Джон П. Мелло младший
13 июля 2021 г., 4:00 утра по тихоокеанскому времени
По словам поставщика разведывательной информации Dark Net, банды вымогателей все чаще обращаются к специалистам, чтобы завершить свои каперсы с корпорациями.
В отчете, опубликованном в пятницу тель-авивским Kela, отмечается, что дни, когда одинокие волки проводили кибератаки от начала до конца, почти исчезли.
Персональное шоу почти полностью растворилось, уступив место специализации, говорится в отчете, подготовленном аналитиком Kela Threat Intelligence Викторией Кивилевич.
Кивилевич выделил четыре области специализации:
- Предоставление или получение кода для атаки;
- Заражение и распространение атаки;
- Поддержание доступа к и сбор урожая данные из зараженных систем; и
- монетизация результатов атаки.
Участники программы-вымогателя также начали расширять свои методы запугивания жертв, такие как использование DDoS-атак и спам-вызовов, говорится в отчете.
«Экосистема программ-вымогателей все больше и больше напоминает корпорацию с разнообразными ролями внутри компании и множеством аутсорсинговых операций», — отмечается в сообщении.
Содержание статьи
Возвышение переговорщика
В отчете также говорится о появлении новой роли в экосистеме программ-вымогателей: переговорщика.
Изначально, пояснялось, большинство операторов программ-вымогателей общались с жертвами по электронной почте. По мере того, как программа-вымогатель как услуга росла и становилась все более заметной и деловой, многие участники начали создавать свои собственные порталы, через которые осуществлялась вся коммуникация.
Разработчики программ-вымогателей или аффилированные лица определяли сумму выкупа, предлагали скидки и обсуждали условия оплаты, говорится в отчете. «Однако, — отметили в нем, — теперь эта часть атаки, похоже, также осуществляется сторонними организациями — по крайней мере, для некоторых аффилированных лиц и / или разработчиков».
Одна из возможных причин, по которой киберпреступники начали привлекать переговорщиков, заключается в том, что жертвы начали их использовать. «Актерам, занимавшимся выкупом, также пришлось улучшить свою игру, чтобы получить хорошую прибыль», — говорится в отчете.
Другой мотив может быть связан с самими киберпреступниками. «Поскольку большинство участников выкупа, вероятно, не являются носителями английского языка, более деликатные переговоры — особенно в отношении очень высоких бюджетов и сложных деловых ситуаций — требуют лучшего английского», — предполагалось в отчете
.
Он отметил, что участники переговоров обычно просили от 10 до 20 процентов выкупа в качестве оплаты своих услуг.
«Англоязычные переговорщики призваны придать сделке« лицо обслуживания клиентов », — заметил Эй Джей Кинг, директор по информационной безопасности BreachQuest, компании по реагированию на инциденты в Далласе.
«В зависимости от типа компромисса использование языковых нюансов может означать разницу между получением дополнительных 10 процентов от вашей цели или отсутствием», — сказал он TechNewsWorld.
«Если вы не можете общаться должным образом, вы не добьетесь успеха в долгосрочной перспективе и в более крупных случаях», — сказал он. «Киберпреступники заметили».
Драйверы, лежащие в основе специализации
Оливер Таваколи, технический директор Vectra AI, поставщика решений для автоматического управления угрозами из Сан-Хосе, Калифорния, поддерживал специализацию программ-вымогателей по тем же причинам, по которым специализируется любой крупный бизнес. .
«Легче быть хорошим в небольшом количестве вещей, чем в большом количестве вещей, лучше работать над тем, в чем вы хороши, и организации, пытающиеся организовать целую цепочку атак, не хотят полагаться на на людей, которые не разбираются в чем-либо для критического шага атаки ", — сказал он TechNewsWorld.
Масштаб также может способствовать необходимости специализироваться, добавил Пурандар Дас, генеральный директор и соучредитель Sotero, компании по защите данных в Берлингтоне, штат Массачусетс.
