Cyberbezpieczeństwo 
Zabezpieczenie kont uprzywilejowanych za pomocą kluczy FIDO2 to najlepszy sposób ochrony przed zagrożeniami wewnętrznymi i zewnętrznymi ze względu na większe bezpieczeństwo oraz wygodę użytkowania w porównaniu z tradycyj...
Publikowany w dniu 13 grudnia, 2023
Oprogramowanie wymuszające okup jako usługa (RaaS) to model biznesowy, w którym cyberprzestępcy opracowują i sprzedają oprogramowanie wymuszające okup nabywcom znanym jako podmioty stowarzyszone, które wykorzystują je do przeprowadzania ataków. Oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania, które uniemożliwia użytkownikom dostęp do danych lub urządzeń, szyfrując je i blokując użytkowników do momentu zapłacenia okupu.
Zazwyczaj cyberprzestępcy muszą znać się na kodowaniu, aby opracowywać i przeprowadzać ataki z użyciem oprogramowania wymuszającego okup. RaaS obniża jednak barierę tego wymogu i umożliwia każdemu, kto nie ma umiejętności kodowania, zakup gotowego oprogramowania wymuszającego okup i przeprowadzenie ataków z jego użyciem. RaaS zwiększył liczbę ataków z użyciem oprogramowania wymuszającego okup na organizacje.
Czytaj dalej, aby dowiedzieć się więcej o oprogramowaniu wymuszającym okup jako usłudze, jego działaniu, wariantach pakietów oprogramowania wymuszającego okup i jak ograniczać ataki z użyciem oprogramowania wymuszającego okup jako usługi.
Jak działa oprogramowanie wymuszające okup jako usługa?
RaaS jako model biznesowy działa podobnie do oprogramowania jako usługi (SaaS), w którym można uzyskać dostęp do oprogramowania w Internecie za pośrednictwem usługi opartej na subskrypcji.
Operatorzy RaaS wykorzystują następujące modele przychodów do sprzedaży oprogramowania wymuszającego okup:
- Subskrypcja: podmioty stowarzyszone płacą miesięczną opłatę za dostęp do oprogramowania wymuszającego okup i wszelkich świadczonych usług.
- Podmioty stowarzyszone: podmioty stowarzyszone płacą miesięczną opłatę za dostęp do oprogramowania wymuszającego okup, ale także dzielą się niewielkim procentem zysku po udanym ataku.
- Dożywotnia licencja: podmioty stowarzyszone płacą jednorazową opłatę za zakup pakietu oprogramowania wymuszającego okup.
- Partnerstwo: operatorzy nie pobierają opłat od podmiotów stowarzyszonych za korzystanie z oprogramowania wymuszającego okup i usług, ale pobierają duży procent zysków po udanym ataku.
Po ustaleniu modelu przychodów operatorzy oprogramowania wymuszającego okup opracowują różne warianty oprogramowania wymuszającego okup. Następnie operatorzy sprzedają oprogramowanie wymuszające okup podmiotom stowarzyszonym zainteresowanym wdrażaniem ataków z użyciem oprogramowania wymuszającego okup, a podmioty stowarzyszone rozpoczynają kampanie phishingowe i socjotechniczne w celu rozprzestrzeniania oprogramowania wymuszającego okup. Gdy organizacja padnie ofiarą ataku socjotechnicznego, oprogramowanie wymuszające okup jest instalowane w systemie organizacji i szyfruje poufne dane w celu uzyskania okupu. Po zapłaceniu okupu podmioty stowarzyszone mogą albo zwrócić dane organizacji, sprzedać dane w dark webie, albo ponownie zaatakować organizację.
Operatorzy RaaS mogą również oferować dodatkowe usługi podmiotom stowarzyszonym, inne niż tylko oprogramowanie wymuszające okup. Niektórzy oferują obsługę oprogramowania, aby pomóc podmiotom stowarzyszonym z wszelkimi problemami technicznymi. Operatorzy mogą pomóc podmiotom stowarzyszonym w przeprowadzeniu ataków z użyciem oprogramowania wymuszającego okup. Inni mogą oferować zaszyfrowane pliki danych poprzednich ofiar i sprzedawać klucz odszyfrowywania podmiotom stowarzyszonym.
Przykłady oprogramowania wymuszającego okup jako pakietów usług
Istnieje wiele różnych rodzajów pakietów oprogramowania wymuszającego okup, które grupy RaaS sprzedają podmiotom stowarzyszonym. Oto kilka przykładów pakietów oprogramowania wymuszającego okup używanych do ataku na organizacje.
BlackCat
BlackCat jest jedną z najbardziej wyrafinowanych odmian oprogramowania wymuszającego okup, ponieważ wykorzystuje język programowania Rust, który umożliwia wysokowydajne oprogramowanie wymuszające okup i dużą pamięć masową. Jest wysoce konfigurowalne i łatwe do dostosowania do każdego cyberprzestępcy.
