді та використовуючи нові методи та вразливості. Вони мають у своєму арсеналі безліч інструментів, що розвиваються, і можуть використовувати багато векторів, щоб дістатися до місця призначення: цінних корпоративних даних.
Демонтаж інфраструктури REvil російською владою та конфіскація принаймні частини награбованого є, безумовно, помітним і обнадійливим. Звісно, це не привід для всеодно: боротися з кіберзлочинцями – це все одно, що гасити пожежу в сухому лісі. Її можна погасити, але вона може спалахнути знову будь-де і будь-коли.
Програмне забезпечення-вимагач як бізнес-модель
Кібервимагання обіцяє великі прибутки, сприяючи розвитку та інноваціям з боку злочинців. Спроби регулювати такі криптовалюти, як біткойн, і обмежити їх анонімність здаються розумними, але їх важко здійснити. Крім того, зловмисники вже використовують цифрові валюти, такі як Monero, які складніше відстежити. Поки базові умови принципово не зміняться, компаніям слід вважати, що банди програм-вимагачів продовжуватимуть існувати, удосконалювати свої методи та націлюватися на критичні дані.
Більшість кіберзлочинців зараз покладаються на ефективну модель програм-вимагачів як послуг (RaaS), яка дозволяє незалежним зловмисникам швидко атакувати та почати. Ви можете поєднати цю послугу зі своїми власними інструментами та методами, щоб ефективно атакувати жертв і тримати їхні дані в заручниках. Зловмисники все частіше застосовують підхід «подвійного вимагання», коли дані викрадають до того, як їх зашифрують, щоб чинити ще більший тиск на жертв, погрожуючи опублікуванням. Крім того, зловмисники тепер часто погрожують повідомити в офіційні органи захисту даних, знаючи, що компанії побоюються штрафів, які там загрожують, і хочуть уникнути публічного осуду.
Щоб максимізувати свій прибуток, зловмисники прочісують файли своїх жертв, щоб оцінити їхні фінансові можливості та дізнатися, чи заплатить їхнє кіберстрахування у разі атаки. Відповідно встановлюється вимога про викуп.
Різні підходи, одна мета
З часом кожна група виробляє певний спосіб дії. Наприклад, BlackMatter часто маніпулює засобами контролю доступу, тобто налаштуваннями безпеки, які визначають, хто може отримати доступ до яких даних у мережі, щоб кожен працівник мав доступ до величезних обсягів даних. Іншими словами, вони не зламують сховище, а розривають його, роблячи організації ще більш вразливими для майбутніх атак. Інші зловмисники активно вербують інсайдерів компанії, наприклад співробітників та інших осіб, які вже є в мережі компанії. Особливо часто до цього схильні незадоволені співробітники. Щоб збільшити тиск на жертв, деякі кіберзлочинці також оприлюднюють невеликі обсяги викрадених даних.
Таким чином можна посилити захист від програм-вимагачів
Майкл Шеффлер, регіональний менеджер DACH у Varonis Systems (Зображення: Varonis).
Поки програми-вимагачі обіцяють величезні прибутки злочинцям, вони продовжуватимуть шукати й знаходити жертв. Для компаній це означає не стати легкою жертвою та підвищити власну стійкість проти загроз, пов’язаних із даними.
- Усуньте слабкі та повторно використовувані паролі та ввімкніть багатофакторну автентифікацію (MFA). Цей важливий крок є одним із найпростіших, який ви можете зробити, щоб захистити свій бізнес. Багато груп, наприклад BlackMatter, отримують імена користувачів і паролі в темній мережі та використовують їх для атак грубою силою.
- Розпізнайте незвичну діяльність. У більшості організацій ваші співробітники та підрядники дотримуються щоденних графіків роботи, мають доступ до тих самих файлів і використовують ті самі пристрої з відомих місць. Незвичайна діяльність, наприклад вхід із нового місця та доступ до непотрібних для роботи файлів, може свідчити про скомпрометовані облікові записи чи пристрої. Незвичайну діяльність, особливо пов’язану з обліковими записами керування та обслуговування, слід контролювати з високим пріоритетом і швидко зупинити, якщо це необхідно.
- Слідкуйте за своїми даними на наявність ознак атак програм-вимагачів. Програмне забезпечення-вимагач не поводиться так, як ваш спеціаліст з кадрів або ваша бухгалтерська команда. Коли програмне забезпечення-вимагач розгортається, воно швидко починає відкривати багато даних, оцінювати їх, а потім, якщо необхідно, також шифрувати ці файли. Співробітники також законно шифрують файли. Однак зловмисне програмне забезпечення, як правило, поводиться інакше, ніж людина-користувач, зазвичай змінюючи або шифруючи файли пакетами та з високою частотою. Часто це відбувається в неробочий час. Це значно ускладнює розпізнавання, і файли можна безперешкодно шифрувати.
- Використовуйте підхід, орієнтований на дані. Незважаючи на різке зростання кількості кінцевих точок, більшість даних зберігається локально та в хмарі з великими централізованими сховищами даних. У той же час існує величезна кількість векторів для отримання цих даних. Навіть якби ви були в змозі повністю передбачити та контролювати їх, ви, ймовірно, були б завалені сповіщеннями безпеки. Замість того, щоб починати «зовні» з усіма кінцевими точками та векторами та просуватися всередину до даних, набагато доцільніше почати захищати свої великі централізовані сховища даних.
- Більшість компаній не знають, скільки даних надто легкодоступні та незахищені. Один скомпрометований користувач може отримати доступ до великих обсягів конфіденційних даних і зламати їх. Звіт про ризики даних для фінансового сектору, який насправді є чутливим до безпеки, показує, що кожен працівник має доступ у середньому до майже 11 мільйонів файлів із першого робочого дня, а у великих компаніях навіть до приблизно 20 мільйонів – величезне зростання. радіус.
Якщо ви хочете зробити свій бізнес стійким, почніть із свого найбільшого активу. Компанії знають, чого хочуть зловмисники: даних. Модель найменших привілеїв дозволяє компаніям надавати своїм співробітникам лише той доступ, який їм дійсно потрібен для роботи. Систематично обмежуючи доступ до даних і ретельніше відстежуючи їх, ви значно ускладнюєте роботу зловмисників.
Більше на Varonis.com
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,