Банды вымогателей все чаще обращаются к специалистам, чтобы завершить свои операции против корпораций, по словам поставщика темной сетевой разведки.
В отчете, опубликованном в пятницу базирующейся в Тель-Авиве компанией Kela, отмечается, что дни, когда одинокие волки проводили кибератаки от начала до конца, почти прошли.
Шоу одного человека почти полностью распалось, уступив место специализации, говорится в отчете, написанном аналитиком Kela Threat Intelligence Викторией Кивилевич.
Кивилевич выделила четыре области специализации:
- Предоставление или получение кода для атаки;
- Заражение и распространение атаки;
- Поддержание доступа к данным из зараженных систем и сбор их;
- и монетизация результатов атаки.
Вымогатели также начали расширять свои методы запугивания жертв, такие как использование DDoS-атак и спам-звонков, говорится в отчете.
"Таким образом, экосистема вымогателей все больше и больше напоминает корпорацию с диверсифицированными ролями внутри компании и множеством видов аутсорсинговой деятельности", - отмечается в нем.
Возвышение переговорщика
Отчет также показал появление новой роли в экосистеме вымогателей: переговорщика.
Первоначально, как пояснялось в нем, большинство операторов вымогателей общались с жертвами по электронной почте. По мере того как вымогатели как услуга росли и становились все более заметными и деловыми, многие участники начали создавать свои собственные порталы, через которые осуществлялись все коммуникации.
Разработчики вымогателей или аффилированные лица определяли сумму выкупа, предлагали скидки и обсуждали условия оплаты, говорится в отчете. "Однако, - отмечается в нем, - теперь эта часть атаки также, похоже, является аутсорсинговой деятельностью-по крайней мере, для некоторых аффилированных лиц и/или разработчиков."
Одна из возможных причин, по которой киберпреступники начали привлекать переговорщиков, заключается в том, что жертвы начали их использовать. "Актерам, занимающимся выкупом, также пришлось повысить свою игру, чтобы получить хорошую прибыль", - говорится в отчете.
Другой мотив может быть связан с самими киберпреступниками. "Поскольку большинство участников выкупа, вероятно, не являются носителями английского языка, более деликатные переговоры-особенно в связи с очень высокими бюджетами и сложными деловыми ситуациями-требовали лучшего владения английским языком"
В нем отмечалось, что участники переговоров обычно просили от 10 до 20 процентов выкупа в качестве оплаты за свои услуги.
"Переговорщики на английском языке находятся там, чтобы придать сделке вид" обслуживания клиентов", - заметил Эй Джей Кинг, CISO из BreachQuest, компании по реагированию на инциденты в Далласе.
"В зависимости от типа компромисса использование нюансов языка может означать разницу между получением дополнительных 10 процентов от вашей цели и отсутствием", - сказал он TechNewsWorld.
"Если вы не сможете правильно общаться, вы не добьетесь успеха в долгосрочной перспективе и в более крупных случаях", - сказал он. "Киберпреступники обратили на это внимание."
Движущие силы специализации
Оливер Таваколи, технический директор Vectra AI, поставщика автоматизированных решений для управления угрозами в Сан-Хосе, Калифорния. поддерживаемые вымогатели начали специализироваться по тем же причинам, по которым специализируется любой крупный бизнес.
"Легче быть хорошим в небольшом количестве вещей, чем в большом количестве вещей, лучше работать над тем, в чем вы хороши, и организации, пытающиеся организовать всю цепочку атак, не хотят полагаться на людей, которые не являются экспертами в чем-то для критического шага в атаке"
Масштаб также может способствовать необходимости специализации, добавил Пурандар Дас, генеральный директор и соучредитель Sotero, компании по защите данных в Берлингтоне, штат Массачусетс.
"Атаки теперь стали настолько масштабными, что то, что, вероятно, рассматривалось как часть атаки, теперь требует тех же услуг в масштабе"
"Каждая из этих возможностей требует специальных навыков", - сказал он. "Будь то вторжение, доступ или переговоры, бизнес ведется в таких масштабах, что каждый из них требует своей специализации."
Брэндон Хоффман, директор по безопасности Intel 471, поставщика информации о киберпреступности в Далласе, добавил, что поставщикам программ-вымогателей как услуг нужны специалисты, поскольку они обычно предлагают только программное обеспечение для шифрования и способ монетизации атаки.
"Важно иметь в виду, что вымогатели, по сути, находятся в конце цепочки атак", - сказал он. "Для загрузки программ-вымогателей им необходим первоначальный доступ, боковое перемещение и повышение привилегий, прежде чем шифрование станет эффективным и достаточно распространенным, чтобы нанести вред организации."
Премиальные тарифы за права администратора
В отчете Kela также отмечалось, что вымогатели были готовы заплатить премию за доступ администратора домена к скомпрометированному компьютеру.
"Если злоумышленники-вымогатели начнут боковое перемещение с компьютера администратора домена, у них будет больше шансов успешно развернуть вымогателей в скомпрометированной сети", - поясняется в отчете.
"Однако, - продолжил он, - если все, что у них есть, - это доступ пользователей, то им нужно самим повысить привилегии-или обратиться за помощью к квалифицированным специалистам."
Эта помощь может быть дорогой. Согласно отчету, специалисты по вторжениям получают от 10 до 30 процентов выкупа за повышение привилегий до уровня домена.
Таваколи объяснил, что вторжение и эскалация являются частью атаки вымогателей, которая требует высокого уровня технического мастерства и, как правило, не может быть автоматизирована.
"Этот шаг использует существующие инструменты и методы и должен адаптировать их к особенностям среды, с которой сталкивается целевая организация", - продолжил он. "Учитывая, что этот шаг требует навыков и является ручным, спрос-с точки зрения общего количества необходимых людей-относительно высок."
Гаррет Граек, генеральный директор YouAttest, компании по аудиту личных данных в Ирвине, Калифорния. добавил, что ключевым выводом из полученных результатов является напоминание о том, насколько важны административные права для хакеров.
"Исследование показывает, что хакеры платят в 10 раз больше за скомпрометированные учетные данные администратора, чем за учетные данные обычных пользователей", - сказал он TechNewsWorld.
"Чтобы компенсировать затраты, хакеры также покупают недорогие украденные учетные данные пользователей, а затем используют оплаченные взломы для повышения привилегий этих учетных записей пользователей", - добавил он.
Хакеры с двойным погружением
Как только вымогатели проникают в систему, они обычно действуют одним из двух способов, а в некоторых случаях и тем и другим.
"Киберпреступники шифруют данные для получения выкупов в соответствии с классическими методами вымогательства", - отметила Элли Меллен, аналитик по безопасности и рискам в Forrester Research.
"Усугубляя это, они также используют новый подход, крадут бизнес-данные, а затем угрожают опубликовать их, если организация не заплатит."
"Этот двойной удар выкупа и вымогательства позволяет бандам вымогателей получать вдвое больше, чем они получали бы традиционно, что может оказать еще более негативное влияние на бизнес, пострадавший от вымогателей", - сказала она.
Как организации могут защитить себя от атак вымогателей? У Кинга есть эти рекомендации:
- Внедрите надежную программу управления идентификацией и доступом.
- Ограничьте права локального администратора для обычных пользователей.
- Требуется многофакторная аутентификация для всех интернет-порталов.
- Сегментируйте свою сеть, что может ограничить боковое перемещение злоумышленника.
- Имейте сильный оперативный центр безопасности, либо переданный на аутсорсинг, либо собственный, с надлежащей подготовкой, оборудованием и персоналом, чтобы вовремя заметить событие, когда произойдет неизбежное вторжение.