Conti
Conti to odmiana oprogramowania wymuszającego okup opracowana przez osławioną grupę RaaS znaną pod tą samą nazwą. Jest znane z popularyzacji metody podwójnego wymuszenia ataku, która zarówno kradnie, jak i szyfruje poufne dane organizacji, a nie tylko je szyfruje. Oprogramowanie wymuszające okup wysyła następnie ofierze notatkę grożącą wyciekiem danych do publicznej wiadomości, chyba że zapłaci okup.
Darkside
Wraz z Conti, Darkside jest jednym z najbardziej niesławnych operatorów RaaS i jest odpowiedzialny za oferowanie wielu wariantów oprogramowania wymuszającego okup. Grupa RaaS opracowała własne oprogramowanie wymuszające okup znane jako Darkside, które było odpowiedzialne za atak Colonial Pipeline, atak z użyciem oprogramowania wymuszającego okup, który ukradł miliony z amerykańskich firm rurociągów naftowych.
Dharma
Po raz pierwszy pojawiająca się w 2016 r. Dharma ewoluowała z oprogramowania wymuszającego okup CrySis i rozprzestrzeniła wiele różnych wariantów. Dharma skanuje w poszukiwaniu komputerów z protokołem RDP i wykorzystuje luki w zabezpieczeniach RDP do zainstalowania oprogramowania wymuszającego okup na urządzeniach.
Lockbit
Lockbit, wprowadzony w 2019 r., twierdzi, że jest jedną z najszybszych odmian oprogramowania wymuszającego okup ze względu na szybkie szyfrowanie i samoreplikację, utrudniając organizacjom wykrycie i usunięcie go przed utratą danych.
REvil
REvil to rodzaj oprogramowania wymuszającego okup, które wykorzystuje sieci VPN za pomocą nieaktualnego oprogramowania i RDP z lukami w zabezpieczeniach. Jest zgodny z metodą ataku Conti i wykorzystuje podwójne wymuszenie do grożenia ofiarom, aby uzyskać więcej pieniędzy.
Ryuk
Ryuk to popularny wariant oprogramowania wymuszającego okup, które atakuje organizacje w sektorze rządowym, naukowym, produkcyjnym, technologicznym i opieki zdrowotnej. Jest rozprzestrzeniany za pośrednictwem złośliwego oprogramowania trojańskiego, ataków phishingowych i zestawów exploitów. Ryuk wyłącza wszelkie kopie zapasowe danych znalezione w naruszonym urządzeniu, uniemożliwiając odzyskanie bez zewnętrznych kopii zapasowych.
Jak zapobiegać atakom oprogramowania wymuszającego okup?
Ponieważ coraz więcej cyberprzestępców wykorzystuje RaaS do przeprowadzania ataków z użyciem oprogramowania wymuszającego okup, organizacje są narażone na ryzyko utraty dostępu do danych i ujawnienia ich w dark webie. Po atakach z użyciem oprogramowania wymuszającego okup trudno jest odzyskać dane, dlatego należy im zapobiegać, aby nie zrujnowały organizacji. Można ograniczyć ataki RaaS, wykonując następujące czynności.
Aktualizuj na bieżąco systemy organizacji
Wiele ataków z użyciem oprogramowania wymuszającego okup próbuje wykorzystać luki w zabezpieczeniach znalezione w oprogramowaniu i urządzeniach organizacji. Należy na bieżąco aktualizować oprogramowanie organizacji, aby zapobiegać atakom z użyciem oprogramowania wymuszającego okup wykorzystującym wszelkie luki w zabezpieczeniach. Aktualizacje oprogramowania usuwają luki w zabezpieczeniach i dodają nowe funkcje bezpieczeństwa, które zapewniają organizacji lepszą ochronę. Aktualizowanie oprogramowania na bieżąco chroni organizację przed nowo opracowanymi wariantami oprogramowania wymuszającego okup.
Regularnie twórz kopie zapasowe danych
W przypadku utraty dostępu do danych w wyniku ataku z użyciem oprogramowania wymuszającego okup lub innych niefortunnych okoliczności, możesz przywrócić dane i uzyskać do nich dostęp z kopii zapasowej. Należy regularnie tworzyć kopie zapasowe danych na zewnętrznych dyskach twardych lub pamięci masowej opartej na chmurze, aby zawsze mieć dostęp do danych i upewnić się, że niczego nie stracisz.
