Эволюция программ-вымогателей и как двигаться дальше

Статьи / Безопасность / Экономика

Кажется, что каждый раз, когда вы проверяете новости, происходит новая атака вымогателей. Но из-за каждой атаки, привлекающей внимание СМИ, несколько других атак, вероятно, остались незамеченными.

Программы-вымогатели не новость - первый случай, о котором было сообщено в 1989 году, был направлен на медицинские учреждения. Организатор атаки доставил программу-вымогатель, отправив исследователям СПИДа более 20 000 дискет. Даже в первые дни социальная инженерия использовалась, чтобы заставить жертв получить доступ к вредоносному ПО; в данном случае диски якобы содержали анкету, которая оценивала бы риск заражения человека СПИДом. С тех пор мы стали свидетелями улучшения качества кода программ-вымогателей, используемых механизмов доставки и методов вымогательства.

Одна из причин, по которой программы-вымогатели представляют собой такую большую проблему, заключается в том, что любой начальный вектор атаки может использоваться для распространения программ-вымогателей по всей организации. Например, он может быть доставлен на более поздних стадиях набора эксплойтов, где фишинг является исходным вектором заражения; или злоумышленниками, использующими утекшие, купленные или перебором учетные данные для получения доступа к организации через общедоступную службу. Злоумышленники также улучшили свою игру с помощью своей тактики целевого фишинга, чтобы обеспечить максимально реалистичную и привлекательную доставку.

Качество кода программ-вымогателей также значительно улучшилось со временем, и тактика вымогательства также эволюционировала, когда программы-вымогатели теперь будут извлекать информацию перед шифрованием. Участники программ-вымогателей также создали публичные сайты для позора, на которых они будут перечислять своих жертв, чтобы добиться оплаты и удаления из этих списков. Отсюда мы увидели переход к двойному вымогательству , когда субъекты требуют оплаты за ключи дешифрования, а затем также требуют второй платеж, чтобы гарантировать, что отфильтрованная информация не станет достоянием общественности или не будет продана.

Возможно, самым большим достижением в области программ-вымогателей стало то, как группы участников развивались и создавали успешные бизнес-модели. Это включает недавний переход на программу- вымогатель как услугу (RaaS) . В этих случаях группы программ-вымогателей предлагают структуру для использования аффилированными членами. Эти аффилированные лица уже получили доступ к сети жертвы, а затем используют программное обеспечение и инфраструктуру RaaS для проведения фактической части атаки с использованием программ-вымогателей. Операторы RaaS собирают выкуп, а затем распределяют процент партнеру.

За последний месяц мы увидели, что группы вымогателей становятся все более дерзкими в своих атаках. После атак на поставщика критически важной инфраструктуры Colonial Pipeline и мясорубку JBS мы узнали о преступном предприятии REvil, которое нацелено на Сэла Ориенса, субподрядчика, работающего с Национальным управлением ядерной безопасности (NNSA). Все три атаки были нацелены на предприятия, критически важные для безопасности Соединенных Штатов. Хотя влияние атаки на Сал Ориенс полностью не известно, существует большой потенциал нанесения ущерба ядерной безопасности Соединенных Штатов, поскольку они угрожали утечь информацию любому национальному государству или вооруженным силам по своему выбору. Эта атака сделала программу-вымогатель эквивалентом угрозы для национального государства.

«Возможно, самым большим достижением в области программ-вымогателей стало то, как группы участников развивались и создавали успешные бизнес-модели»
Соединенные Штаты в настоящее время пересматривают, как они будут бороться с растущей угрозой безопасности критически важной инфраструктуры и национальной безопасности. В качестве первого шага Белый дом издал распоряжение о повышении уровня безопасности организаций .gov, в том числе о переходе в облако и принятии нулевого доверия. архитектуры. После атаки на Colonial Pipeline Энн Нойбергер, заместитель советника по национальной безопасности по кибербезопасности и новым технологиям, сделала страшное предупреждение частным компаниям об угрозе атак программ-вымогателей. Кристофер Рэй, директор ФБР, даже говорил о параллелях сложности текущих расследований в отношении программ-вымогателей и атак 11 сентября. Лиза Монако, заместитель генерального прокурора, также выпустила служебную записку, в которой прокуратура США должна сообщать обо всех расследованиях, связанных с программами-вымогателями, в которых они участвуют, и подчеркнула важность отслеживания всей инфраструктуры вымогателей. Это также делает новое отслеживание программ-вымогателей похожим на отслеживание терроризма.

Программы-вымогатели продолжают развиваться как в технологических, так и в бизнес-моделях. В то время как поставщики средств безопасности продолжают борьбу с технологиями, правительствам во всем мире необходимо активизировать усилия и найти способы подорвать бизнес-модель. Как мы видели, обвинения против некоторых операторов имеют ограниченную эффективность.

Правоохранительные и государственные органы могут сделать смелый шаг, чтобы опередить участников программ-вымогателей: начать владеть всей инфраструктурой хостинга, а не только серверами C2. Все, что связано с рекламой услуг, партнерской инфраструктуры RaaS и любой другой инфраструктуры, используемой в цепочке атак программ-вымогателей или операторами программ-вымогателей, должно быть в собственности. Получение контроля над этой инфраструктурой может иметь большое значение для изменения соотношения «риск / вознаграждение» и вытеснения многих из бизнеса программ-вымогателей. Это также может позволить правоохранительным органам и государственным органам захватить финансовые активы этих организаций и позволить дальнейшее отслеживание перевода средств для поиска других участников программ-вымогателей.

Правительствам необходимо работать вместе, чтобы обеспечить отсутствие убежища для операторов программ-вымогателей, и продолжать оказывать давление на тех, кто по-прежнему предлагает убежище. Это может быть лучшим решением, чтобы положить конец эпидемии программ-вымогателей.