Тройное вымогательство: как эволюционирует ransomware

Угрозы программ-вымогателей (ransomware) становятся все более серьезными. Джейми Моулз, старший технический менеджер компании ExtraHop, рассказывает на портале Information Age, что такое угроза тройного вымогательства (triple extortion) и как защитить свою организацию от нее.

Программы-вымогатели из разовых угроз превратились в постоянную многоэтапную кампанию, направленную на систематический подрыв инфраструктуры организации и ее репутации. Изменения, которые мы наблюдаем, носят не только тактический, но и стратегический характер. Злоумышленники перешли от случайных атак к тщательно скоординированным операциям, в которых используются как технологические уязвимости, так и психология человека.

То, что когда-то было простым подходом, заключавшимся в шифровании данных и требовании выкупа, превратилось в многогранную многоэтапную схему вымогательства. Злоумышленники все чаще сочетают кражу данных, шифрование, распределенные атаки типа «отказ в обслуживании» (DoS) и тактику публичного унижения — стратегию, которая сейчас широко известна как «тройное вымогательство». Эти методы направлены не только на срыв работы, но и на подрыв доверия клиентов, партнеров и регулирующих органов.

Реальные инциденты иллюстрируют новую реальность

Кибератаки на розничные сети Marks & Spencer (M&S) и Co-op были скоординированными взломами, в которых участвовала хакерская группировка Scattered Spider. Группа использовала сложные методы социальной инженерии, такие как подделка сотрудника службы поддержки, подмена SIM-карт и MFA push-bombing, чтобы обманом заставить ИТ-персонал стороннего поставщика услуг предоставить доступ. Оттуда злоумышленники получили повышенные привилегии и переместились по корпоративным сетям, используя встроенные административные инструменты, чтобы избежать обнаружения, одновременно похищая конфиденциальные данные и нарушая операции. Последствия были серьезными: M&S пришлось отключить свой интернет-магазин почти на семь недель, а финансовые потери были оценены примерно в 300 млн. фунтов стерлингов.

Такие кибератаки часто обходят традиционные антивирусные системы и инструменты обнаружения на основе сигнатур и демонстрируют, как современные злоумышленники с высокой точностью эксплуатируют человеческий фактор безопасности, с которым традиционные средства защиты не в состоянии справиться.

Традиционные меры безопасности больше не являются достаточными

Растущие сложность и профессионализм операций с использованием программ-вымогателей сделали традиционные меры безопасности неадекватными. Многие злоумышленники теперь действуют в рамках более широкой преступной экосистемы, выполняя для жертв специализированные роли, такие как переговорщики, поставщики инфраструктуры и даже служба поддержки клиентов. Такая зрелость привела к росту числа высокоорганизованных целевых кампаний.

Методы обнаружения на основе сигнатур, которые когда-то были основой многих систем безопасности, в данном контексте являются недостаточными. Эти подходы по-прежнему широко используются в отрасли, поскольку они эффективны для выявления известных вредоносных программ и моделей атак. Однако они не справляются с современными угрозами, которые используют новые тактики, легитимные учетные данные и законные инструменты и функции, уже присутствующие в целевой системе (living-off-the-land, LotL) для уклонения от обнаружения традиционными средствами. Эти инструменты полагаются на известные индикаторы компрометации и легко обходятся с помощью новых или настраиваемых техник атак.

В то же время инструменты поведенческого анализа определяют базовые показатели нормальной активности пользователей и систем и отмечают аномалии, которые указывают на злонамеренные намерения. В отличие от обнаружения на основе сигнатур, которое полагается на идентификацию известных шаблонов вредоносного ПО, поведенческий анализ может обнаруживать новые и сложные атаки, которые используют легитимные учетные данные и обходят традиционные индикаторы.

В условиях совершенствования тактики вымогателей, системы на основе сигнатур не могут идти в ногу со временем. Поведенческий анализ, напротив, адаптируется к тому, что фактически происходит в среде, что делает его гораздо более подходящим для обнаружения тонких угроз, основанных на учетных данных, которые характерны для современных атак. Эти системы выявляют реальные признаки компрометации, которые в противном случае остались бы незамеченными, такие как аномальные шаблоны использования учетных записей или неожиданные потоки данных.

Мониторинг внутренней сети является необходимостью

Современные кампании по распространению программ-вымогателей начинаются не с шифрования, а с незаметного проникновения, латерального перемещения и вывода данных. Эти ранние и критически важные этапы часто проходят незаметно во внутренней сети организации. Именно поэтому так важна видимость по горизонтали: она обеспечивает необходимую информацию для обнаружения злоумышленников, которые перемещаются по среде, используя легитимные учетные данные и методы LotL.

Традиционные средства защиты обычно отслеживают трафик по вертикали (изнутри сети наружу), упуская из виду перемещение по горизонтали, которое характерно для современных угроз. Отслеживая внутренние потоки трафика, поведение привилегированных учетных записей и необычные передачи данных, организации получают возможность выявлять подозрительные действия в режиме реального времени и сдерживать угрозы, прежде чем они перерастут в развертывание программ-вымогателей или публичное вымогательство.

Атака программой-вымогателем на NASCAR иллюстрирует эту проблему. Злоумышленники из группы Medusa проникли в сеть, используя украденные учетные данные, и незаметно похитили конфиденциальные данные пользователей, после чего начали более широкую кампанию по вымогательству. Поскольку эти внутренние действия не были обнаружены на ранней стадии, атака дошла до публичного раскрытия, нарушения операций и ущерба репутации.

Начните готовиться к следующему этапу развития ransomware уже сейчас

Появление тройного вымогательства и все более изощренные методы злоумышленников указывают на то, что программы-вымогатели вступили в новую фазу. Речь больше не идет только о шифровании файлов, речь о том, чтобы использовать все доступные средства для оказания максимального давления на жертв.

Организации должны реагировать соответствующим образом. Полагаться исключительно на профилактику больше нецелесообразно. Обнаружение и реагирование должны быть приоритетными в равной степени. Это требует стратегических инвестиций в технологии, которые обеспечивают видимость в режиме реального времени, контекстную аналитику и адаптивные возможности реагирования.

Злоумышленники постоянно внедряют инновации, и чтобы не отставать от них, защитники должны инвестировать в инструменты и стратегии, которые выходят за рамки устаревших систем. Если организация не имеет видимости своей среды, она не может эффективно реагировать. Из-за отсутствия видимости вместо локализации инцидента может произойти катастрофическое нарушение безопасности.

Ключевые выводы

• Злоумышленники стали гораздо более изощренными, чем раньше. Сейчас они сочетают кражу данных, шифрование, распределенные DoS-атаки и тактику публичного унижения — стратегию, которая сейчас широко известна как «тройное вымогательство». Сейчас речь идет не только о срыве операций, но и о подрыве доверия.
• Многие злоумышленники теперь действуют в рамках более широкой преступной экосистемы, и традиционные системы безопасности не справляются с этой задачей.
• Поведенческий анализ лучше адаптируется к развивающимся стратегиям вымогателей, чем методы обнаружения по сигнатурам.
• Обнаружению и реагированию необходимо уделять одинаковое внимание. Решающее значение имеют видимость в реальном времени, контекстуальная аналитика и адаптивные возможности реагирования.