Τάσεις σε ransomware-as-a-service και κρυπτονομίσματα προς παρακολούθηση

Τον Ιανουάριο, αξιωματούχοι επιβολής του νόμου διέκοψαν τις λειτουργίες της κυβερνοεγκληματικής ομάδας Hive, η οποία επωφελήθηκε από ένα επιχειρηματικό μοντέλο ransomware-as-a-service (RaaS). Η Hive πιστεύεται ευρέως ότι συνδέεται με την ομάδα ransomware Conti, προσχωρώντας σε μια λίστα άλλων ομάδων που σχετίζονται με πρώην χειριστές Conti, συμπεριλαμβανομένων των Royal, Black Basta και Quantum.

Οι θυγατρικές της RaaS βρίσκονται σε όλο τον κόσμο, όπως και τα θύματά τους. Αυτές οι θυγατρικές χρησιμοποιούν μυριάδες διαφορετικές τακτικές και τεχνικές. Σε αυτό το άρθρο, θα καλύψω τι μας λέει η υπόθεση Hive για τις τάσεις του RaaS, πώς σχετίζεται με τα κρυπτονομίσματα και πώς να αμυνθούμε από παρόμοιες ομάδες.

Ο τρόπος λειτουργίας της κυψέλης

Η Hive, όπως και άλλοι πάροχοι RaaS, έγραψε έναν κρυπτογράφηση ransomware, δημιούργησε έναν σκοτεινό τομέα ιστού, διαφήμισε τις υπηρεσίες τους σε θυγατρικές και φόρουμ και στη συνέχεια επέτρεψε στους χρήστες να αγοράσουν άδεια (για τις υπηρεσίες τους) για να διαμορφώσουν ένα ωφέλιμο φορτίο ransomware και να λάβουν κεφάλαια εκβιασμού.

Οι πάροχοι RaaS συνήθως περικόπτουν τα παράνομα έσοδα – είναι συνήθως μια διαίρεση 75/25, 80/20 ή 85/15 (το Hive ήταν 80/20).

Το Hive, και κάθε άλλη ομάδα ransomware, εξακολουθεί να χρησιμοποιεί κρυπτονομίσματα για πληρωμές ransomware επειδή είναι χωρίς σύνορα και σχεδόν άμεσο. Δεν υπάρχουν μετατροπές ή εγκρίσεις τραπεζών. είναι ένα ανώνυμο σύστημα μεταφοράς και άμεσης αποστολής κεφαλαίων σε όλο τον κόσμο. Το κρυπτονομίσματα διευκολύνει επίσης τον διαχωρισμό των χρημάτων που εκβιάζονται από τα θύματα με άλλους χρήστες.

Με υψηλή ή χαμηλή τιμή, τα κρυπτονομίσματα είναι η καλύτερη και πιο αποτελεσματική οδός για τους χειριστές ransomware να αντλήσουν κεφάλαια από τα θύματα. Η τιμή του κρυπτονομίσματος ακολουθεί την πορεία του Bitcoin (BTC). Εάν το BTC ανεβαίνει, τα περισσότερα άλλα ανεβαίνουν επίσης. Αντίστροφα, αν πέσει η τιμή του, όλα τα άλλα ακολουθούν.

Για να ληφθεί υπόψη η συχνά ασταθής αξία του, όταν οι εισβολείς παραβιάζουν ένα θύμα και ζητούν λύτρα, απλώς αλλάζουν το ποσό του κρυπτονομίσματος που ζητούν με βάση την τρέχουσα τιμή του διακριτικού που χρησιμοποιείται. Με άλλα λόγια, οι χειριστές βασίζουν τα λύτρα στην τιμή μετατροπής και όχι στην τιμή συμβολικού. Για παράδειγμα, εάν μια ομάδα ransomware θέλει να λυτρώσει μια επιχείρηση για 50.000 $, θα το μετατρέψει στην τρέχουσα τιμή συμβολικού και θα ζητήσει τόσα πολλά.

Ενώ τα περισσότερα κρυπτονομίσματα είναι ανιχνεύσιμα, πολλοί χειριστές ransomware εκτελούν τα παραπτώματα τους από χώρες με κυβερνήσεις που τείνουν να κοιτάζουν από την άλλη πλευρά, ειδικά εάν οι επιθέσεις δεν στοχεύουν τη χώρα από την οποία λειτουργούν. Για παράδειγμα, πολλοί χειριστές ransomware από την Ανατολική Ευρώπη και τη Ρωσία βάζουν λογική στον κώδικα του κακόβουλου λογισμικού τους για να εντοπίσουν τη μηχανή του θύματος. Το κακόβουλο λογισμικό θα τερματιστεί εάν βρίσκεται σε χώρα που αποτελεί μέρος της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS), επιτρέποντας στους χειριστές ransomware σε αυτές τις χώρες να αναπτύξουν ransomware χωρίς να ανησυχούν πολύ για τη σύλληψή τους (το Hive είναι ένα παράδειγμα αυτού). Αλλά για να προσπαθήσουν να προστατευτούν από τον εντοπισμό τους, οι επιτιθέμενοι εξακολουθούν να χρησιμοποιούν μίξερ και νομίσματα απορρήτου για να κρύψουν τα ίχνη τους.

