Ar pasiekėme išpirkos reikalaujančių programų piką? Kaip išaugo didžiausia interneto saugumo problema ir kas nutiks toliau

Ransomware tapo tokia reikšminga problema, kad dabar net pasaulinių supervalstybių lyderiai apie šias atakas diskutuoja aukšto lygio susitikimuose.

Kibernetinės atakos, kuriose nusikaltėliai šifruoja tinklus ir reikalauja mokėjimų, kuriuos gali pasiekti milijonai dolerių mainais už iššifravimo raktą – buvo vienas iš pagrindinių diskusijų punktų pirmasis susitikimas akis į akį JAV prezidento Joe Bideno ir Rusijos prezidento Vladimiro Putino.

Ransomware buvo įtrauktas į darbotvarkę po kelių didelio atgarsio sukėlusių kampanijų prieš JAV taikinius, kurios sukėlė didelių trikdžių.

Pirma, kibernetiniai nusikaltėliai naudojasi

„DarkSide“ išpirkos reikalaujanti programaįsilaužė į Colonial Pipeline tinklą, todėl paslaugos buvo nutrauktos – sutrikdomas benzino tiekimas didžiajai daliai JAV šiaurės rytų – ir privertė bendrovę sumokėti beveik 5 milijonų dolerių išpirką bitkoinais. Vos po kelių savaičių, nusikaltėliai, naudojantys REvil ransomware, nukentėjo mėsos perdirbėjui JBS, kuris sumokėjo 11 milijonų dolerių išpirką bitkoinais.

MATYTI: Tinklo saugumo politika („TechRepublic Premium“)

Manoma, kad, kaip ir daugelis išpirkos programų grupių, „DarkSide“ ir „REevil“ yra kibernetinių nusikaltėlių, dirbančių iš Rusijos, darbas. Kibernetinio saugumo tyrinėtojai sutaria, kad Kremlius užmerkia akis prieš šią veiklą. Štai kodėl prezidentas Bidenas per susitikimą su prezidentu Putinu tiesiogiai iškėlė išpirkos programinės įrangos problemą.

„Pažiūrėjau į jį ir paklausiau: „Kaip jaustumėtės, jei išpirkos reikalaujančios programos užgrobtų vamzdynus iš jūsų naftos telkinių? Jis pasakė: „Tai būtų svarbu“. Nurodžiau jam, kad turime didelių kibernetinių pajėgumų. Ir jis tai žino“, – žurnalistams sakė Bidenas.

Bidenas perspėjo Putiną po G7 viršūnių susitikimo Kornvalyje (Anglija), kuriame dalyvavo Kanados, Prancūzijos, Vokietijos, Italijos, Japonijos, Jungtinės Karalystės ir JAV lyderiai. paskelbė bendrą deklaraciją dėl išpirkos reikalaujančių programų, sutinka, kad norint kovoti su šia problema reikia tarptautinių veiksmų.

Išpirkos reikalaujančios programos buvo problema daugelį metų, tačiau atakos darosi vis labiau trikdančios ir žalingesnės aukoms, o kibernetiniai nusikaltėliai iš kampanijų uždirba vis daugiau pinigų. Prieš kelerius metus išpirkos siekė šimtus dolerių – dabar kibernetiniai turto prievartautojai reikalauja milijonų ar net dešimčių milijonų dolerių išpirkos.

Išpirkos reikalaujančios programos gali ir toliau reikalauti didelių sumų bitkoinų ir kitų kriptovaliutų, nes dėl vienokių ar kitokių priežasčių aukos moka išpirkas.

„Tai efektyvus verslo modelis, nes, žiūrint iš nusikaltėlio pusės, jis veikia, nes žmonės moka. Tada atsiranda daugiau atakų, nes tai labai sėkminga“, – sako Eleanor Fairford, Nacionalinio kibernetinio saugumo centro (NCSC) direktoriaus pavaduotoja incidentų valdymui.

MATYTI: Tinklo saugumo politika („TechRepublic Premium“)

Kibernetiniams nusikaltėliams išpirkos reikalaujančios programos yra lengviausias ir efektyviausias būdas užsidirbti pinigų iš pažeisto tinklo.

