Tim Wallen regionalni direktor, UKI & BeNeLux , Logpoint
Nedavni ransomware napadi na The Guardian i Royal Mail poslužili su da nas podsjete koliko rasprostranjeni i razorni ovi napadi mogu biti. Nijedan sektor nije bezbedan, sa značajnim brojem napada na zdravstvene, obrazovne i vladine agencije, da spomenemo samo neke. Ransomware je sada prijetnja broj jedan, prema Cyber Attack Trends: 2022 Mid-Year Report-u, koji je otkrio da su napadi porasli za 28% u trećem kvartalu i opisao ih kao slične napadima na nacionalne države.
Naše istraživanje je pokazalo da se period ransomware-a, vrijeme koje je potrebno od tačke kompromitovanja do implementacije ransomware-a i enkripcije podataka, smanjio sa pet dana na 4,5 dana u toku prošle godine. Ovo efektivno znači da je smanjen i prozor mogućnosti za uspješnu odbranu od napada, što znatno otežava poslovanje preduzeća da se zaštite.
Takođe smo otkrili da se srednje vrijeme zadržavanja za ransomware smanjilo, u stvari, prepolovljeno je sa 22 dana na 11 dana, što može zvučati kao dobra vijest, ali nije. To znači da napadači postaju mnogo efikasniji i troše manje vremena na prethodno kompromitovane ili zaštićene sisteme.
RaaS kao Gamechanger
Dakle, zašto naizgled gubimo rat protiv ransomware-a? Odgovor leži u pojavi Ransomware-as-a-Service (RaaS). Ovo je dovelo do udaljavanja od uobičajenih alata kao što je Cobalt Strike, pri čemu napadači sada kupuju pristup mrežama i korisnim podacima. Rezultat je da je granica za ulazak značajno smanjena, što je omogućilo manje vještim napadačima da izvedu uspješne napade ransomware-a i iznude.
Pod RaaS-om sada postoji čitav ekosistem igrača od operatera ransomware-a koji kreira i održava alate koji pokreću aktivnosti ransomware-a, kao što su autori ransomware-a softvera i stranice za plaćanje za povezivanje sa žrtvama, do njihovih filijala, koji vrše upad, eskalaciju privilegija. Sav profit se tada dijeli između strana, što agencijama otežava praćenje i zatvaranje operacija.
RaaS program može uključivati mjesto curenja za dijeljenje bitova podataka eksfiltriranih od žrtava, omogućavajući napadačima da pokažu autentičnost eksfiltracije i pokušaju iznuđivanja i plaćanja. Mnogi RaaS programi također uključuju usluge podrške za iznudu, kao što su hosting lokacija za curenje informacija i njihova integracija u bilješke o otkupnini, kao i pregovaranje o dešifriranju, pritisak na plaćanje i usluge bitcoin transakcija. Osim toga, RaaS programeri i domaćini mogu dodatno profitirati od korisnog opterećenja tako što će ga prodati i pokrenuti kampanje s dodatnim sadržajem ransomware-a.
Alati zanata
Međutim, nije evoluirao samo poslovni model. Alati se takođe kontinuirano modifikuju. Neki payload loader-i, na primjer, su povučeni i zamijenjeni novima, kao što je ChromeLoader, i postoje sve indikacije da grupe sada sarađuju na razvoju ovih, što je rezultiralo udaljavanjem od složenih botnet-a.
Operateri nastavljaju da favorizuju određeni maliciozni softver za krađu informacija koji se koristi za dobijanje kredencijala, a Formbook je izbor keylogger-a od 2016. godine. Međutim, drugi dobijaju na popularnosti sa Snake Keylogger-om, koji se obično širi putem email-a koja sadrži DOCX ili XLSX priloge sa malicioznim makroima, a sada se širi putem PDF fajlova takođe. Raccoon stealer je napustio upotrebu samo da bi se ponovo pojavio u junu (V2), novi i poboljšan i sa dodatnim karakteristikama. Također vidimo da operateri sve više koriste ISO, ZIP i LNK tipove datoteka za isporuku Emotet, Qakbot i IcedID kako bi zaobišli Microsoftove mjere za blokiranje dokumenata sa omogućenim makroima.
Sa svim tim na umu, nije ni čudo što se organizacije nastavljaju nositi sa ransomware-om i što ga sada vidimo kako ulazi u mainstream. Čak se i male i srednje kompanije sada smatraju vrijednim ciljevima, s više od četvrtine MSP-a u Velikoj Britaniji prošle godine pogođeno ransomware-om. Zaista, ove kompanije često predstavljaju najlakše i najunosnije mete jer im nedostaje neophodna odbrana i obično nisu u mogućnosti da se vrate i da rade onoliko brzo koliko im je to potrebno.
Uzvratiti udarac
Ipak, moguće je uspješno se braniti od ransomware-a. Ono što je zajedničko većini napada je da iskorištavaju pukotine u oklopu, bilo da je to osoblje ili sistemi bez zakrpe. Usklađivanje odbrane je stoga ključno, ali to je često teže nego što zvuči jer zahtijeva kulturno usklađivanje među odjelima, kao i usklađivanje resursa.
Što se tiče otkrivanja, ključno je pratiti specifične indikatore kompromitacije (IoC), kao što je brisanje shadow kopija u dnevniku aktivnosti. Obavještajni podaci o prijetnjama o vrstama ransomware-a, različitim varijantama i njihovom ponašanju mogu omogućiti sigurnosnom analitičaru da razumije sljedeću fazu napada. Ovi IoC-i također mogu pokrenuti automatizovani i orkestrovani odgovor, kao što su agenti krajnje tačke koji provode politike ili isključuju mašine iz mreže.
Rat ransomware-a nesumnjivo pokazuje da naši protivnici postaju organizovaniji, a ovo je igra strategije. Usklađivanjem Vašeg pristupa i korištenjem obavještajnih podataka o prijetnjama za stvaranje jedinstvenog pogleda, možete uočiti, ublažiti i spriječiti ove napade, pod uslovom da Vaši sistemi znaju šta da traže.
Izvor: Infosecurity Magazine