Успешните кибератаки алармират за слабост на критичната инфраструктура(снимка: CC0 Public

Успешните хакерски атаки сигнализират за уязвимост на сериозната инфраструктура
(снимка: CC0 Public Domain)

Въпреки напъните на правоприлагащите органи течовете на данни, свързани с рансъмуер, се повишиха с 82 % през 2021 година по отношение на миналата година, съгласно отчет за световните киберзаплахи на CrowdStrike за 2022 година В него са разпознати 2686 офанзиви за 2021 година спрямо 1474 през миналата година.

В отчета се отбелязва, че явна наклонност в този пейзаж е повишаването на така наречен „ лов на наедрял дивеч ” (ЛЕД) – широкомащабни офанзиви с висока видимост, които „ раздират промишленостите, опустошават и сигнализират за слабостта на сериозната инфраструктура ”.

„ Растежът и въздействието на ЛЕД през 2021 година бяха осезаема мощ, усетена във всички браншове и в съвсем всеки район на света ”, се показва в отчета, данни от който разгласява. „ Въпреки че някои рансъмуер групи прекратиха активността си през 2021 година, общият брой на работещите рансъмуер семейства се усили ”.

Един от минусите на престъпните герои, ангажирани с ЛЕД, е вниманието, което офанзивите им притеглят към причинителите. Повишено внимание от страна на медиите и правоприлагащите органи след случаите с Colonial Pipeline и JBS Foods докара до понижаване на течовете на данни.

„ Въпреки това една основна тематика, подчертана през 2021 година, е че нападателите ще продължат да работят и ще мигрират дейностите си към нови подходи или злоумишлен програмен продукт, където е допустимо, демонстрирайки, че адаптивният съперник си остава основната опасност в пейзажа на електронната престъпност ”, се споделя в отчета.

„ Живот отвън земята ”

Много от нападателите са минали оттатък потреблението на злоумишлен програмен продукт, с цел да реализиран своите цели. Те от ден на ден се пробват да работят, без да пишат злоумишлен програмен продукт, адресиран към крайната цел. Вместо това употребяват законни идентификационни данни и вградени принадлежности – метод, прочут като „ живеене отвън земята ” – в тенденциозен опит да избегнат вероятността да бъдат открити от антивирусните артикули.

От всички регистрирани случаи, индексирани от CrowdStrike Security Cloud през четвъртото тримесечие на 2021 година, 62% са били напълно без злоумишлен програмен продукт. Нападателите все по-често „ живеят отвън земята ”, споделя Дейвис Маккарти, основен откривател по сигурността във Valtix, снабдител на облачни услуги за мрежова сигурност.

„ Те извършват постоянно практикувани команди, с каквито си служи систематичният админ, и по-късно конфигурират ръчно софтуера за откуп ”, твърди Маккарти. „ Злонамереният програмен продукт към момента се употребява в акциите, само че методът на доставка е по-креативен ”.

Такъв е казусът със SolarWinds, съгласно експерта. При тази офанзива злоумишлен програмен продукт беше инжектиран в софтуерен ъпгрейд, който след това беше публикуван от компанията до нейните клиенти.

Избягване на „ алените флагчета ”

Въпреки че злонамереният програмен продукт може да е част от офанзивите, нападателите все по-рядко разчитат на него за първичен достъп, споделя Ханк Шлес, старши управител за решения за сигурност в Lookout, снабдител на сигурност за крайни точки. Атакуващите са се насочили към други възможности: или компрометиране на идентификационни данни, или намиране на уязвими приложения и сървъри като входна точка.
още по темата
„ Достъпът посредством законни идентификационни данни разрешава на нападателя да влезе в инфраструктурата на организацията под прикритие – той наподобява като законен консуматор – което понижава вероятността от появяването на червени флагчета ”, изяснява Шлес.

„ А идентификационните данни постоянно се крадат посредством фишинг-кампании, ориентирани към консуматори на мобилни устройства. При смарт телефоните и таблетите нападателите имат безчет способи за обществено инженерство – посредством SMS, чат платформи на трети страни или приложения за обществени медии ”, добавя експертът.

Инициирането на достъп посредством уязвими приложения и сървъри е различен метод нападателите да могат безшумно да влязат в инфраструктурата през „ необятно отворена врата ”. „ Рискът това да се случи е идентичен при облачната инфраструктура, SaaS приложенията, частните приложения и уеб-сървърите ”, споделя експертът.

„ При такава комплицирана екосистема от хибридни запаси може да бъде необикновено мъчно за ИТ екипите и екипите по сигурността да имат видимост за това къде има уязвимости в инфраструктурата ”, обобщава Шлес.

Заключваш и източваш

Въпреки че потреблението на злоумишлен програмен продукт може да понижава като цяло, има някои ниши, в които се усилва, твърди Крис Хаук, специалист по поверителността на потребителите в Pixel Privacy, издател на управления за сигурност и дискретност.

„ Последните данни сочат, че офанзивите посредством злоумишлен програмен продукт се усилват по размер и по трудност в някои случаи, изключително против Linux сървъри и облачна инфраструктура, защото доста пъти те са неприятно ръководени и погрешно конфигурирани ”, споделя Хаук.

Все по-често се среща и комбинацията от рансъмуер и „ теч ” на данни. При тях нападателят освен криптира данните на жертвата, с цел да изкопчи откуп, само че също по този начин краде данните, с цел да ги продаде по-късно в „ тъмните мрежи ” или да изнудва жертвата за по-голяма сума. Методът „ заключваш и източваш ” набира все по-голяма известност в рансъмуер общността.

„ Операторите трансформират тактиката си в отговор на това, че предприятието може да разполага с съответни аварийни копия ”, споделя Маккарти. „ Изтичането на данни може да бъде също толкоз нездравословно за организацията, колкото и загубата им ”.

Подобни интервенции наподобява набират известност измежду изнудвачите, тъй като могат да се облажат двойно. „ Те могат да изискат откуп за отключване на данните, след което да изискат в допълнение възнаграждение за попречване на приключването на данни ”, отбелязва Хаук.

Ако пострадалата компания откаже да заплати втория откуп, нападателите отново могат да се облажат двойно, тъй като ще продадат откраднатата информация на други злодеи.

SaaS на прицел

В обозримо бъдеще облачните приложения ще стартират да притеглят от ден на ден рансъмуер офанзиви, твърди Адам Гавиш, съосновател и основен изпълнителен шеф на DoControl, снабдител на мониторинг на достъпа до данни, оркестровка и премахване на SaaS приложения.

„ С повишаването на облака нападателите сложиха SaaS приложенията в центъра на вниманието си. Възползването от множеството уязвимости, които съществуват при SaaS приложенията, е идната фаза на усъвършенстваните рансъмуер офанзиви ”, разяснява Гавиш.