Wprowadź dostęp z minimalnymi uprawnieniami
Organizacja powinna wdrożyć dostęp na zasadzie niezbędnych minimalnych uprawnień, aby zapobiec dostępowi do danych poufnych i ich szyfrowaniu przez cyberprzestępców. Zasada minimalnych uprawnień to koncepcja cyberbezpieczeństwa, która zapewnia użytkownikom wystarczający dostęp do sieci systemów i danych do wykonywania ich pracy. Ogranicza to dostęp użytkowników do sieci organizacji. Przy dostępie na zasadzie minimalnych uprawnień cyberprzestępcy mają mniej potencjalnych dróg naruszenia systemów i nie mogą poruszać się po całej sieci.
Przestrzegaj modelu zabezpieczeń zero-trust
Zero-trust to struktura bezpieczeństwa, która zakłada, że każdy użytkownik jest naruszony i wymaga weryfikacji, aby uzyskać dostęp do systemów i danych. Zamiast przyznawać wszystkim domyślny dostęp, wymaga od każdego użytkownika weryfikacji tożsamości i dostępu do sieci, systemów, aplikacji i danych. Podejście zero-trust pomaga zmniejszyć powierzchnię ataku organizacji. Powierzchnia ataku odnosi się do wszystkich możliwych punktów wejścia, w których cyberprzestępca może uzyskać dostęp do systemu i ukraść dane.
Edukuj pracowników na temat najlepszych praktyk w zakresie cyberbezpieczeństwa
Należy edukować pracowników na temat najlepszych praktyk w zakresie cyberbezpieczeństwa. Pracownicy powinni używać silnych i niepowtarzalnych haseł do ochrony kont i utrudniania cyberprzestępcom uzyskania nieautoryzowanego dostępu. Powinni również włączyć uwierzytelnianie wieloskładnikowe (MFA), aby lepiej chronić konta przed nieautoryzowanym dostępem. MFA to środek bezpieczeństwa, który oprócz nazwy użytkownika i hasła wymaga dodatkowego kroku uwierzytelniania.
Pracownicy muszą być w stanie rozpoznawać i unikać ataków socjotechnicznych, takich jak phishing (wyłudzanie informacji). Podmioty stowarzyszone RaaS wykorzystują kampanie inżynierii społecznej do instalowania oprogramowania wymuszającego okup w systemach organizacji. Pracownicy powinni unikać wszelkich niechcianych wiadomości z podejrzanymi załącznikami lub linkami, aby zapobiec instalowaniu oprogramowania wymuszającego okup na urządzeniach.
Zainwestuj w rozwiązania z zakresu cyberbezpieczeństwa
Organizacja powinna zainwestować w rozwiązania w zakresie cyberbezpieczeństwa, aby chronić się przed cyberprzestępcami i pomóc w zarządzaniu bezpieczeństwem organizacji. Przykłady tych rozwiązań obejmują oprogramowanie antywirusowe, rozwiązanie do zarządzania uprzywilejowanym dostępem (PAM) i menedżer haseł firmowych.
- Oprogramowanie antywirusowe: program, który monitoruje, wykrywa, zapobiega i usuwa znane złośliwe oprogramowanie przed zainfekowaniem urządzenia. Aby chronić organizację przed atakami z użyciem oprogramowania wymuszającego okup, należy korzystać z silnego i zaktualizowanego oprogramowania antywirusowego.
- Rozwiązanie PAM: platforma, która pomaga zarządzać kontami i zabezpieczyć je z dostępem do wysoce poufnych danych i informacji. Kontroluje dostęp do sieci organizacji, aplikacji, serwerów i urządzeń. Rozwiązanie PAM pomaga zapobiegać niewłaściwemu użyciu lub naruszeniu kont uprzywilejowanych.
- Menedżer haseł firmowych: narzędzie, które bezpiecznie przechowuje dane uwierzytelniające logowania pracownika i zarządza nimi w zaszyfrowanym magazynie. Menedżer haseł firmowych umożliwia administratorom IT pełny wgląd i kontrolę nad praktykami pracowników w zakresie haseł, zapewniając pracownikom ochronę kont za pomocą silnych haseł i MFA.
Chroń organizację przed atakami z użyciem oprogramowania wymuszającego okup jako usługi
Ataki RaaS są skierowane na organizacje ze wszystkich branż, aby szyfrować i wykraść poufne informacje. Należy chronić organizację przed atakami RaaS, wdrażając dostęp do minimalnych uprawnień i zasady dostępu zero trust. Najlepszym sposobem na wdrożenie tych ram bezpieczeństwa jest rozwiązanie PAM.
KeeperPAM™ to rozwiązanie do zarządzania uprzywilejowanym dostępem typu zero-trust i zero-knowledge, które zapewnia organizacjom pełny wgląd i kontrolę nad kontami uprzywilejowanymi w całej organizacji. KeeperPAM obejmuje Keeper® Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) i Keeper Connection Manager® (KCM), aby chronić organizację przed atakami z użyciem oprogramowania wymuszającego okup.
Poproś o demo KeeperPAM w celu zapobiegania atakom RaaS i ochrony poufnych danych organizacji.
