Программы-вымогатели становятся все быстрее при шифровании сетей
Киберпреступные группы, стоящие за некоторыми из самых известных и разрушительных атак с использованием программ-вымогателей, используют те же тактики и методы, что и хакерские операции, поддерживаемые государством, и они будут более изощренными.
Киберпреступные группы, стоящие за некоторыми из самых известных и разрушительных атак с использованием программ-вымогателей, используют те же тактики и методы, что и хакерские операции, поддерживаемые государством, и они будут более изощренными, что увеличит их прибудь в несколько раз.
В прошлом году программы-вымогатели продолжали развиваться, и некоторые бригады вымогателей уходили с миллионами долларов после каждой успешной атаки.
Одна из основных причин того, что программы-вымогатели стали такой распространенной кибератакой, заключается в том, что это самый простой способ для злоумышленников заработать деньги на взломанной сети.
Раньше киберпреступники могли сосредоточиться на краже информации, которая может быть использована или продана, но, шифруя сеть, они могут заработать большую сумму денег, требуя выкуп за меньшее количество времени, чем это потребовалось бы для использования украденных учетных данных или финансовой информации.
И теперь навыки банд вымогателей догоняют группы Advanced Persistent Threat (APT), связанные с национальными государствами. Злоумышленники-вымогатели по сути всего на пару лет отстают от того, что мы видели в командах ATP. Это все еще растущая проблема и она не исчезнет.
Исследователи представили анализ того, как программы-вымогатели, и стоящие за ними киберпреступные банды эволюционировали и созрели в последнее время во время презентации на Black Hat Europe 2020, демонстрируя, как киберпреступные группы, управляющие этими кампаниями, все чаще проводят полномасштабные сетевые вторжения, подобные тем, которые наблюдаются при атаках на государства.
Группы вымогателей, такие как DoppelPaymer и REvil, были очень плодовиты в этом году, шифруя сети и зарабатывая миллионы. Одной из причин успеха этих кампаний является их высокая целенаправленность.
Хакеры выявляют уязвимости в сетях, а затем месяцами закладывают фундамент для взлома систем с помощью программ-вымогателей, прежде чем, наконец, развернуть атаку и зашифровать сеть.
Это похоже на то, как APT-группы скрываются в течение месяцев или даже лет, не будучи обнаруженными, хотя их цель — наблюдение или кража конфиденциальных данных, а не зарабатывание денег с помощью программ-вымогателей.
Если мы оглянемся на более старые случаи использования программ-вымогателей, то увидим, что они были в значительной степени оппортунистическими. Злоумышленники попадали в корпоративную среду и продвигались в небольшую группу широкой организации. Переход от оппортунистических преступлений к кампаниям, подобным APT, — это просто осознание того, что это более выгодно полностью накрыть организацию программами-вымогателями.
Но на этом эволюция программ-вымогателей не заканчивается; существует риск того, что по мере того, как эти группы приобретут больше опыта успешных атак, время между первоначальным взломом и попыткой полного шифрования сети станет намного короче, а это означает, что у компаний будет еще меньше времени для потенциального обнаружения подозрительной активности, прежде чем станет слишком поздно.
Мы наблюдаем разрыв между первоначальным взломом и событием выкупа в течение нескольких месяцев — именно в этот период до выкупа организации могут внедрять изменения, чтобы иметь возможность их обнаружить.
Но по мере того, как они будут становиться все более изощренными, мы увидим, что это окно уменьшается от месяцев до недель и от недель до дней. Если организации не могут поймать их, когда у них есть месяцы, нет никакой надежды, когда у них станут более короткие периоды времени.
Однако одна из основных причин, по которым киберпреступники продолжают успешно использовать программы-вымогатели, заключается в том, что они используют уязвимости, от которых легко защититься, но организации не смогли этого сделать.
Применение исправлений безопасности, которые устраняют уязвимости безопасности вскоре после их выпуска, предотвращает возможность киберпреступников использовать проблемы, которые были исправлены, а применение двухфакторной аутентификации и предотвращение использования паролей по умолчанию в сети также может иметь большое значение для защита от программ-вымогателей и других атак.
Не то чтобы эти ситуации нельзя было предотвратить. Это действительно подчеркивает, что надежная программа управления исправлениями позволила бы решить проблему выявления уязвимостей, которые стали началом всего взлома.