Įsibrovėlis įmonės tinkle gali praleisti mėnesius, vogdamas neskelbtiną informaciją, tada sunkiai ras būdą, kaip iš jos užsidirbti pinigų. Arba jie galėtų panaudoti tą laiką ir pastangas, kad galėtų judėti tinkle, kuris kloja pamatus išpirkos reikalaujančios programinės įrangos atakai – ir pasitraukti su milijonais dolerių.

Labiausiai organizuotos išpirkos reikalaujančios programos netgi atrinks organizacijas, kurias jie laiko potencialiomis pelningiausi arba labiausiai linkę sumokėti išpirką ir sutelkti savo pastangas į tuos, kad maksimaliai padidintų pelno.

„Jei esate vertas 40 milijonų dolerių, kad kam nors būtų padarytas kompromisas, ar jūsų saugumas yra pakankamai geras, kad neleistumėte kam nors, kuris mano, kad gali iš jūsų gauti 40 milijonų dolerių? Į šį klausimą tikrai sunku atsakyti“, – sako Johnas Hultquistas, „Mandiant Threat Intelligence“ analizės viceprezidentas.

„Išpirkų kainos smarkiai pakilo, o organizacijoms bus dar sunkiau nei bet kada anksčiau apsisaugoti nuo veikėjo, kuris gali sau leisti pažangias galimybes gauti prieigą.

Būtent dėl ​​šios situacijos įsilaužėliai taikosi į organizacijas, kurios veikia labai svarbios infrastruktūra, gamyklos ir kitos ypatingos svarbos paslaugos, kurios priklauso nuo veikimo laiko, kad išliktų veikiantis. Gali būti, kad biuro verslas nukentės nuo išpirkos reikalaujančios programos gali užtrukti tinklo atkūrimui nemokant išpirkos, net jei tai trukdo teikti paslaugas kelioms dienoms ar savaitėms.

Puolimo lengvumas

Išpirkos reikalaujančios programos yra ne tik pelninga veikla, bet ir dažnai gana paprastomis priemonėmis kibernetiniai nusikaltėliai pirmiausia gauna prieigą prie tinklų, naudojasi įprastomis kibernetinio saugumo spragomis kaip pirmasis ransomware atakos žingsnis.

„Tai nėra itin sudėtingi nulinės dienos pažeidžiamumai arba tai, kad grėsmės veikėjas parašė išnaudojimą; tai tokie dalykai kaip VPN be kelių veiksnių autentifikavimo, pvz nepataisyti Microsoft Exchange serveriai, tai tokie dalykai kaip nuotoliniai darbalaukiai prie prievado, kuris buvo viešai pasiekiamas internetui, panaudota išpirkos reikalaujančioms programoms“, – sako Sherrodas DeGrippo, vyresnysis grėsmių tyrimų ir aptikimo direktorius. Proofpoint.

Nepaisant pasikartojančių įspėjimų, organizacijos gali visiškai nežinoti, kad šios spragos egzistuoja, arba gali neturėti procedūrų, kaip pritaikyti atitinkamas saugos pataisas. uždaryti KPP ir VPN pažeidžiamumus.

O COVID-19 pandemija paaštrino problemą, nes organizacijose dirba daug daugiau darbuotojų nei anksčiau, apsunkina saugos naujinimų tvarkymą arba galimai neįprasto elgesio stebėjimą.

Išpirkos reikalaujančios programinės įrangos atakos jau yra pakankamai žalingos ir trikdančios, tačiau daugelis sėkmingiausių išpirkos reikalaujančių programų grupių pridėjo dar vieną eilutę – dvigubas turto prievartavimas.

MATYTI: Šią įmonę nukentėjo išpirkos reikalaujančios programos. Štai ką jie darė toliau ir kodėl nesumokėjo

Nusikaltėliai ne tik šifruoja duomenis ir reikalauja išpirkos mainais už iššifravimo raktą, bet ir jiems suteikta prieiga prie tinklo reiškia, kad jie gali pavogti neskelbtiną informaciją. Jie nesiekia jo parduoti konkuruojančioms įmonėms ar vyriausybėms; tiesiog grasina paskelbti, jei auka nesumokės.

