Введение
В последние годы атаки с использованием программ-вымогателей значительно возросли, став одной из самых серьёзных угроз в области кибербезопасности. По результатам недавнего опроса, проведённого среди 1200 специалистов по кибербезопасности, более половины респондентов (57%) за последний год столкнулись с утечкой данных или их компрометацией, что на 6% больше по сравнению с прошлым годом. Многие из этих случаев были связаны с атаками программ-вымогателей.
Эволюция методов киберпреступлений
Рост числа атак свидетельствует о совершенствовании тактик киберпреступников. Они используют такие модели, как «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS) и методы «двойного вымогательства» для кражи данных и удержания организаций в заложниках ради выкупа.
Модель RaaS первоначально была заимствована из модели «программное обеспечение как услуга» (Software-as-a-Service, SaaS), где пользователи, в данном случае киберпреступники, платили за доступ к комплектам программ-вымогателей для проведения атак. Однако эта версия RaaS уже не актуальна.
Современная модель RaaS
Начиная с 2016 года, модель RaaS изменилась, приняв форму схемы разделения прибыли, вдохновленной «экономикой гигов». Теперь она направлена не на участие менее технически подкованных лиц в киберпреступлениях, а на замену их специалистами в этой области. Аналогично моделям Uber и Airbnb, новая модель включает независимых подрядчиков, изменчивость доходов, онлайн-платформы, налоговые платежи и гибкость. Эти характеристики также применимы к модели RaaS.
Основные игроки RaaS: операторы и аффилиаты
В современной модели RaaS различают две категории участников: операторов и аффилиатов. Операторы — это разработчики, специализирующиеся на создании и поддержке кода программ-вымогателей и инфраструктуры, которые затем упаковываются в комплекты RaaS и продаются или сдаются в аренду другим киберпреступникам, известным как аффилиаты.
Аффилиаты, не обладающие техническими навыками для разработки собственных вредоносных программ, используют эти комплекты для проведения атак на организации. Это значительно упрощает получение выгоды от программ-вымогателей через быстрый выкуп и возврат инвестиций.
Аффилиаты действуют как независимые подрядчики, обладающие опытом в других областях киберпреступности, таких как социальная инженерия, взлом систем и обход механизмов защиты. Их цель — компрометация организации, преимущ6 идеതിയിരിക്കുന്നത്ычение данны конечно, производится при установление адносення ограничения операторов и аффилиатов в зависимости от уровня технических навыков и знаний. В случае успешного проведения операции операторы и аффилиаты делят полученную прибыль.
Тенденции в развитии программ-вымогателей в 2024 году и далее
Наблюдается несколько тенденций, подчеркивающих значительные изменения в тактике программ-вымогателей и необходимость в усовершенствовании мер кибербезопасности.
Двойное вымогательство
Все чаще группы вымогателей сочетают кражу данных с их шифрованием. Помимо требования оплаты за расшифровку данных, киберпреступники угрожают опубликовать украденную конфиденциальную информацию. Это оказывает дополнительное давление на организации, заставляя их платить, чтобы избежать утечки данных, которые могут включать информацию о клиентах, интеллектуальную собственность и финансовую документацию.
Этап ручного взлома
Основное внимание современных операций с программ-вымогателями уделяется этапу ручного взлома, а не фактическому шифрованию данных, которое является конечной стадиeй. Взлом может занимать дни, недели или даже месяцы, тогда как сам процесс шифрования данных занимает всего несколько часов. Таким образом, большая часть усилий направляется на взлом, а не на шифрование.
Эксплуатация уязвимостей
Опасная тенденция заключается в том, что злоумышленники все чаще атакуют уязвимости в устройствах и приложениях, доступных через интернет. Они переключают внимание с отдельных компаний на общеизвестные уязвимости популярных платформ, что позволяет им быстрее действовать и получать доступ сразу к сотням или даже тысячам жертв. Например, уязвимость Log4j (2021 год) была использована только через месяц после её обнаружения. Сегодня злоумышленники могут начать эксплуатировать новые уязвимости популярных платформ в пределах 24 часов после их обнаружения.
Расширение цепочки поставок
Кроме того, расширение цепочки поставок становится ключевой тенденцией, которая сохранится в 2024 году и далее. Компрометация подрядчиков, поставщиков или других компаний внутри сети может служить точкой входа для атаки, что в конечном итоге приводит к компрометации более крупных организаций. Эта тенденция подчёркивает взаимосвязанность современных бизнес-операций и необходимость комплексной безопасности цепочки поставок.
Меры по противодействию программам-вымогателям
С учётом того, что киберпреступники постоянно разрабатывают новые тактики, а границы между безопасностью потребителей и бизнеса продолжают размываться в условиях гибридной работы, существует несколько мер, которые организации могут предпринять для предотвращения угроз программ-вымогателей.
Усиление обороны
Основная цель заключается в укреплении защиты от ручного взлома. Это достигается благодаря созданию надёжных операций по безопасности, как внутри компании, так и за счёт услуг управляемого обнаружения и реагирования (MDR). Эти операции включают постоянный мониторинг с использованием команд безопасности и таких инструментов, как EDR и XDR, а также постоянное улучшение безопасности. Обучение сотрудников выявлению и сообщениям о подозрительных действиях, в сочетании с услугами MDR, предоставляющими экспертов по кибербезопасности, круглосуточный мониторинг, расширенные возможности обнаружения и реагирования, и активную охоту за угрозами, значительно укрепляют безопасность, делая атаки через ручной взлом гораздо менее вероятными.
Многоуровневый подход
С технологической точки зрения, компаниям следует сосредоточиться на многоуровневом подходе к безопасности, который охватывает конечные устройства, сети, ключевые приложения, такие как электронная почта и облачные сервисы. Важно помнить, что ни одно решение не предотвратит успешную атаку программ-вымогателем, однако чем больше барьеров установлено и чем больше возможностей для обнаружения и устранения угроз на ранних стадиях, тем лучше.
Эта статья является частью канала Expert Insights на TechRadar Pro, где представлены лучшие и ярчайшие умы в области технологий на сегодняшний день. Высказанные здесь мнения принадлежат автору и не обязательно совпадают с мнением TechRadarPro или Future plc.
Источник: TechRadar
