Истории с Dark Web: Отслеживание подпольной экономики eCrime улучшает эффективность киберзащиты
Киберпреступники постоянно усовершенствуют свои методы, чтобы сломать защиту организаций и эффективно монетизировать свои усилия.
Исследовательская группа CrowdStrike Intelligence исследовала, как выросла частота и сложность атак программ-вымогателей за последний год. Оказалось, что количество утечек данных, связанных с программами-вымогателями, увеличилось на 82% в 2021 году по сравнению с 2020 годом; Кроме того, было обнаружено, что 62% атак осуществляются с помощью техники hands-on-keyboard, что еще раз указывает на то, что злоумышленники не перестают развивать навыки, необходимые для обхода устаревших решений безопасности и шантажировать жертв, угрожая осуществить целенаправленную утечку данных. Предлагаем выяснить, какие причины такого роста киберпреступности и как именно хакеры зарабатывают деньги?
Быстро растущая и прибыльная бизнес-модель на основе RaaS
Атаки с использованием программ-вымогателей – не новинка. В течение многих лет злонамеренные группы возлагались на компрометацию. Однако за последние 2-3 года их стратегия начала меняться в сторону бизнес-модели, основанной на сообществах хакеров, что стало возможным благодаря платформамransomware-as-a-service (RaaS), позволяющим мелким, менее продвинутым преступникам присоединиться к масштабной деятельности.
На вершине этой модели находится оператор, настраивающий платформу RaaS. Эта платформа выполняет многочисленные технические задачи, такие как упаковка программ-вымогателей по требованию, управление и контроль развернутых программ-вымогателей, криптография, извлечение данных, архивирование, онлайн-требование и другие.
Менее опытные киберпреступники с минимальными хакерскими знаниями могут присоединиться к этой деятельности после проверки; за это они получают от 70 до 80% уплаченного выкупа. Брокеры доступа помогают новым преступникам получить доступ к инфраструктуре потенциальной жертвы. А взаимодействие между всеми этими преступными субъектами — операторами RaaS, проверенными аффилированными лицами, брокерами доступа и другими участниками происходит через криминальные форумы, подпольные рынки и анонимные посты. CrowdStrike постоянно отслеживает эту среду и информирует своих пользователей об активности на рынке и форуме.
Брокеры доступа: как злоумышленники проникают в систему
Kill chain eCrime часто начинается с брокеров доступа – злоумышленников, получающих доступ к инфраструктуре организации, а затем продающих незаконно полученные учетные данные (или другие методы доступа) покупателям в подпольных сообществах.
Хакеры покупают скомпрометированные учетные данные, чтобы облегчить и сделать процесс проникновения в целевой организации более эффективным. Брокеры доступа продают широкий спектр типов доступа, включая логины финансовых счетов, данные аккаунтов деловой электронной почты, удаленный доступ к сетевым ресурсам и пользовательские эксплойты для ИТ-инфраструктуры.
Для публикации объявлений о скомпрометированных учетных данных и других методах доступа в подполье, брокеры доступа используют определенные ключевые слова и нацеливаются на специфические рынки. Однако их сообщения часто оставляют «хлебные крошки», позволяющие киберзащитникам выявить скомпрометированные учетные записи или риски инцидентов безопасности. Например, брокер доступа может указать такие атрибуты, как сведения о компании (размер, доход, отрасль), детали ИТ-инфраструктуры, зловредное программное обеспечение, которое использовалось для похищения учетных данных, или псевдоним брокера доступа.
На подпольных форумах существует огромное количество чатов. Falcon X Recon+, управляемая служба CrowdStrike, оказывает помощь командам безопасности, предлагая специальные знания для мониторинга и сортировки угроз, обнаруженных на этих форумах, от вашего имени. Эксперты CrowdStrike могут помочь организациям любого размера идентифицировать нежелательное раскрытие данных или такие угрозы, как похищение учетных записей и атаки, нацеленные на бренд.
Службы распространения: фактор, стимулирующий распространение Ransomware
Проведенный анализ кампаний по распространению программ-требителей таких групп, как Pinchy Spider (также известный как REvil),Wizard Spider (Conti) и Carbon Spider (DarkSide), показал, что операторы этих кампаний больше не работают в одиночку, в частности при компрометации активов и внедрении программ-вымогателей. Операторы Ransomware размещают объявления на подпольных форумах, чтобы набрать аффилированных лиц, которые помогут им распространять ransomware и делятся с ними прибылью.
Эти афилиаты используют предоставленную операторами инфраструктуру RaaS. После нацеливания и компрометации активов жертвы они запускают программы-вымогатели с платформы RaaS, устанавливают требование выкупа и получают от 70 до 80% от суммы выкупа. Жертв часто выбирают на основе вероятности того, что они смогут позволить себе выкуп; афилиаты часто рассчитывают выплаты выкупа на основе прибыли компании и ее влияния на бизнес, чтобы максимизировать свои доходы.