Tai nėra tuščia grėsmė, nes išpirkos reikalaujančių programų gaujos naudoja tam skirtas nutekėjimo svetaines, kuriose skelbia duomenis, pavogtus iš organizacijų, kurios nemokėjo. ir tai gali išgąsdinti kai kurias aukas sumokėti išpirką, nors nėra jokios realios garantijos, kad kibernetiniai nusikaltėliai nepasinaudos šiais duomenimis. ateities.

• „Kaip žaismas išdaužtas“: ar kibernetinių nusikaltimų susidorojimas turi realų poveikį?
• „Ransomware“ ataka sustabdo „IoT“ gamintojo „Sierra Wireless“ gamybą
• Ransomware gaujos rado dar vieną naujų taikinių rinkinį: mokyklas ir universitetus

Sunkiai atsekami mokėjimai

Kai organizacijos moka išpirką, ji mokama kriptovaliuta – ir yra argumentų, kad tai padėjo kibernetiniams nusikaltėliams lengvai užsidirbti pinigų iš išpirkos reikalaujančių programų.

Nusikaltėliams svarbiausia išsigryninti pinigus, o naudojant kriptovaliutą, pvz., bitkoiną, jie gali tai padaryti greitai. būdas, kurį sunku atsekti – ir, svarbiausia, išvengiama nieko panašaus į įprastą banko sąskaitą, kurią būtų galima naudoti identifikuoti juos.

„Kalbant apie elektroninius nusikaltimus, pinigų gavimas tampa tikrai sudėtingas. Tai visada buvo tam tikra kliūtis – galite gauti milijoną kredito kortelių numerių, bet ta dalis, kur ją konvertuojate, viskas sustoja“, – sako Hultquist.

„Kriptovaliutos suteikė tam tikrą būdą tai apeiti, nes tai leidžia jiems laisvai perkelti šiuos grynuosius pinigus už įprastų sistemų ribų ir daug lengviau gauti pajamų. Tai nebūtinai skatina kriptovaliuta, tai skatina milžiniški laimėjimai. Kriptovaliuta tiesiog palengvina pinigų gavimą“, – priduria jis.

Rusiškas kampas

Ir kai išpirkos reikalaujančios programinės įrangos atakos bus finansiškai sėkmingos, jos kartosis, ypač jei kibernetiniai nusikaltėliai veikia iš šalių, kuriose jų vyriausybės užmerkia akis veikla.

Sutariama, kad daugelis žinomiausių išpirkos reikalaujančių grupuočių veikia iš Rusijos ir kad jiems leidžiama užsidirbti pinigų iš išpirkos reikalaujančių programų, jei jie sutelkia savo veiklą prieš vakarus.

„Rusijos valstybė ir Rusijos nusikalstamas pasaulis nėra tas pats, bet tarp jų yra supratimas ir supratimas, kad, kalbant apie valstybę, Rusai gali užsidirbti pinigų taip, kaip jiems tinka“, – sako Ciaranas Martinas, Oksfordo universiteto Blavatnik vyriausybės mokyklos praktikos profesorius ir buvęs šios organizacijos direktorius. NCSC.

„Bet sąlygos tokios: palik rusus ir rusų interesus ramybėje, o kai mums reikia tavo geriausių žmonių, jie turi ateiti; taip modelis veikė“.

MATYTI: „Ransomware“: įmonė sumokėjo milijonus, kad atgautų savo duomenis, bet pamiršo padaryti vieną dalyką. Taigi įsilaužėliai vėl sugrįžo

Kibernetiniai nusikaltėliai atsižvelgia į šį įspėjimą, nes daugelis užkoduoja savo išpirkos reikalaujančias programas su nurodymais nutraukti veiklą, jei nuskaitymas atskleidžia, kad tai rusų kalbos sistemoje.

Be to, Rusijos konstitucijai prieštarauja Rusijos piliečių, net ir valdžios institucijų, išdavimas Vakaruose pavyko nustatyti išpirkos reikalaujančios programos dalyvius, vargu ar jiems pavyks areštai.

Tuo tarpu išpirkos reikalaujančių programų grupei vargu ar pavyktų ilgai, jei ji dirbtų iš Vakarų valstybės, nes teisėsauga greitai imtųsi veiksmų.

