Кибербезопасность 
Ключи безопасности FIDO2 — лучший способ защитить привилегированные учетные записи от внутренних и внешних угроз: они обеспечивают повышенную безопасность и удобство по сравнению с традиционными способами аутентификации....
опубликованный , дата публикации: 13 декабря, 2023
Программы-вымогатели как услуга (RaaS) — это бизнес-модель, когда злоумышленники разрабатывают и продают программы-вымогатели покупателям, известным как партнеры, которые применяют их для совершения атак с использованием программ-вымогателей. Программы-вымогатели — это тип вредоносного ПО, которое не позволяет пользователям получить доступ к своим данным или устройствам, шифруя их и блокируя до тех пор, пока не будет выплачен выкуп.
Как правило, для разработки программ-вымогателей и осуществления атак с их помощью злоумышленники должны обладать некоторыми навыками программирования. Однако RaaS устраняет в этом необходимость. Она позволяет любому, у кого нет подобных навыков, купить готовые программы-вымогатели и совершать атаки с их помощью. Модель RaaS увеличила число атак на организации с использованием программ-вымогателей.
Читайте дальше, чтобы узнать больше о модели «Программы-вымогатели как услуга», о том, как она устроена, о разновидностях пакетов программ-вымогателей и о смягчении последствий атак с их использованием.
Как устроена модель «Программы-вымогатели как услуга»?
Бизнес-модель RaaS схожа с моделью «Программное обеспечение как услуга» (SaaS), когда доступ к программному обеспечению возможен по Интернету при оформлении подписки.
Операторы RaaS используют следующие схемы получения прибыли при продаже программ-вымогателей:
- Подписка. Партнеры вносят ежемесячную плату за доступ к программам-вымогателям и любым предоставляемым услугам.
- Аффилирование. Партнеры вносят ежемесячную плату за доступ к программам-вымогателям, но при этом получают небольшой процент от прибыли после успешной атаки.
- Пожизненная лицензия. Партнеры платят единовременную плату за покупку пакета программ-вымогателей.
- Партнерство. Операторы не взимают с партнеров плату за использование их программ-вымогателей и услуг, но получают большой процент дохода после успешной атаки.
После того как операторы программ-вымогателей определились с моделью получения прибыли, они разрабатывают различные варианты программ-вымогателей. Затем операторы продают их партнерам, заинтересованным в проведении атак с их помощью. Партнеры, в свою очередь, запускают фишинговые и социотехнические кампании для распространения программ-вымогателей. Когда организации становятся жертвами социотехнических атак, на их системы устанавливаются программы-вымогатели, шифрующие конфиденциальные данные с целью получения выкупа. После уплаты выкупа партнеры могут либо вернуть данные организациям, либо продать их в даркнете, либо снова атаковать их.
Помимо программ-вымогателей, операторы RaaS также могут предлагать партнерам дополнительные услуги. Некоторые предлагают поддержку программного обеспечения, чтобы помочь партнерам в решении любых технических проблем. Операторы могут помогать партнерам в проведении атак с использованием программ-вымогателей. Кроме того, они могут предлагать зашифрованные файлы данных предыдущих жертв и продавать ключ к расшифровке партнерам.
Примеры пакетов «Программы-вымогатели как услуга»
Существует множество типов пакетов программ-вымогателей, которые группы RaaS продают партнерам. Вот несколько примеров пакетов программ-вымогателей, используемых для атаки организаций.
BlackCat
BlackCat — один из самых сложных типов программ-вымогателей. Он использует язык программирования Rust, позволяющий создавать высокопроизводительные программы-вымогатели и поддерживать большой объем памяти. Его легко настроить и персонализировать под каждого злоумышленника.
Conti
Conti — это тип программ-вымогателей, разработанный печально известной одноименной группой RaaS. Он известен тем, что популяризировал метод атаки с двойным вымогательством, который не только шифрует конфиденциальные данные организаций, но еще и крадет их. Затем программы-вымогатели отправляют жертве сообщение с угрозой публикации данных в открытом доступе, если она не заплатит выкуп.
Darkside
Наряду с Conti, Darkside — один из самых печально известных операторов RaaS, ответственный за предложение нескольких вариантов программ-вымогателей. Эта группа RaaS разработала собственную программу-вымогатель, известную как Darkside. Она использовалась при атаке Colonial Pipeline, в результате которой эта американская нефтедобывающая компания потеряла миллионы долларов.
Dharma
Впервые появившись в 2016 году, Dharma прошла путь от программы-вымогателя CrySis до множества различных вариантов. Dharma сканирует компьютеры с протоколом Remote Desktop Protocol (RDP) и использует уязвимости RDP для установки программ-вымогателей на устройства.
Lockbit
Появившись в 2019 году, Lockbit претендует на звание одного из самых быстрых типов программ-вымогателей из-за мгновенного шифрования и самовоспроизведения, из-за чего организациям сложно обнаружить и устранить его до потери данных.
REvil
REvil — это тип программ-вымогателей, которые используют VPN с устаревшим программным обеспечением и RDP с уязвимостями в системе безопасности. Он следует методу атаки Conti и использует двойное вымогательство, чтобы угрожать жертвам и требовать больше денег.
Ryuk
Ryuk — популярная версия программ-вымогателей, предназначенная для атаки правительственных, научных, производственных, технологических и медицинских учреждений. Ryuk распространяется с помощью вредоносных троянов, фишинговых атак и наборов эксплойтов. Ryuk отключает все резервные копии данных на скомпрометированном устройстве, делая невозможным их восстановление без внешних резервных копий.
