27.08.2021

Борьба с программами-вымогателями как услуга (RaaS)

Bitdefender > Новости > Борьба с программами-вымогателями как услуга (RaaS)

Инцидент с программой-вымогателем Colonial Pipeline, названный многими «кибератакой года», нанес значительный экономический ущерб, напомнив, насколько хрупка цифровая инфраструктура.

Хотя атака была самым громким случаем в 2021 году, она далеко не единственная. В мае массивная атака программ-вымогателей нанесла ущерб ирландской системе здравоохранения. Аналогичный инцидент произошел в Австралии, где правительству пришлось ограничить работу на три дня.

Итак, что делает программы-вымогатели такими популярными и почему критически важные государственные инфраструктуры так часто становятся жертвами?

Ответ связан с развитием технологий и увеличением возможностей для злоумышленников, так как атаки программ-вымогателей становятся наиболее прибыльным видом киберпреступности.

От разовых атак до программы-вымогателя как услуги (RaaS)

До недавнего времени атаки программ-вымогателей были разовыми. Преступники нацеливались на низкопрофильные компании, которые не могли позволить себе потерять данные или выдержать негативную реакцию в прессе, которая последует за этим.

Однако цифровая экономика становится все более распространенной, и одиночные атаки трансформировались в крупномасштабные операции по вымогательству. Программы-вымогатели постепенно перешли на модель, которую аналитики называют «программа-вымогатель как услуга» или RaaS.

Программа-вымогатель как услуга (RaaS) – это модель на основе подписки, позволяющая хакерам-посредникам использовать уже разработанные инструменты-вымогатели для выполнения атак программ-вымогателей. Партнеры зарабатывают процент с каждой успешной выплаты выкупа. Программа-вымогатель как услуга (RaaS) – это внедрение бизнес-модели «Программное обеспечение как услуга» (SaaS).

Появление Darkside и других операторов RaaS

С созданием бизнес-моделей RaaS такие группы, как Darkside, сдают свои технологии вымогателей в аренду аффилированным лицам вместо проведения собственных атак. Darkside использует собственный пресс-центр, чтобы объявить об этих громких атаках, а также привлечь новых людей для продвижения атак. Чтобы усложнить ситуацию, эти поставщики RaaS также нанимают малоизвестные компании, занимающиеся «восстановлением данных», чтобы упростить обработку платежей от программ-вымогателей и замести следы всех участников схемы.

Государственная инфраструктура и крупные компании являются привлекательными объектами для киберпреступников из-за склонности к переговорам. Для таких компаний однодневный оффлайн может привести к остаточным убыткам, превышающим любой выкуп. Именно поэтому исследователи считают, что почти 2/3 атак вымогателей в прошлом году были нацелены на них.

Каждый месяц появляются новые схемы программ-вымогателей и новые угрозы (как Avaddon, исправленные версии для «классических» RYUK и Revil-платформ).

Почему атаки RaaS имеют такой успех?

Хотя большинство решений безопасности обладают расширенными возможностями защиты от программ-вымогателей, эти типы атак редко нацелены на одну систему. Фактически, обширные сети серверов, на которых основана сегодняшняя удаленная экономика, действуют как катализатор для злоумышленников, которые используют все доступные слабые места, чтобы проникнуть внутрь.

Еще один важный аспект – человеческий фактор. Люди наиболее уязвимы для атак с помощью целевых кампаний по спаму, фишингу и социальной инженерии.

APT-атаки, продвинутые угрозы и угрозы-вымогатели используют следующие методы для проникновения в сеть:

  • Электронная почта по-прежнему довольно популярна среди провайдеров RaaS, использующих сценарии, архивы, эксплойты форматирования и макросы, чтобы обойти некоторые систем.
  • Вредоносные URL-адреса могут содержать наборы эксплойтов, а также легитимные, но взломанные веб-сайты. Вредоносная реклама также является распространенным методом загрузки таких комплектов в общие системы.
  • Файлы и приложения социальных сетей стали обычным способом распространения программ-вымогателей. Часто из-за соображений конфиденциальности эти системы менее отслеживаются.