«Атаки стали настолько масштабными, что то, что, вероятно, рассматривалось как часть атаки, теперь требует таких же масштабных услуг», — сказал он TechNewsWorld.
«Каждая из этих способностей требует специальных навыков», — сказал он. «Будь то вторжение, доступ или переговоры, бизнес ведется в таком масштабе, что каждый требует своей собственной специализации».
Брэндон Хоффман, начальник службы безопасности Intel 471, поставщика разведки киберпреступлений из Далласа, добавил что поставщикам программ-вымогателей как услуги нужны специалисты, потому что они обычно предлагают только программное обеспечение для шифрования и способ монетизировать атаку.
«Важно помнить, что программы-вымогатели, по сути, находятся в конце цепочки атак», — сказал он TechNewsWorld. «Чтобы загрузить программу-вымогатель, им нужен начальный доступ, горизонтальное перемещение и повышение привилегий, прежде чем шифрование станет эффективным и широко распространенным, чтобы нанести вред организации».
Ставки надбавки за права администратора
В отчете Kela также отмечалось, что злоумышленники были готовы платить надбавку за доступ администратора домена к скомпрометированному компьютеру.
«Если злоумышленники начнут боковое движение с компьютера администратора домена, у них будет больше шансов успешно развернуть вымогательское ПО в скомпрометированной сети», — поясняется в отчете.
«Однако, — продолжил он, — если все, что у них есть, — это пользовательский доступ, тогда им нужно повысить привилегии самостоятельно или обратиться за помощью к опытным специалистам».
Такая помощь может быть дорогостоящей. . Согласно отчету, специалисты по вторжению получают от 10 до 30 процентов выкупа за повышение привилегий до уровня домена.
Таваколи объяснил, что вторжение и эскалация — это часть атаки с использованием программ-вымогателей, которая требует высокого уровня технических знаний и, как правило, не может быть автоматизирована.
«На этом этапе используются существующие инструменты и методы и необходимо адаптировать их к особенностям среды, встречающейся внутри целевой организации», — продолжил он. «Учитывая, что этот шаг требует навыков и выполняется вручную, потребность — с точки зрения общего числа необходимых лиц — относительно высока».
Гаррет Граек, генеральный директор YouAttest, компании по аудиту личности в Ирвине, Калифорния добавила, что главный вывод из результатов — напоминание о том, насколько важны для хакеров административные права.
«Исследование показывает, что хакеры платят за скомпрометированные администратором учетные данные в 10 раз больше, чем за учетные данные обычных пользователей», — сказал он TechNewsWorld.
«Чтобы компенсировать затраты, хакеры также покупают недорого украденные учетные данные пользователей, а затем используют платные взломы для повышения привилегий для этих учетных записей», — добавил он.
Двойные хакеры
Как только злоумышленники проникают в систему, они обычно действуют одним из двух способов, а в некоторых случаях и тем и другим.
«Киберпреступники шифруют данные для получения выкупа в соответствии с классическими методами вымогательства», — отмечает Элли Меллен, аналитик по безопасности и рискам из Forrester Research.
«В дополнение к этому, — сказала она TechNewsWorld, — они также применяют новый подход — крадут бизнес-данные, а затем угрожают опубликовать их, если организация не заплатит».
«Этот двойной удар с целью выкупа. а вымогательство позволяет бандам вымогателей получать вдвое больше, чем они получали бы традиционно, что может иметь еще более негативное влияние на бизнес, пораженный программами-вымогателями », — сказала она.
Как организации могут защитить себя от атак программ-вымогателей? У Кинга есть следующие рекомендации:
- Реализуйте надежную программу управления идентификацией и доступом.
- Ограничьте права локального администратора для стандартных пользователей.
- Требовать многофакторную аутентификацию для всех интернет-порталов.
- Сегментируйте свою сеть, чтобы ограничить боковое перемещение злоумышленника.
- Создайте сильный операционный центр безопасности, внешний или внутренний, с надлежащей подготовкой, инструментами и персоналом, чтобы своевременно обнаружить событие, когда неизбежное вторжение действительно произойдет.