Операторы оказывают технические услуги в обмен на помощь аффилированных лиц в распространении программ-вымогателей. Они могут предоставить packager для создания специализированных программ-вымогателей, чтобы афилиаты могли распространять их через собственные каналы; управление криптографическими ключами; интернет-инфраструктуры для похищение и хранения данных. Они могут делиться платежными инструкциями по получению виртуальной валюты от жертв; секретными каналами связи, чтобы скрыть аффилированных лиц, которые общаются с жертвами; и даже сервисом поддержки, чтобы помочь жертвам оплатить выкуп. Эти услуги помогают злоумышленникам, которые не достаточно подкованы технически и получают доступ к совершенному передовому вредоносному программному обеспечению по низкой цене.
Аналитики CrowdStrike Intelligence обнаружили множество техник первичного доступа и горизонтального перемещения, которые используют аффилированные лица перед распространением ransomware. Изменяя способы распространения ransomware, злоумышленники могут найти новые пути обхода мер безопасности. Ниже приведены несколько примеров того, как злоумышленники получают начальный доступ:
- Покупка украденных учетных данных у брокеров доступа. Аффилированные лица часто используют подлинные учетные данные, чтобы закрепить позиции. Remote Desktop Protocol (RDP) является самым популярным способом доступа.
- Спам или социальная инженерия. Среди наиболее распространенных первичных векторов доступа.
- Сканирование уязвимостей и наборы эксплойтов. Эти наборы можно найти на различных форумах, они ориентированы на конкретное программное обеспечение или системы для доступа и установки дополнительного кода. Наборы эксплойтов могут быть соединены с фишинговыми кампаниями для повышения их эффективности.
- Использование загрузчиков и ботнетов. Загрузчики, часто являющиеся промежуточным этапом между фишинговыми кампаниями и развертыванием программы-вымогателя, используют вредоносные документы, такие как электронные таблицы с макросами, для загрузки и запуска вредоносного кода.
- Инструменты постэксплойта и «living off the land». Злоумышленники, получившие доступ к системе, исследуют сеть в поисках критически важных данных или программ, которые могут помочь в проведении атаки. Некоторые используют системные инструменты, такие как PSExec или сценарии PowerShell, чтобы оставаться незамеченными.
Понимание приемов злоумышленника может помочь улучшить вашу защиту. Организации должны знать, какие хакеры нацелены на их регион или отрасль, вербуют ли они аффилированных лиц и как распространяется их вредоносное программное обеспечение. Понимая злоумышленника и его инструменты, можно применить стратегию защиты, основанную на возможных угрозах.
Монетизация: как окупается киберпреступность
Как только ransomware развернута в среду жертвы, приобретение нужно распределить и монетизировать в других формах оплаты. Наблюдение за экосистемой киберпреступности предлагает новое понимание злоумышленников, их транзакции и оценка недавних компрометации – вся эта информация способствует пониманию, как деньги поступают в киберпреступность, и помогает укрепить стратегии безопасности.
Злоумышленники постоянно усовершенствуют свои методы монетизации, чтобы увеличить шансы на оплату. Их методы работают: отчеты Сети по борьбе с финансовыми преступлениями Министерства финансов США (FinCen) и Управления по контролю за иностранными активами (OFAC) подчеркивают, насколько прибыльными стали программы-вымогатели. По данным FinCen, стоимость подозрительной деятельности, связанной с ransomware, составила 590 миллионов долларов США за первые шесть месяцев 2021 года – это гораздо больше, чем 416 миллионов долларов США за весь 2020 год. Кроме того, команда CrowdStrike также отслеживает требования выкупа: в 2021 году по расчетам среднее требование составляло 6,1 миллиона долларов США, что на 36% больше, чем в 2020 году.
Если жертва отказывается платить выкуп, ее данные могут быть выставлены на аукцион злоумышленником, таким образом он все еще может получить деньги за них, продав другим лицам или хакерам.
Корпоративные данные представляют собой ценность для всех злоумышленников. Ведь данные можно легко монетизировать, и они станут причиной повышенного риска вашей организации, если к ним получат доступ другие субъекты. Киберзащитники должны лучше понимать поведение хакеров – и широкую экосистему eCrime – чтобы принимать более разумные решения по обеспечению защиты данных как наиболее ценного актива.
iIT Distribution обеспечивает передовые решения для надежной защиты ваших систем от различных типов угроз, в частности ransomware. Мы не только обеспечиваем поставки программного обеспечения и технического оборудования, но и предоставляем полный комплекс услуг по сопровождению и консультации. Если вас заинтересовало решение CrowdStrike, обращайтесь к нам через форму обратной связи на сайте и наши специалисты предоставят вам полную консультацию!