Zrozumienie ról w ekosystemie Ransomware-as-a-Service: Kto atakuje luki w zabezpieczeniach Twoich danych?

W ostatnich latach gwałtownie wzrosła liczba ataków typu ransomware-as-a-service (RaaS), stając się dominującym modelem wdrażania ataków ransomware. Liczba aktywnych grup ransomware wzrosła o ponad 50% w pierwszej połowie 2024 r. Ponadto gangi przekształciły ataki ransomware w szczupłą i usprawnioną operację, działającą podobnie do małej firmy, z wynagrodzeniami, ocenami wyników, a nawet poleceniami rekrutacyjnymi wykorzystywanymi do optymalizacji operacji.

Niestety, te zmiany utrudniają życie organizacjom, które już wcześniej zmagały się z obroną przed atakami ransomware. Jednak dzięki wiedzy o tym, jak działają te grupy i zrozumieniu ich struktury organizacyjnej, liderzy ds. bezpieczeństwa mogą skuteczniej budować strategie odporności cybernetycznej, które pomogą w walce z tego typu atakami. W tym artykule zamierzamy przyjrzeć się bliżej strukturze organizacyjnej grup RaaS i pomóc w skuteczniejszej obronie przed nimi.

Anatomia grup RaaS

Organizacje przestępcze zajmujące się oprogramowaniem typu ransomware działają obecnie jak usprawnione firmy zajmujące się oprogramowaniem i dostawcy usług, pełniąc kilka kluczowych ról ułatwiających tę efektywną operację:

Operatorzy: Są oni raczej jak przedsiębiorcy działający w ramach usługi RaaS, nadzorujący wdrażanie, zarządzanie, zapewniający wsparcie infrastruktury finansowej przed i po wystąpieniu naruszenia oraz dbający o aktualizację i optymalizację operacji w celu ochrony przed kolejnymi atakami.

Podmioty stowarzyszone: Podmioty stowarzyszone to zasadniczo profesjonalni hakerzy, działający jako niezależni kontrahenci. Brudzą sobie ręce, wykorzystując dostęp do wdrażania oprogramowania ransomware, nawigując w sieci zainfekowanej organizacji i zapewniając skuteczne wdrożenie oprogramowania ransomware. Podmioty stowarzyszone mogą współpracować z wieloma operatorami i zmieniać przynależność w razie potrzeby.

Początkowi brokerzy dostępu: Są to eksperci od penetracji, którzy jako pierwsi identyfikują lukę w zabezpieczeniach organizacji, wykorzystują ją i umożliwiają dostęp podmiotowi stowarzyszonemu.

Programiści: Programiści tworzą i utrzymują oprogramowanie oraz infrastrukturę techniczną, które obsługują wykorzystywanie luk w zabezpieczeniach, kompromitację organizacji i wdrażanie oprogramowania ransomware. Podczas gdy niektórzy programiści skupiają się na złośliwym kodzie, takim jak narzędzia szyfrujące lub omijające EDR i systemy antywirusowe, inni pracują nad bardziej konwencjonalnymi zadaniami programistycznymi, takimi jak budowanie portali internetowych lub systemów zaplecza w celu obsługi całego działania. Często zdarza się również, że programiści pracują dla wielu grup lub sprzedają swój kod innym operatorom oprogramowania ransomware, co jeszcze bardziej napędza ekosystem cyberprzestępców.

Zespół Bitdefender zauważa także, że prócz głównych ról ekosystem RaaS obejmuje szereg innych profesjonalistów, którzy przyczyniają się do jego sukcesu. Mogą to być negocjatorzy, którzy wkraczają po zawarciu kompromisu, aby zmaksymalizować wypłaty okupu i eskalować zagrożenia, lub specjaliści w takich dziedzinach jak analiza danych, komunikacja, a nawet public relations, aby zarządzać interakcjami grupy (wystarczy zwrócić uwagę na obecność ransomware Medusa w Internecie). Ten otwarty ekosystem pozwala na wykorzystanie szerokiej gamy wiedzy specjalistycznej w obsłudze operacji.

