fbpx

Наші представництва: 

Замовити зворотній дзвінок
btn

Казки з Dark Web: Відстеження підпільної економіки eCrime покращує ефективність кіберзахисту

Новина

Кіберзлочинці постійно вдосконалюють свої методи, щоб зламати захист організацій та ефективно монетизувати свої зусилля.


Дослідницька група CrowdStrike Intelligence дослідила, як зросла частота та складність атак програм-вимагачів за останній рік. Виявилося, що кількість витоків даних, пов’язаних із програмами-вимагачами, збільшилася на 82% у 2021 році у порівнянні з 2020 роком; крім того, було виявлено, що 62% атак здійснюються за допомогою техніки hands-on-keyboard, що ще раз вказує на те, що зловмисники не перестають розвивати навички, необхідні для обходу застарілих рішень безпеки та шантажувати жертв погрожуючи здійснити цілеспрямований витік даних. Пропонуємо з’ясувати, які ж причини такого зростання кіберзлочинності та як саме хакери заробляють гроші?


Швидко зростаюча та прибуткова бізнес-модель на основі RaaS

Атаки з використанням програм вимагачів – не новинка. Протягом багатьох років зловмисні групи покладалися на компрометацію. Проте за останні 2-3 роки їх стратегія почала змінюватися у бік бізнес-моделі, заснованої на спільнотах хакерів, що стало можливим завдяки платформам ransomware-as-a-service (RaaS), які дозволяють дрібним, менш просунутим злочинцям приєднатися до масштабної діяльності.

На вершині цієї моделі знаходиться оператор, який налаштовує платформу RaaS. Ця платформа виконує численні технічні завдання, такі як упаковування програм-вимагачів на вимогу, управління та контроль розгорнутих програм-вимагачів, криптографія, вилучення даних, архівування, онлайн-вимагання та інші.

Менш досвідчені кіберзлочинці з мінімальними хакерськими знаннями можуть приєднатися до цієї діяльності після перевірки; за це вони отримують від 70 до 80% від сплаченого викупу. Брокери доступу допомагають новим злочинцям отримати доступ до інфраструктури потенційної жертви. А взаємодія між усіма цими злочинними суб’єктами — операторами RaaS, перевіреними афілійованими особами, брокерами доступу та іншими учасниками — відбувається через кримінальні форуми, підпільні ринки та анонімні пости. CrowdStrike постійно відстежувати це середовище та інформує своїх користувачів щодо активності на ринку та форумі.


Брокери доступу: як зловмисники проникають в систему

Kill chain eCrime часто починається з брокерів доступу – зловмисників, які отримують доступ до інфраструктури організації, а потім продають незаконно отримані облікові дані (або інші методи доступу) покупцям у підпільних спільнотах.

Хакери купують скомпрометовані облікові дані, щоб полегшити та зробити процес проникнення до цільової організації ефективнішим. Брокери доступу продають широкий спектр типів доступу, включаючи логіни фінансових рахунків, дані облікових записів ділової електронної пошти, віддалений доступ до мережевих ресурсів та користувацькі експлойти для ІТ-інфраструктури.

Для публікації оголошень про скомпрометовані облікові дані та інші методи доступу в підпіллі, брокери доступу використовують певні ключові слова та націлюються на специфічні ринки. Однак їхні дописи часто залишають «хлібні крихти», які дають кіберзахисникам можливість виявити скомпрометовані облікові записи або ризики інцидентів безпеки. Наприклад, брокер доступу може вказати такі атрибути, як відомості про компанію (розмір, дохід, галузь), деталі ІТ-інфраструктури, зловмисне програмне забезпечення, яке використовувалось для викрадення облікових даних, або псевдонім брокера доступу.

Кількість чатів на підпільних форумах величезна. Falcon X Recon+, керована служба CrowdStrike, надає допомогу командам безпеки, пропонуючи спеціальні знання для моніторингу та сортування загроз, виявлених на цих форумах, від вашого імені. Експерти CrowdStrike можуть допомогти організаціям будь-якого розміру ідентифікувати небажане розкриття даних або такі загрози, як викрадення облікових записів і атаки, націлені на бренд.


Служби розповсюдження: Чинник, що стимулює поширення Ransomware

Проведений аналіз кампаній з поширення програм-вимагачів таких груп, як Pinchy Spider (також відомої як REvil),Wizard Spider (Conti) та Carbon Spider (DarkSide), показав, що оператори цих кампаній більше не працюють поодинці, зокрема при компрометації активів та впровадженні програм-вимагачів. Оператори Ransomware розміщують оголошення на підпільних форумах, щоб набрати афілійованих осіб, які допоможуть їм поширювати ransomware та діляться прибутком.

Ці афіліати використовують надану операторами інфраструктуру RaaS. Після націлювання та компрометації активів жертви, вони запускають програми-вимагачі з платформи RaaS, встановлюють вимогу викупу та отримують від 70 до 80% від суми викупу. Жертв часто обирають на основі ймовірності того, що вони зможуть дозволити собі викуп; афіліати часто розраховують виплати викупу на основі прибутку компанії та її впливу на бізнес, щоб максимізувати свої прибутки.