Η υπόθεση Hive είναι μοναδική στο ότι μια παγκόσμια, κοινή επιχείρηση ομοσπονδιακών αρχών από πολλές χώρες συνεργάστηκαν για να καταργήσουν την υποδομή μιας ομάδας ransomware. Αυτό ήταν κατά κύριο λόγο δυνατό επειδή η υποδομή (διακομιστές) του ομίλου Hive βρισκόταν στις Ηνωμένες Πολιτείες, τουλάχιστον εν μέρει.

Η λειτουργία – και άλλες πρόσφατες καταργήσεις ομάδων ransomware όπως το REvil και το DarkSide, για να μην αναφέρουμε διάφορες θυγατρικές που χρησιμοποιούν άλλα ransomware – δείχνει πώς οι κυβερνήσεις γίνονται πιο προσβλητικές για να σταματήσουν αυτούς τους παράγοντες απειλών. Οι αρχές επιβολής του νόμου και οι υπηρεσίες κυβερνοασφάλειας έχουν συνειδητοποιήσει ότι μια καθαρά αμυντική στρατηγική δεν είναι η καλύτερη προσέγγιση για την αντιμετώπιση αυτού του ζητήματος.

Οι θυγατρικές της ομάδας Hive επιτέθηκαν σε οργανισμούς σε όλο τον κόσμο. Ένας χάρτης των χωρών που επηρεάστηκαν από το Υπουργείο Δικαιοσύνης των Ηνωμένων Πολιτειών (USDOJ) έδειξε ότι, όπως ήταν αναμενόμενο, πολύ λίγες χώρες της ΚΑΚ επηρεάστηκαν. Αντίθετα, η ομάδα είχε θύματα σχεδόν σε κάθε άλλο μέρος του πλανήτη.

Επιπλέον, αυτές οι επιθέσεις χρησιμοποίησαν διάφορες μεθοδολογίες για να παραβιάσουν οργανισμούς. Αυτό συμβαίνει επειδή διαφορετικές θυγατρικές έχουν διαφορετικές τακτικές, ακόμη και εντός της ίδιας ομάδας ransomware. Κάθε ομάδα RaaS θα έχει πολλαπλές τακτικές και τεχνικές που μπορούν να εφαρμόσουν με διάφορους τρόπους. Αυτό περιπλέκει την πρόκληση της άμυνας εναντίον τους.

Ρύθμιση άμυνας σε βάθος

Για τους επαγγελματίες ασφαλείας, σημαίνει ότι μια καλή αμυντική στάση πρέπει να είναι ολιστική και να περιλαμβάνει μηχανισμούς άμυνας σε βάθος.

Για παράδειγμα, οι συνδεδεμένες εταιρείες του Hive είναι γνωστό ότι παραβιάζουν οργανισμούς που χρησιμοποιούν Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) χωρίς έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), κλεμμένα διαπιστευτήρια, καμπάνιες ηλεκτρονικού ψαρέματος (phishing) και ευπάθειες λογισμικού. Δεν υπάρχει μια ενιαία λύση για την αποτελεσματική αντιμετώπιση αυτών των ζητημάτων. θα χρειαστείτε πολλές λύσεις που συνεργάζονται για να αποτρέψουν επιθέσεις.

Θα χρειαστεί να εφαρμόσετε μια πολιτική για να διασφαλίσετε ότι το MFA είναι σε οποιονδήποτε έλεγχο ταυτότητας στο δίκτυό σας (δίκτυο μηδενικής εμπιστοσύνης, ιδανικά), άδειες πολλαπλών παραγόντων εάν δεν τις έχετε, λύσεις ασφάλειας ηλεκτρονικού ταχυδρομείου και εκπαίδευσης ηλεκτρονικού ψαρέματος και ένα σύστημα διαχείρισης ενημερώσεων κώδικα με ολοκληρωμένη διαχείριση περιουσιακών στοιχείων πίσω από αυτό. Δηλαδή να λύσουμε τις γνωστές τεχνικές από μια ομάδα RaaS.

Ας πάρουμε μια άλλη ομάδα, για παράδειγμα: Cl0p. Είναι γνωστοί για την παραβίαση εταιρειών λογισμικού και στη συνέχεια για την παραβίαση άλλων εταιρειών που χρησιμοποιούν το λογισμικό τους – μια επίθεση στην αλυσίδα εφοδιασμού με ransomware ή/και εξαγωγή δεδομένων. Για να προστατευτείτε από αυτού του είδους την επίθεση, η αμυντική σας στάση θα πρέπει να είναι ολοκληρωμένη και να έχει μια σειρά από ελέγχους και ισορροπίες. Εάν μια λύση αποτύχει, ιδανικά, θα θέλατε μια άλλη να πιάσει τα λάθη ή τα ψευδώς θετικά. Φυσικά, μιλάω για ιδανική λύση.

Δεδομένου ότι οι περισσότερες εταιρείες δεν μπορούν απλώς να ρίξουν ένα σωρό χρήματα σε λύσεις, θα συνιστούσα να αντιμετωπίσετε το ηλεκτρονικό ψάρεμα και την ασφάλεια ηλεκτρονικού ταχυδρομείου (με εκπαίδευση) εκτός και αν υπάρχει ένα κραυγαλέο πρόβλημα στην ασφάλειά σας αλλού. Σχεδόν όλοι οι φορείς απειλών διαδίδουν κακόβουλο λογισμικό μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος και στόχευσης – στην πραγματικότητα, από εδώ ξεκινούν οι περισσότερες παραβιάσεις σύμφωνα με την Έκθεση Έρευνας παραβίασης δεδομένων της Verizon για το 2023.