Ransomware gaujos vystosi su naujais partnerių modeliais, kad priviliotų kibernetinius nusikaltėlius

Išpirkos reikalaujančių programų peizažas ir toliau sparčiai vystosi, o naujausi „Secureworks“ tyrimai atskleidžia, kad grėsmės veikėjai į kibernetinius nusikaltimus imasi labiau korporatyvinio požiūrio. Dvi ransomware grupės, DragonForce ir Anubis, dabar siūlo išplėstas dukterines programas, imituojančias teisėtas verslo struktūras, kartu su paslaugų pasiūlymais, prekės ženklo lankstumu ir palaikymo sistemomis.

Šie pokyčiai rodo nerimą keliančią tendenciją išpirkos reikalaujančių programų (RaaS) pasaulyje – modelio, dėl kurio mažiau kvalifikuotiems užpuolikams jau dabar buvo nerimą keliančiai lengva pradėti niokojančias išpirkos reikalaujančių programų kampanijas.

„DragonForce“ virsta elektroninių nusikaltimų karteliu

„DragonForce“, „RaaS“ operacija, kuri pirmą kartą pasirodė 2023 m. rugpjūčio mėn., neseniai pervadino save į „kartelį“ ir taip pabrėžia jos perėjimą prie labiau decentralizuotos struktūros. „Secureworks“ kovos su grėsmėmis padalinio (CTU) teigimu, grupė dabar siūlo unikalų dukterinių įmonių modelį, leidžiantį kibernetiniams nusikaltėliams kurti savo išpirkos reikalaujančių programų prekių ženklus.

Užuot reikalaudama, kad filialai naudotų išpirkos reikalaujančią programinę įrangą, DragonForce suteikia prieigą prie savo infrastruktūros, įskaitant administratoriaus ir klientų skydelius, šifravimo įrankius, derybų dėl išpirkos sistemas, duomenų saugojimo sprendimus, Tor pagrindu veikiančią nutekėjimo svetainę ir klientų aptarnavimą. Šis lankstumas patinka užpuolikams, turintiems savo kenkėjiškų programų, bet kuriems reikia pagalbos dėl logistikos, infrastruktūros ar sąveikos su aukomis.

Nors šis modelis gali pritraukti daugiau kibernetinių nusikaltėlių, jis taip pat kelia pavojų. Jei vienas filialas bus pažeistas, kiti, prisijungę prie bendros infrastruktūros, taip pat gali būti atskleisti, o tai gali išardyti ištisus koordinuotų atakų tinklus.

Anubis siūlo tris Ransomware partnerystės skonius

Anubis, kitas „RaaS“ operatorius, taip pat laužo formą, pristatydamas tris skirtingus filialų modelius. Kiekvienas iš jų numato skirtingą kelią nusikaltėliams, norintiems užsidirbti pinigų iš atakų:

1. Klasikinė „RaaS“ sąranka, kurios filialai pasilieka 80 % išpirkos mokėjimų.
2. „Duomenų išpirkos“ modelis, kai slaptažodžiu apsaugotoje svetainėje skelbiama išsami aukų analizė, siekiant priversti aukas mokėti.
3. „Prieigos pajamų gavimo“ modelis, padedantis filialams išvilioti anksčiau pažeistas aukas, siūlydamas 50 % išpirkos pajamų.

Duomenų išpirkos metodas išsiskiria savo panašumu į nusikalstamo turinio rinkodaros formą. „Anubio“ operatoriai paskelbia „tiriamojo pobūdžio straipsnį“ apie pavogtus aukos duomenis, o vėliau dalijasi juo su auka privačiai, perspėdami, kad nesumokėjus informacija pateks į viešumą. Jie netgi naudojo buvimą socialinėje žiniasklaidoje, kad padidintų spaudimą ir grasintų atskleisti informaciją klientams ir reguliavimo institucijoms.

Ransomware operatoriai dabar veikia kaip įmonės

Šie filialų modeliai rodo, kad šiuolaikinės išpirkos reikalaujančių programų grupės vis dažniau savo veiklą vykdo kaip teisėtos įmonės. Nuo techninės pagalbos teikimo iki prekės ženklo tinkinimo – strategijos sukurtos taip, kad patiktų platesniam potencialių užpuolikų ratui. Tiesą sakant, „DragonForce“ pasiūlymas labai panašus į valdomų paslaugų teikėją, atėmus teisėtumą.

Pasak Rafe'o Pillingo, „Secureworks“ grėsmių žvalgybos direktoriaus, gynėjai turėtų pradėti žiūrėti į išpirkos reikalaujančias gaujas kaip į verslo subjektus. Šie grėsmės veikėjai greitai prisitaiko, siekdami pajamų ir reaguodami į pokyčius kibernetinių nusikaltimų ekosistemoje, įskaitant teisėsaugos veiksmus ir mažėjančias išpirkos mokėjimus.

Kaip organizacijos gali likti apsaugotos

Kadangi kliūtis patekti į išpirkos reikalaujančių programų atakas dar mažėja, organizacijos turi imtis aktyvių veiksmų, kad sustiprintų savo apsaugą. „Secureworks“ CTU rekomenduoja šias saugumo priemones:

• Reguliariai pataisykite į internetą nukreiptas sistemas
• Įdiekite sukčiavimui atsparų daugiafaktorinį autentifikavimą
• Palaikykite saugias neprisijungus svarbių duomenų atsargines kopijas
• Stebėkite galinius taškus ir tinklus dėl neįprasto elgesio
• Sukurti ir išbandyti išsamų reagavimo į incidentą planą

Didėjantis išpirkos reikalaujančių programų gaujų ir su jais susijusių modelių sudėtingumas kelia vis didesnę grėsmę pasauliniam kibernetiniam saugumui. Supratimas, kaip veikia šios operacijos, ir pasiruošimas joms taip, kaip ruošiamasi išmintingam įmonės konkurentui, gali būti raktas į priekį žingsniu priekyje.