Оператори надають технічні послуги в обмін на допомогу афілійованих осіб у розповсюдженні програм-вимагачів. Вони можуть надати packager для створення спеціалізованих програм-вимагачів, щоб афіліати могли розповсюджувати їх через власні канали; управління криптографічними ключами; інтернет-інфраструктури для викрадення та зберігання даних. Вони можуть ділитися платіжними інструкціями для отримання віртуальної валюти від жертв; секретними каналами зв'язку, щоб приховати афілійованих осіб, коли вони спілкуються з жертвами; і навіть сервісом підтримки щоб допомогти жертвам сплатити викуп. Ці послуги допомагають зловмисникам, які не розуміються на техніці й отримують доступ до досконалого передового шкідливого програмного забезпечення за низькою ціною.

Аналітики CrowdStrike Intelligence виявили безліч технік первинного доступу та горизонтального переміщення, які використовують афілійовані особи перед поширенням ransomware. Змінюючи способи поширення ransomware, зловмисники можуть знайти нові шляхи обходу заходів безпеки. Нижче наведено кілька прикладів того, як зловмисники отримують початковий доступ:

  • Купівля викрадених облікових даних у брокерів доступу. Афілійовані особи часто використовують справжні облікові дані, щоб закріпити позиції. Remote Desktop Protocol (RDP) є найпопулярнішим способом доступу.
  • Спам чи соціальна інженерія. Серед найбільш поширених первинних векторів доступу.
  • Сканування вразливостей та набори експлойтів. Ці набори можна знайти на різних форумах, вони орієнтовані на конкретне програмне забезпечення або системи для отримання доступу та встановлення додаткового коду. Набори експлойтів можуть бути поєднані з фішинговими кампаніями для підвищення їхньої ефективності.
  • Використання завантажувачів та ботнетів. Завантажувачі, які часто є проміжним етапом між фішинговими кампаніями та розгортанням програми-вимагача, використовують шкідливі документи, такі як електронні таблиці з макросами, для завантаження та запуску шкідливого коду.
  • Інструменти постексплойту та "living off the land". Зловмисники, які отримали доступ до системи, досліджують мережу в пошуках критично важливих даних або програм, які можуть допомогти у проведенні атаки. Деякі використовують системні інструменти, такі як PSExec або сценарії PowerShell, щоб залишатися непоміченими.


Розуміння прийомів зловмисника може допомогти покращити ваш захист. Організації повинні знати, які хакери націлені на їхній регіон чи галузь, чи вербують вони афілійованих осіб і як розповсюджується їхнє шкідливе програмне забезпечення. Розуміючи зловмисника та його інструменти, можна застосувати стратегію захисту, яка базується на імовірних загрозах.


Монетизація: як окупається кіберзлочинність

Як тільки ransomware розгорнута у середовище жертви, надбання потрібно розподілити та монетизувати в інших формах оплати. Спостереження за екосистемою кіберзлочинності пропонують нове розуміння зловмисників, їхні транзакції та оцінка нещодавніх компрометації– вся ця інформація сприяє розумінню, як гроші надходять у кіберзлочинність, та допомагає зміцнити стратегії безпеки.

Зловмисники постійно вдосконалюють свої методи монетизації, щоби збільшити шанси на оплату. Їхні методи працюють: звіти Мережі боротьби з фінансовими злочинами Міністерства фінансів США (FinCen) та Управління з контролю за іноземними активами (OFAC) підкреслюють, наскільки прибутковими стали програми-вимагачі. За даними FinCen, вартість підозрілої діяльності, пов'язаної з ransomware, склала 590 мільйонів доларів США за перші шість місяців 2021 року – це набагато більше, ніж 416 мільйонів доларів США за весь 2020 рік. Крім того, команда CrowdStrike також відстежує вимоги викупу: у 2021 році, за розрахунками, середня вимога становила 6,1 мільйона доларів США, що на 36% більше, ніж у 2020 році.

Якщо жертва відмовляється платити викуп, її дані можуть бути виставлені на аукціон зловмисником, таким чином, він все ще може отримати гроші за них, продавши іншим особам чи хакерам.

Корпоративні дані є цінністю для всіх зловмисників. Адже дані можна легко монетизувати, і вони стануть причиною підвищеного ризику для вашої організації, якщо до них отримають доступ інші суб’єкти. Кіберзахисники повинні краще розуміти поведінку хакерів – і широку екосистему eCrime – щоб приймати більш розумні рішення щодо забезпечення захисту даних як найбільш цінного активу.


iIT Distribution забезпечує передовими рішеннями для надійного захисту ваших систем від різних типів загроз, зокрема ransomware. Ми не тільки забезпечуємо постачання програмного забезпечення та технічного обладнання, а й надаємо повний комплекс послуг із супроводу та консультації. Якщо вас зацікавило рішення CrowdStrike, звертайтеся до нас через форму зворотного зв'язку на сайті та наші фахівці нададуть вам повну консультацію!

Назад

Mobile Marketing
+