Zagrożenia ransomware wzrosły w ciągu ostatnich kilku lat i chociaż większość z nich jest wycelowana w szeroką powierzchnię ataku i ma oportunistyczne schematy, firma Microsoft wydała ostrzeżenie dotyczące oprogramowania ransomware kierowanego przez człowieka (nazwiemy to w skrócie „HOR” w przyszłości). ), która staje się dominująca w ekonomii koncertów ransomware jako usługa (RaaS).
HOR różni się od tradycyjnego oprogramowania ransomware tym, że atakuje określone słabości systemu, które są ręcznie wykrywane przez ludzi. Przykładem jest użycie podwyższonej usługi w Twoim środowisku. Microsoft twierdzi, że HOR wiąże się z zaangażowaniem człowieka na każdym etapie ataku, a wady systemu lub błędy ludzkie mogą zostać wykorzystane do podniesienia uprawnień, uzyskania dostępu do bardziej wrażliwych danych i ostatecznie uzyskania większej zapłaty. Tym, co sprawia, że HOR jest jeszcze bardziej niebezpieczne, jest to, że napastnicy zwykle nie opuszczają sieci nawet po zapłaceniu. Próbują zarabiać na swoim dostępie, wdrażając nowe złośliwe oprogramowanie, dopóki nie zostaną całkowicie oczyszczone.
Microsoft podkreślił, że RaaS zaczął ostatnio zmierzać w kierunku modelu podwójnego wyłudzenia, w którym Twoje dane są nie tylko szyfrowane, ale atakujący również grożą, że upublicznią je, dopóki im nie zapłacisz. Firma zauważyła również, że kampanie HOR zazwyczaj wykorzystują starsze konfiguracje i błędne konfiguracje, a także słabą higienę poświadczeń, aby podnieść ich przywileje. Dlatego eksperci ds. bezpieczeństwa w organizacjach muszą przejść do modelu zerowego zaufania, w którym nie tylko szukają indywidualnych alertów, ale także mają całościowy obraz całego stanu bezpieczeństwa i incydentów.
Firma Microsoft powiadomiła również organizacje o opisanym poniżej modelu partnerskim RaaS:
W przeszłości zaobserwowaliśmy ścisły związek między początkowym wektorem penetracji, narzędziami i wyborem ładunku ransomware w każdej kampanii pojedynczego szczepu ransomware. Model partnerski RaaS, który pozwala większej liczbie przestępców, niezależnie od wiedzy technicznej, wdrażać oprogramowanie ransomware stworzone lub zarządzane przez kogoś innego, osłabia to powiązanie. W miarę jak wdrażanie oprogramowania ransomware staje się ekonomiczne, coraz trudniej jest przypisać umiejętności użyte w konkretnym ataku twórcom oprogramowania ransomware.
[…] RaaS to umowa pomiędzy operatorem a podmiotem powiązanym. Operator RaaS opracowuje i utrzymuje narzędzia do obsługi operacji ransomware, w tym linkery generujące ładunki ransomware i portale płatnicze do łączenia się z ofiarami.
[…] W ten sposób RaaS tworzy jeden rodzaj ładunku lub kampanii, czyli pojedynczą rodzinę oprogramowania ransomware lub grupę atakujących. Zdarza się jednak, że operator RaaS sprzedaje dostęp do ładunku ransomware i deszyfratora partnerowi, który przeprowadza eskalację włamań i uprawnień oraz jest odpowiedzialny za wdrożenie rzeczywistego ładunku ransomware. Następnie strony dzielą się zyskami. Ponadto programiści i operatorzy RaaS mogą również wykorzystywać ładunek dla zysku, sprzedawać go i prowadzić kampanie z innymi ładunkami ransomware, co jeszcze bardziej myli sytuację, jeśli chodzi o śledzenie przestępców stojących za tymi działaniami.
W celu zwalczania tych rosnących i wyrafinowanych zagrożeń firma Microsoft zaleca organizacjom przejście na model zerowego zaufania, tworzenie higieny poświadczeń, kontrolowanie ujawniania poświadczeń, wzmacnianie w chmurze, ustalanie priorytetów wdrażania aktualizacji Active Directory, ograniczanie powierzchni ataku, ograniczanie słabych punktów bezpieczeństwa, i wzmocnić granice, zwłaszcza zasoby dostępne w Internecie. Na koniec zachęcił również klientów do korzystania z usługi Microsoft 365 Defender Unified Investigation i widoczności w wielu domenach w celu wykrywania zagrożeń i proaktywnego reagowania na nie. Microsoft planuje opowiedzieć więcej o tym kierunku podczas cyfrowej konferencji Microsoft Security Summit, która odbędzie się 12 maja, możesz zarejestrować się tutaj .
Dodaj komentarz