Управление инцидентами
Эволюция Программ-вымогателей Уроки на будущее - ICORE

Эволюция Программ-вымогателей: Уроки на будущее

«Программы-вымогатели» являются частью экосистемы киберпреступности с конца 1980-х годов и остается одной из основных угроз в киберпространстве сегодня. Атаки с применение программ-вымогателей становятся все более изощренными, поскольку атакующие используют уязвимости, социальную инженерию и инсайдерские угрозы. Хотя будущее программ-вымогателей полно неизвестных угроз, мы можем обратиться к прошлому и последним тенденциям, чтобы предсказать будущее.

2005-2020: быстро меняющийся ландшафт угрозы

Если первый инцидент с вымогательством был отмечен в 1989 году, то в 2005 году число атак вымогателей резко возросло.

– В 2005 году троян «Archiveus» стал первой программой-вымогателем, использующей алгоритм RSA и асимметрично шифрующей все файлы в папке “Мои документы”.

– В 2009 году появился вирус под названием Vundo, который шифровал компьютеры и продавал дешифраторы, позволяя группам получать больше прибыли.

– В 2012 году появилась новая тактика, известная как “программы-пугалки”, которые содержали сообщения, выдававшие себя за сообщения правоохранительных органов, и предлагали жертве заплатить, чтобы избежать судебного преследования. Программы-пугалки привели к росту платежей в пользу угроз.

– В период с 2013 по 2016 год программы-вымогатели стали более распространенными по всему миру, распространяясь через ботнеты. Кроме того, появление первого настоящего выкупного ПО для Mac увеличило число жертв.

– В 2016 году появились первые варианты Ransomware-as-Service (RaaS) (программа-вымогатель, как услуга). Развитие RaaS избавило субъектов угроз от необходимости разрабатывать собственное вредоносное ПО, что позволило неопытным группам успешно атаковать организации. Это способствовало росту числа атак с использованием вымогательского ПО.

– В 2019-2020 годах группы, занимающиеся вымогательством, создали специальные сайты для утечки данных, которые заставляли жертв платить выкуп, чтобы избежать потенциальной угрозы публикации украденных данных, что привело к дополнительным финансовым потерям для жертв. Эта тактика угроз получила популярное название “двойное вымогательство”.

Программа-вымогатель продолжает оставаться актуальной угрозой в современных условиях.

Начиная с 2021 года, группы, занимающиеся распространением вымогательского ПО, стали более изощренными: они обновили свою тактику, сформировали новые группы, нашли новые цели и воспользовались внешними факторами. Эти изменения важны для групп вымогателей, чтобы опережать меры безопасности и обеспечивать большие суммы выкупа.

Изменения в тактике, технике и процедурах (ТТП)

Группировки по-прежнему используют тактику двойного вымогательства, однако некоторые из них теперь применяют тактику “тройного” и “четверного” вымогательства, чтобы убедить жертву заплатить выкуп. Тройное вымогательство повышает вероятность того, что жертва заплатит выкуп, особенно для организаций критической инфраструктуры. При тройном вымогательстве злоумышленники угрожают распределенными атаками типа “отказ в обслуживании” (DDoS) в дополнение к шифрованию систем и раскрытию данных, если выкуп не будет выплачен, что может привести к длительным периодам простоя в государственных и частных взаимозависимых секторах, таких как правительство, здравоохранение или коммунальные службы. По сравнению с тройным вымогательством, четверное вымогательство оказывает давление на жертв, связываясь с клиентами и деловыми партнерами и сообщая им, что их конфиденциальная информация была украдена. Это создает еще один уровень давления на жертву, заставляя ее заплатить.

Чтобы получить первоначальный доступ к жертвам, группы ransomware используют различные методы, включая контакты с людьми, работающими в целевой организации (инсайдерская угроза), размещение объявлений с просьбой предоставить первоначальный доступ к определенной цели и работу с брокерами первоначального доступа, которые продают существующие доступы к различным целям.

