Тенденция в рансъмуера: „лов на едър дивеч”

Успешните кибератаки алармират за слабост на критичната инфраструктура
(снимка: CC0 Public Domain)

Въпреки усилията на правоприлагащите органи течовете на данни, свързани с рансъмуер, се покачиха с 82 процента през 2021 г. спрямо предходната година, според доклад за глобалните киберзаплахи на CrowdStrike за 2022 г. В него са идентифицирани 2686 атаки за 2021 година в сравнение с 1474 през предходната година.

В доклада се отбелязва, че очевидна тенденция в този пейзаж е нарастването на т.нар. „лов на едър дивеч” (ЛЕД) – широкомащабни атаки с висока видимост, които „разкъсват индустриите, опустошават и алармират за слабостта на критичната инфраструктура”.

„Растежът и въздействието на ЛЕД през 2021 г. бяха осезаема сила, усетена във всички сектори и в почти всеки регион на света”, се посочва в доклада, данни от който публикува TechNewsWorld. „Въпреки че някои рансъмуер групи прекратиха дейността си през 2021 г., общият брой на работещите рансъмуер фамилии се увеличи”.

Един от недостатъците на криминалните герои, ангажирани с ЛЕД, е вниманието, което атаките им привличат към извършителите. Повишено внимание от страна на медиите и правоприлагащите органи след инцидентите с Colonial Pipeline и JBS Foods доведе до намаляване на течовете на данни.

„Въпреки това една ключова тема, подчертана през 2021 г., е че нападателите ще продължат да действат и ще мигрират дейностите си към нови подходи или злонамерен софтуер, където е възможно, демонстрирайки, че адаптивният противник си остава ключовата заплаха в пейзажа на електронната престъпност”, се казва в доклада.

„Живот извън земята”

Много от нападателите са преминали отвъд използването на злонамерен софтуер, за да постигнат своите цели. Те все повече се опитват да действат, без да пишат злонамерен софтуер, адресиран към крайната мишена. Вместо това използват легитимни идентификационни данни и вградени инструменти – подход, известен като „живеене извън земята” – в умишлен опит да избегнат вероятността да бъдат открити от антивирусните продукти.

От всички регистрирани случаи, индексирани от CrowdStrike Security Cloud през четвъртото тримесечие на 2021 г., 62% са били изцяло без злонамерен софтуер. Нападателите все по-често „живеят извън земята”, казва Дейвис Маккарти, главен изследовател по сигурността във Valtix, доставчик на облачни услуги за мрежова сигурност.

„Те изпълняват често практикувани команди, с каквито си служи системният администратор, и след това инсталират ръчно софтуера за откуп”, твърди Маккарти. „Злонамереният софтуер все още се използва в кампаниите, но методът на доставка е по-креативен”.

Такъв е случаят със SolarWinds, според специалиста. При тази атака злонамерен софтуер беше инжектиран в софтуерен ъпгрейд, който после беше разпространен от компанията до нейните клиенти.

Избягване на „червените флагчета”

Въпреки че злонамереният софтуер може да е част от атаките, нападателите все по-рядко разчитат на него за първоначален достъп, казва Ханк Шлес, старши мениджър за решения за сигурност в Lookout, доставчик на сигурност за крайни точки. Атакуващите са се насочили към алтернативи: или компрометиране на идентификационни данни, или намиране на уязвими приложения и сървъри като входна точка.

„Достъпът чрез легитимни идентификационни данни позволява на нападателя да влезе в инфраструктурата на организацията под прикритие – той изглежда като легален потребител – което намалява вероятността от появата на червени флагчета”, обяснява Шлес.

„А идентификационните данни често се крадат чрез фишинг-кампании, насочени към потребители на мобилни устройства. При смартфоните и таблетите нападателите имат безброй начини за социално инженерство – чрез SMS, чат платформи на трети страни или приложения за социални медии”, допълва специалистът.

Инициирането на достъп чрез уязвими приложения и сървъри е друг начин нападателите да могат тихо да влязат в инфраструктурата през „широко отворена врата”. „Рискът това да се случи е еднакъв при облачната инфраструктура, SaaS приложенията, частните приложения и уеб-сървърите”, казва специалистът.

„При такава сложна екосистема от хибридни ресурси може да бъде невероятно трудно за ИТ екипите и екипите по сигурността да имат видимост за това къде има уязвимости в инфраструктурата”, обобщава Шлес.

Заключваш и източваш

Въпреки че използването на злонамерен софтуер може да намалява като цяло, има някои ниши, в които се увеличава, твърди Крис Хаук, експерт по поверителността на потребителите в Pixel Privacy, издател на ръководства за сигурност и поверителност.

„Последните данни сочат, че атаките чрез злонамерен софтуер се увеличават по обем и по сложност в някои случаи, особено срещу Linux сървъри и облачна инфраструктура, тъй като много пъти те са лошо управлявани и неправилно конфигурирани”, разказва Хаук.

Все по-често се среща и комбинацията от рансъмуер и „теч” на данни. При тях нападателят не само криптира данните на жертвата, за да изкопчи откуп, но също така краде данните, за да ги продаде след това в „тъмните мрежи” или да изнудва жертвата за по-голяма сума. Методът „заключваш и източваш” набира все по-голяма популярност в рансъмуер общността.

„Операторите променят тактиката си в отговор на това, че предприятието може да разполага с адекватни резервни копия”, казва Маккарти. „Изтичането на данни може да бъде също толкова вредно за организацията, колкото и загубата им”.

Подобни операции изглежда набират популярност сред изнудвачите, защото могат да се облажат двойно. „Те могат да поискат откуп за отключване на данните, след което да поискат допълнително заплащане за предотвратяване на изтичането на данни” , отбелязва Хаук.

Ако потърпевшата компания откаже да плати втория откуп, нападателите пак могат да се облажат двойно, защото ще продадат откраднатата информация на други злодеи.

SaaS на прицел

В обозримо бъдеще облачните приложения ще започнат да привличат все повече рансъмуер атаки, твърди Адам Гавиш, съосновател и главен изпълнителен директор на DoControl, доставчик на мониторинг на достъпа до данни, оркестрация и отстраняване на SaaS приложения.

„С нарастването на облака нападателите поставиха SaaS приложенията в центъра на вниманието си. Възползването от множеството уязвимости, които съществуват при SaaS приложенията, е следващата фаза на усъвършенстваните рансъмуер атаки”, пояснява Гавиш.

Коментар