Typowy model podziału zysków z ataków ransomware

Gdy atak ransomware się powiedzie, większość wypłaty trafia zazwyczaj do podmiotów stowarzyszonych, które są kluczowymi graczami w tym ekosystemie. Pozostałe zyski są dzielone między inne grupy w oparciu o ich wkład. W wielu przypadkach grupy ransomware współpracują, ale wielu aktorów zagrożeń pracuje jako freelancerzy, oferując swoje specjalistyczne umiejętności wielu grupom.

Jak ewoluują role RaaS?

W miarę rozwoju grup RaaS zespół Bitdefender zauważa, że brokerzy i deweloperzy dostępu początkowego stają się coraz ważniejsi i mają coraz większy wpływ na sposób funkcjonowania tych grup. Brokerzy dostępu początkowego zazwyczaj nie czekają na zatrudnienie. Zamiast tego proaktywnie uzyskują dostęp do wielu firm i środowisk, budując portfolio zagrożonych systemów, które mogą zaoferować potencjalnym nabywcom.

Z drugiej strony, deweloperzy mogą również pełnić funkcję właściciela i szefa małych grup RaaS oraz zatrudniać innych deweloperów, którzy mogą pisać narzędzia peryferyjne i infrastrukturę wspierającą ataki. Obejmuje to rozwiązania omijające wykrywanie i reagowanie na ataki w punktach końcowych (EDR), rozwiązania backdoor, lub infrastrukturę, która może nawet nie wyglądać, jakby ułatwiała hakowanie black hat. Pozwala to deweloperom zatrudniać innych inżynierów, którzy mogą nawet nie wiedzieć, że pracują dla przestępczej grupy hakerskiej lub mieć wystarczająco dużo wątpliwości, aby podjąć się tej pracy.

W miarę jak te grupy stają się bardziej wyrafinowane, mogą nadal udoskonalać swoje praktyki rekrutacyjne. Obecnie odbywa się to głównie za pośrednictwem forów, rekomendacji i zamkniętych systemów, ale może to skutkować niesprawdzonymi zatrudnieniami.

Chociaż grupy RaaS stają się coraz bardziej wydajne i niebezpieczne, istnieje jeszcze pole do ich poprawy, co oznacza, że organizacje muszą być zawsze gotowe na cyberatak.

Co jest celem ataków i kto jest narażony?

W przeszłości grupy ransomware atakowały określone branże na podstawie znanych luk i powszechnego narażenia na ryzyko w organizacjach branżowych. Jednak zwrot w stronę RaaS zmienił sposób atakowania organizacji. Zamiast atakować kluczowe branże, te grupy zaczynają od luk i szukają organizacji, które używają systemów lub urządzeń ze znanymi lukami i atakują te, które prawdopodobnie nie załatały podatnych urządzeń. Najczęstszymi celami są tutaj urządzenia sieciowe brzegowe, takie jak zapory aplikacji, urządzenia VPN, routery i inne.

Te grupy wykorzystują zautomatyzowane narzędzia skanujące, szukają użycia urządzeń i od tego momentu dokonują segregacji. To duża zmiana, ponieważ podatne organizacje są odkrywane znacznie szybciej, a grupy już wiedzą, w jaki sposób uzyskają dostęp i naruszą organizację. Dzieje się tak, ponieważ ci aktorzy zagrożeń poruszają się znacznie szybciej, aby wykorzystać znane luki w zabezpieczeniach. W przeszłości, gdy tylko odkryto lukę w zabezpieczeniach i opublikowano dowód koncepcji, aktorzy zagrożeń byli w stanie profesjonalnie je uzbroić w ciągu około miesiąca. Obecnie trwa to około 24 godzin.