Как предотвратить атаки с использованием программ-вымогателей?
Поскольку модель RaaS становится все популярнее среди злоумышленников для атак с использованием программ-вымогателей, организации рискуют потерять доступ к своим данным, которые могут быть раскрыты в даркнете. От таких атак трудно оправиться, поэтому их нужно предотвращать, чтобы они не навредили вашей организации. Сделать это можно следующим образом.
Обновляйте системы организации
Многие атаки с помощью программ-вымогателей пытаются использовать уязвимости в программном обеспечении и устройствах вашей организации. Чтобы предотвратить это, необходимо обновлять программное обеспечение организации. Обновления программного обеспечения устраняют известные недостатки в системе безопасности и добавляют новые функции, которые лучше защищают вашу организацию. Оперативное обновление программного обеспечения защищает вашу организацию от новых разновидностей программ-вымогателей.
Регулярно проводите резервное копирование данных
Если вы потеряете доступ к своим данным в результате атаки с использованием программ-вымогателей или других неприятных обстоятельств, вы сможете восстановить их и получить доступ к ним из резервной копии. Чтобы всегда иметь доступ к данным и ничего не потерять, регулярно создавайте резервные копии данных на внешних жестких дисках или в облачном хранилище.
Реализуйте доступ с наименьшими привилегиями
Чтобы предотвратить доступ злоумышленников к конфиденциальным данным и их шифрование, вашей организации нужно реализовать доступ с наименьшими привилегиями. Принцип наименьших привилегий — это концепция кибербезопасности. Он основан на том, пользователям предоставляется такой сетевой доступ к системам и данным, который необходим только для выполнения работы. Он ограничивает доступ пользователей к сети организации. Благодаря доступу с наименьшими привилегиями у злоумышленников будет меньше потенциальных путей взлома ваших систем, и они не смогут перемещаться по сети.
Внедрите модель безопасности с нулевым доверием
Нулевое доверие — это структура безопасности, которая предполагает, что каждый пользователь скомпрометирован и нуждается в проверке для предоставления доступа к системам и данным. Вместо того чтобы предоставлять неявный доступ, модель нулевого доверия требует от всех пользователей подтверждения личности и прав доступа. Только после этого они могут воспользоваться сетями, системами, приложениями и данными организации. Внедрение такой модели помогает уменьшить поверхность атаки. Под поверхностью атаки понимают все возможные точки входа, с помощью которых злоумышленники могут получить доступ к системам и украсть данные.
Ознакомьте сотрудников с рекомендациями по кибербезопасности
Вам необходимо рассказать сотрудникам о рекомендациях по кибербезопасности. Чтобы защитить учетные записи и затруднить злоумышленникам несанкционированный доступ, ваши сотрудники должны использовать надежные и уникальные пароли. Кроме того, для дополнительной защиты им следует включить многофакторную аутентификацию. Многофакторная аутентификация — это мера безопасности, которая требует дополнительного шага аутентификации в дополнение к имени пользователя и паролю.
Ваши сотрудники должны уметь распознавать социотехнические атаки, такие как фишинг, и избегать их. Партнеры RaaS используют социотехнические кампании для установки программ-вымогателей на системы организации. Чтобы предотвратить установку программ-вымогателей на устройства, ваши сотрудники должны избегать нежелательных сообщений с подозрительными вложениями или ссылками.
Приобретите решение для кибербезопасности
Ваша организация должна приобрести решения для кибербезопасности, которые защитят ее от злоумышленников и помогут вам управлять ее безопасностью. Примерами таких решений являются антивирусное программное обеспечение, решение для управления привилегированным доступом (PAM) и менеджер паролей для бизнеса.
- Антивирусное программное обеспечение. Программа, которая отслеживает, обнаруживает и удаляет известное вредоносное ПО, способное заразить ваше устройство, а также предотвращает его внедрение. Чтобы защитить организацию от атак с использованием программ-вымогателей, вам нужно надежное и часто обновляемое антивирусное программное обеспечение.
- Решение PAM. Платформа, которая помогает контролировать и защищать учетные записи с доступом к конфиденциальным данным и информации. Она контролирует, кто имеет доступ к сети, приложениям, серверам и устройствам организации. Решение PAM помогает предотвратить неправомерное использование привилегированных учетных записей или их компрометацию.
- Менеджер паролей для бизнеса. Инструмент, который дает возможность надежно хранить учетные данные ваших сотрудников и управлять ими в зашифрованном хранилище. Менеджер паролей для бизнеса позволяет ИТ-администраторам полностью просматривать и контролировать привычки сотрудников в отношении паролей, обеспечивая защиту учетных записей с помощью надежных паролей и многофакторной аутентификации.
Защитите организацию от RaaS-атак
RaaS-атаки нацелены на организации всех отраслей с целью зашифровать и украсть их конфиденциальную информацию. Для защиты от них нужно реализовать доступ с наименьшими привилегиями и нулевым доверием. Лучший способ сделать это — решение PAM.
KeeperPAM™ — решение для управления привилегированным доступом с нулевым доверием и нулевым разглашением. Оно обеспечивает организациям полный контроль над привилегированными учетными записями в масштабах всей организации. KeeperPAM включает в себя Keeper® Enterprise Password Manager (EPM), Keeper Secrets Manager® (KSM) и Keeper Connection Manager® (KCM) для защиты вашей организации от атак с использованием программ-вымогателей.
Чтобы предотвратить RaaS-атаки и защитить конфиденциальные данные вашей организации, запросите демоверсию KeeperPAM.