По данным CrowdStrike, в 2022 году увеличилось количество предложений брокеров, предлагающих первоначальный доступ: более 2500 сообщений с предложением первоначального доступа, а в число ведущих секторов, предлагающих эти сообщения, входят научные и технологические компании. Это на 112 % больше, чем в 2021 году, что говорит о том, что группы, занимающиеся вымогательством, заинтересованы в приобретении первоначального доступа вместо того, чтобы делать это самостоятельно.

Еще больше новых групп вымогателей

К увеличению числа новых групп ransomware могло привести множество факторов, включая филиалы, работающие более чем на одну группу, и утечки кода. С 2021 года многие замеченные утечки исходного кода и сборщиков ransomware позволили группам, не имеющим практически никакого опыта, создавать или модифицировать свои ransomware. Утечки кода, в том числе Babuk, Conti, Lockbit3.0 и Chaos, позволили новым группам производить более частые атаки, тем самым изменив ландшафт угроз. Однако исследователи заметили, что группы, использующие эти утечки, как правило, требуют меньший выкуп. Это может свидетельствовать о том, что такие группы пытаются избежать внимания при тестировании своих новых вариантов.

Цели для Linux и машин ESXi

Группы вымогателей продолжают атаковать операционные системы и платформы, такие как Linux или ESXi. Они являются основными целями, поскольку на них часто размещаются файловые серверы, базы данных и веб-серверы. Группы также создают шифровальные программы для Linux с целью специально зашифровать виртуальные машины ESXi. Linux остается самой популярной операционной системой для встраиваемых, ограниченных и “Интернета вещей” устройств, используемых в критически важных отраслях инфраструктуры, таких как производство и энергетика. Кроме того, число атак на системы Linux выросло на 75 % в 2022 году и, вероятно, продолжит расти во второй половине 2023 года.

Влияние глобальных и геополитических факторов

На рост числа атак с целью выкупа также повлияли недавние глобальные и геополитические факторы. Глобальные факторы, включая COVID-19, сделали сектор здравоохранения привлекательной целью, будь то получение информации о вакцинах или оппортунистическая атака, когда переполненные больницы с большей вероятностью заплатят выкуп. Геополитическая напряженность и санкции также продолжают влиять на атаки вымогателей. APT-группы, связанные с правительствами России, Северной Кореи и Китая, используют выкупное ПО для получения финансовой выгоды и нарушения работы.

Как будет развиваться вымогательское ПО?

Атаки Программ-вымогателей будут развиваться и становиться все более изощренными, продвинутыми и целенаправленными. Угрожающие субъекты осваивают новую технику, при которой злоумышленники используют уязвимости в цепочке поставок для запуска крупных кампаний по вымогательству. Например, в этом году программа-вымогатель Cl0p проникла в MOVEit, приложение для безопасной передачи управляемых файлов, от которого продолжают страдать сотни компаний. Для получения более крупного вознаграждения угрожающие лица, вероятно, продолжат искать первоначальный доступ к компаниям, на которые полагаются многие организации.

В связи с тем, что компании продолжают переносить критически важные данные в “облачные” хранилища, вероятно, возрастет число “облачных” программ-вымогателей. Группы вымогателей могут использовать облачные сервисы, приложения и инфраструктуру для получения первоначального доступа. Это привлекательная возможность для угроз из-за больших объемов критически важной информации, которую можно использовать для получения выкупа.

Группы продолжат использовать прерывистое шифрование – процесс, при котором зашифровываются только части файлов. Такое шифрование позволяет обходить такие продукты, как системы защиты конечных точек и расширенного обнаружения и реагирования, что затрудняет его обнаружение системой безопасности. За счет шифрования только определенных строк данных прерывистое шифрование также позволяет ускорить процесс дешифрования, что может побудить жертву заплатить выкуп.

Атаки на выкуп без шифрования также будут продолжаться; они известны как вымогательство или кража данных. Эти атаки используются уже много лет, и в зависимости от потребностей и изощренности угрожающих субъектов они то усиливаются, то ослабевают. В ходе таких атак группы похищают данные и угрожают их обнародовать вместо того, чтобы зашифровать.