„Kodėl Vakaruose nėra didelių tarptautinių išpirkos reikalaujančių sindikatų? Nes jei įsteigsite ją Londone, Oksfordšyre ar Šiaurės Airijoje, Nacionalinė nusikaltimų agentūra per savaitę išmuš duris, jūs tiesiog negalėjote to padaryti“, – sako Martinas. „Vakaruose to tikrai nepadarysi, bet Rusijoje – gali. Kodėl? Nes tai leidžiama“.

• Kasdien išsiunčiama trys milijardai sukčiavimo el. laiškų. Tačiau vienas pokytis gali gerokai apsunkinti sukčių gyvenimą
• FTB: Sukčiavimo el. laiškai platina šią sudėtingą kenkėjišką programą
• Didžiausia išpirkos reikalaujančių programų paklausa dabar siekia 30 mln. USD, nes sukčiai tampa vis drąsesni

Laikas keistis?

„Ransomware“ buvo problema daugelį metų – ypač kai ligoninės nuolat tampa atakų aukomis koronaviruso pandemijos piko metu, tačiau ataka prieš kolonijinį vamzdyną sukrėtė ypatingą akį.

Dujotiekis, kuriuo tiekiama beveik pusė benzino į šiaurės rytų JAV, buvo uždarytas ir tai buvo akivaizdu visiems: tai nebuvo Tiesiog verslas, negalintis veikti nenaudojant tam tikrų failų, tai buvo svarbi infrastruktūra, kuri buvo uždaryta dėl išpirkos reikalaujančios programos.

„Bus „prieš kolonijinį vamzdyną“ ir „po kolonijinio vamzdyno“, tai yra didelis etapas, kaip veiks grėsmės veikėjų ekonomika“, - sako DeGrippo. „Tai nebėra failų išpirka, tai jūsų egzistavimo išpirka. Išpirkti galimybę gauti dešrainių, alaus ir benzino yra visiškai kitoks žaidimas.

Jungtinės Valstijos palaiko tvirtus ryšius su nafta ir dujomis, todėl Bideno administracija negalėjo ignoruoti „Colonial Pipeline“ išpirkos reikalaujančios programinės įrangos atakos sukelto sutrikimo. prasidėjo Teisingumo departamentui konfiskavus didžiąją dalį bitkoinų, naudojamų išpirkai sumokėti.

Net „DarkSide“ operatoriai ransomware-as-a-service bandė atsiriboti nuo puolimo, teigdami, kad „mūsų tikslas yra užsidirbti pinigų, o ne kurti problemų visuomenei“. Jie netgi tvirtina, kad ateityje nustatys papildomus patikrinimus ir balansus savo „partneriams“.

Tačiau dabar „ransomware“ gaujos galėjo įkąsti daugiau, nei gali sukramtyti.

„Jie nenori tokio žinomumo, nori būti pripažinti, nori, kad žmonės mokėtų, bet aš nemano, kad jie būtinai nori, kad JAV vyriausybė sektųsi – tikriausiai jie taip pat žengė žingsnį toli. Esu tikras, kad kitos ransomware gaujos yra labai nusiminusios dėl jų“, – sako Hultquist.

Išpirkos reikalaujančios programinės įrangos grėsmė vis dar yra didelė – tai akivaizdu iš to, kaip Airijos sveikatos priežiūros tarnyba ir toliau kenčia nuo kelių savaičių dėl „Conti“ išpirkos programinės įrangos atakos, kuris įvyko praėjus kelioms dienoms po kolonijinio vamzdyno atakos, tačiau kyla jausmas, kad pastarieji įvykiai gali tapti lūžio tašku.

„Bent jau galima įtikinti, kad pastarasis mėnuo buvo strategiškai žalingas nusikaltėliams ir kad tikimasi, kad mes Galime – atkreipkite dėmesį, labai atsargi kalba – kad kada nors galėsime pažvelgti į šį laikotarpį kaip didžiausią išpirkos programą“, – sakoma. Martynas.

„Dabar tai dar nėra aišku, net mažai tikėtina, bet vyriausybės pradeda suprasti, kad tai gali padaryti realios žalos“.

Tačiau artimiausioje ateityje išpirkos reikalaujančios programos išliks veiksmingos tol, kol organizacijos bus pažeidžiamos įsilaužė kibernetinių nusikaltėlių, kaip rodo, kaip atakos ir toliau kėlė trikdžių aplink pasaulis.