Другие методы включают зараженные носители данных (драйверы USB, внешние жесткие диски), а также прямые атаки на уязвимые машины, включая те, на которых запущены небезопасные HTTP-серверы. В крупных облачных системах часто используются устаревшие конечные точки, которыми пренебрегают во время регулярных проверок безопасности.

Попав внутрь, большинство программ-вымогателей не сразу обнаруживают никаких признаков заражения. Он создаст целую экосистему, основанную на шифровании ценных файлов из ваших систем, создании ключей дешифрования для них и подключении вас к процессору платежей, который будет посредником в выкупе.

На более новых платформах программ-вымогателей, используемых в RaaS, последние версии часто тестируются на нескольких антивирусных ядрах. Используя эту технологию, ПО может рассчитать, когда наносить удар. С учетом времени, требуемом антивирусным движкам для обнаружения их присутствия и необходимом для понимания метода шифрования.

Рекомендуемые стратегии защиты RaaS

Самый важный шаг – повысить возможности раннего обнаружения вашего решения безопасности. Это можно сделать несколькими способами.

  1. Использование службы фильтрации URL-адресов.

Устройства фильтрации URL-адресов будут постоянно блокировать не только вредоносные URL-адреса, но также IP-адреса доменов и серверов, стоящих за ними. Службы расширенной фильтрации URL-адресов могут, даже если к URL-адресу уже был осуществлен доступ, препятствовать передаче любых данных или файлов, поступающих от него, с его основным сервером. В случае программ-вымогателей это эффективно предотвращает шифрование файлов и создание ключей.

  1. Расширенный контроль угроз (Advanced Threat Control, ATC).

Службы ATC помогут проактивно обнаруживать программы-вымогатели и угрозы нулевого дня. Основанные на продвинутой эвристике и машинном обучении, системы ATC работают на основе «предположения нулевого доверия», постоянно отслеживая уязвимые приложения и процессы. ATC полагается на характеристики поведения, а не на сигнатуру и двоичное обнаружение.

Это означает, что вредоносные программы и программы-вымогатели не только не могут проникнуть внутрь, но и могут действовать, если они каким-то образом были «приглашены» в систему. Взлом приложений, внедрение кода в другие процессы, доступ к ограниченному серверу или диску и создание записей автозапуска в реестре – это лишь некоторые из блокируемых действий, связанных с вредоносным ПО.

  1. Продвинутая защита от вредоносных программ.

Усовершенствованная защита от вредоносных программ является абсолютной необходимостью для любого решения безопасности. Хотя у многих пользователей уже есть ядро ​​защиты от вредоносных программ, стоит поискать несколько функций, которые также помогут упреждающе бороться с вредоносными программами. Среди них:

  1. эмуляция процессов,
  2. упреждающее обнаружение,
  3. непрерывный мониторинг,
  4. возможность развертывания решений в нескольких операционных системах и инфраструктурах.

Решение Bitdefender

Помимо безупречной репутации и бесчисленных наград, Bitdefender принимает активное участие в защите компаний от программ-вымогателей и их разрушительных последствий. Фактически, в начале этого года команда Bitdefender обратилась к компаниям, пострадавшим от программ-вымогателей, и предложила помощь с бесплатными дешифраторами и уменьшением ущерба.

Наши решения включают лучшую в своем классе платформу статуса URL, которая может обрабатывать более 15 000 запросов URL в секунду со средним временем ответа менее 100 миллисекунд.

Кроме того, наш SDK Advanced Threat Control может усилить существующую защиту и значительно снизить риск успешных атак. Оба эти решения могут легко дополнить наш знаменитый SDK для защиты от вредоносных программ, который можно легко интегрировать со всеми продуктами безопасности.

Узнайте больше о том, как повысить безопасность с помощью решений Bitdefender.

Новости
12.09.2021
5 мифов о предотвращении угроз кибербезопасности
09.09.2021
Банда вымогателей Ragnarok закрылась, выпущен универсальный ключ дешифрования
08.09.2021
5 мифов о безопасности мобильных приложений