С развитием искусственного интеллекта (ИИ) и таких моделей ИИ, как ChatGPT, группы, занимающиеся разработкой программ-вымогателей, скорее всего, будут следовать этой тенденции и использовать такие инструменты ИИ, как чат-боты, вредоносные программы, разработанные ИИ, автоматизированные процессы и алгоритмы машинного обучения. ИИ, скорее всего, поможет группам разработать более продвинутые и сложные методы, позволяющие обойти существующие средства защиты от вымогательства и рекомендации. Можно ожидать, что все типы угроз, связанных с программами-вымогателями, будут использовать ИИ для проведения успешных атак.

Учимся на опыте прошлого

Оглядываясь назад, на эволюцию программ-вымогателей, становится ясно одно: будущее кибербезопасности, скорее всего, будет таким же непредсказуемым, как и ее прошлое. Тем не менее, история атак с использованием программ-вымогателей позволяет многому научиться.

Придерживаясь надежной и адаптируемой стратегии кибербезопасности, организации имеют больше шансов справиться с грядущими проблемами.

Рекомендации в обнаружении и проактивном реагировании на современные вызовы от программ-вымогателей

Сбор данных из различных источников играет решающую роль в мониторинге и обнаружении первичных проявлений программ-вымогателей. Тем не менее, стоит обратить внимание на более обширную видимость. “Триада видимости ОЦИБ”, предложенная компанией Gartner, представляет собой концепцию, ориентированную на сетевую центричность, и включает три основных компонента для комплексного подхода к информационной безопасности:

– EDR (обнаружение и реагирование на конечных точках).

– NDR (обнаружение и реагирование на угрозы в сетевом трафике).

– SIEM (управление событиями информационной безопасности) с возможностью UЕBA (аналитика поведения пользователей).

Эта триада обеспечивает полную прозрачность ИТ-инфраструктуры Организации в процессе реагирования на инциденты.

Как эти компоненты “Триады видимости ОЦИБ” взаимодействуют между собой?

– EDR предоставляет командам безопасности информацию о вредоносной активности на конечных точках Организации. EDR способен обнаруживать, реагировать и автоматически устранять множество вредоносных программ, включая Zero-Day, обеспечивая всестороннюю и детальную видимость устройств в сети.

– NDR обеспечивает полную видимость, анализируя зеркалируемый сетевой трафик на наличие аномалий и угроз. NDR помогает построить полную карту в режиме реального времени.

– SIEM предоставляет аналитикам единое рабочее место для сопоставления информации по всей среде, включая данные от EDR и NDR. SIEM позволяет централизованно оповещать о нарушениях безопасности и производить поиск угроз.

Неотъемлемой частью, великолепно дополняющей Триаду видимости ОЦИБ, являются решения семейства SOAR. И, в частности, IBM Security QRadar SOAR — ведущая платформа координации и автоматизации процессов реагирования на инциденты. IBM Security QRadar SOAR легко интегрируется с имеющимися средствами защиты и ИТ-службами, что снижает время реакции на критические инциденты до нескольких секунд.

Адаптация “Триады видимости ОЦИБ” как части стратегии безопасности вашей Организации гарантирует, что ваша команда успешно справится с нарушениями безопасности и знает, как эффективно обнаруживать, реагировать и предотвращать воздействие программ-вымогателей на критические бизнес-процессы.

Источник:
https://securityintelligence.com/posts/the-evolution-of-ransomware-lessons/
https://icore.kz/triada-vidimosti-oczib-v-obespechenii-informaczionnoj-bezopasnosti-organizaczii/
https://icore.kz/upravlenie-inczidentami/
https://icore.kz/obnaruzhenie-i-reagirovanie-na-ugrozy-ks/
https://icore.kz/bezopasnost-seti/

Автор:
MacKenzie Milligan, Cyber Threat Intelligence Analyst – IBM

Перевод и дополнения:
Лебедев А.В.