Tačiau galima sukurti atsparumą kibernetinėms atakoms, įskaitant išpirkos reikalaujančią programinę įrangą, ir padaryti, kad kibernetiniams nusikaltėliams būtų daug sunkiau pažeisti tinklą.

MATYTI: Laimėjusi kibernetinio saugumo strategija (ZDNet specialioji ataskaita) | Atsisiųskite ataskaitą PDF formatu (TechRespublika)

Didelė dalis šio atsparumo gali būti padidinta užtikrinant, kad kibernetinio saugumo higienos procedūros, pvz. laiku įdiegti saugos pataisas, neleidžiant naudoti paprastų slaptažodžių ir naudojant kelių veiksnių autentifikavimą, taikomi visame tinkle. Kadangi išpirkos reikalaujančios programos yra oportunistai, tai apsunkindama joms reikalus sumažina sėkmingos atakos tikimybę.

„Naudingi dalykai: matomumas tinkle, kad būtų galima pamatyti pirmtakų veiklą vyksta, suprasdami, kur yra jūsų ištekliai ir tinklas, ir tinkamai susietą su juo Supratau. Šie standartiniai geri procesai apsisaugos nuo išpirkos reikalaujančių programų“, – sako Fairfordas.

Reguliarus atsarginių kopijų atnaujinimas – ir jų saugojimas neprisijungus – taip pat yra dar viena priemonė sumažinti išpirkos reikalaujančių programų atakų sunkumą, nes net ir tuo atveju Kai tinklas yra užšifruotas, jį galima atkurti nemokant kibernetiniams nusikaltėliams, o tai nutraukia jų pagrindines pajamos.

Nepaisant to, dvigubų turto prievartavimo išpuolių dažnis padidino šios problemos sudėtingumą, nes jei organizacija nemoka išpirkos, jie susiduria su potencialiai neskelbtinos informacijos apie darbuotojus ir klientus perspektyva. nutekėjo.

„Ar turite planą, jei jūsų informacija pradėtų nutekėti?“, - sako Hultquist. „Tos detalės turi būti vietoje dabar, o ne tada, kai atsitrenkia į ventiliatorių“

Tai, kad JAV ir kitos vyriausybės kalba apie išpirkos reikalaujančias programas, taip pat turėtų veikti kaip katalizatorius bet kuriai organizacijai – kad kad ir kokia būtų priežastis, neturėjo jokių konkrečių planų, kaip užkirsti kelią išpirkos programinės įrangos atakai arba apsisaugoti nuo jos – nuspręsti dėl savo planų dabar.

Nes net ir blogiausiu atveju, kai tinklas buvo užšifruotas naudojant išpirkos reikalaujančią programinę įrangą, nustatytas planas gali padėti valdyti incidentą ir padaryti jį mažiau žalos.

„Įmonės turi susėsti su savo vadovais ir nuspręsti: „Jei esame išpirkos reikalaujančios programinės įrangos auka, kiek esame pasirengę mokėti, kas valdyboje bus įgaliotas dėl to derėtis ir kokie mūsų santykiai su teisėsauga atsitinka?'. Tada kiekvieną ketvirtį peržiūrite jį iš naujo ir klausiate: „Ar tai vis dar mūsų sprendimas, jei mus užklumpa išpirkos reikalaujančios programos, ar tai vis dar mūsų veiksmų planas?“ – sako DeGrippo.

„Jei dar nepriėmėte sprendimo, kaip su tuo susitvarkysite, tai jums nebus naudinga“, – priduria ji.

DAUGIAU APIE KIBERTINES SAUGUMAS

• „Ransomware“ auga nerimą keliančiu greičiu, perspėja GCHQ vadovas
• Baltieji rūmai ragina JAV įmones rimtai žiūrėti į išpirkos reikalaujančias programas
• „Ransomware“ dabar kelia pavojų nacionaliniam saugumui. Ši grupė mano, kad žino, kaip ją nugalėti
• Nauja DOJ darbo grupė, kuri imsis išpirkos reikalaujančių programų, sakoma pranešime
• Išpirkos reikalaujančios programos: staigus išpuolių padidėjimas daro didelę žalą