Oznacza to, że każda organizacja, która może zostać dotknięta luką, jest zagrożona. Grupy ransomware o tym wiedzą, dlatego zaczynają od luk i bezkrytycznie atakują podatne organizacje.

Wzmocnienie obrony przed RaaS

Wszelkie strategie ograniczania ryzyka lub obrony muszą zaczynać się od świadomości. W cyberbezpieczeństwie jest dużo szumu, a trendy zmieniają się szybciej niż kiedykolwiek, co utrudnia określenie, na podstawie jakich informacji należy działać. Jeśli organizacje nadal uważają ransomware za zwykły atak szyfrujący lub że e-mail jest najczęstszym wektorem, to są ślepe na to, co tak naprawdę dzieje się z tymi nowymi ransomware jako grupami usługowymi.

Zrozumienie, że te grupy są o wiele bardziej wyrafinowane, wykorzystują znane luki i angażują się w ataki wymuszające, pomoże Ci opracować skuteczniejsze strategie. W dłuższej perspektywie powinieneś zainwestować w cyberzagrożenia wywiadowcze, aby dowiedzieć się, w jaki sposób ci aktorzy zagrożeń atakują organizacje i jak zmieniają się ich metody.

W przypadku tych obecnych grup RaaS zarządzanie podatnościami i zarządzanie poprawkami jest konieczne, ponieważ urządzenia sieciowe Edge i ich podatności stają się głównym punktem wejścia dla tych atakujących. Jeśli przyjmujesz podejście „łataj wszystko cały czas”, prawdopodobnie narazisz się na ryzyko krytycznych podatności ze względu na szybkość, z jaką ci atakujący się poruszają. Ważne jest, aby mieć proces zarządzania krytycznymi podatnościami i nadać priorytet swoim łatkom.

Zabezpieczenie się przed tym zagrożeniem zaczyna się z reguły od ustanowienia kanałów komunikacji, aby być świadomym luk w zabezpieczeniach, gdy tylko zostaną opublikowane. CVEdetails.com to dobre źródło na początek (upewnij się, że patrzysz na wyniki CVSS pod kątem krytyczności), a lista znanych i wykorzystywanych luk CISA powinna być również ciągłym źródłem. Luki znalezione tutaj to luki, które należy koniecznie załatać, aby mieć pewność, że nie zostaniesz wciągnięty w zautomatyzowane skanowanie grupy ransomware i punkt widzenia brokera dostępu początkowego.

Dzięki tym środkom zapobiegawczym możesz teraz zainwestować w dodatkowe warstwy ochronne, co pozwala odkryć potencjalne zagrożenie po tym, jak znajdzie się ono w Twoim systemie. Na szczęście między początkowym naruszeniem a całkowitym naruszeniem jest pewien czas, który pozwala podmiotowi stowarzyszonemu wdrożyć ransomware w środowisku organizacji. Wykorzystanie rozwiązań, takich jak narzędzia Bitdefender XDR, EDR i MDR, jest tutaj konieczne, ale ważne jest, aby upewnić się, że rozwiązujesz problem zrozumienia i widoczności ze swoim dostawcą. Nawet niewielkie luki w widoczności lub możliwościach wykrywania wystarczają, aby haker mógł poruszać się bocznie i uniknąć wykrycia.

Ostatecznie skuteczny lider ds. bezpieczeństwa musi zapewnić, że jego strategia jest zoptymalizowana pod kątem ciągle ewoluującego krajobrazu zagrożeń. Przygotowanie się na tę nową falę ataków ransomware wymaga zmiany sposobu myślenia, wyjścia poza tradycyjne pojęcia ransomware i wykorzystania zaawansowanych narzędzi i procesów w celu zwalczania tych rosnących zagrożeń.

Jeśli chcesz dowiedzieć, w jaki sposób systemy z linii Bitdefender GravityZone mogą pomóc Ci w zabezpieczeniu się przed zagrożeniami typu ransomware, to sprawdź tę stronę.