Hãy coi chừng rằng các nhóm ransomware có thể hoạt động như các doanh nghiệp 'hợp pháp'

Ransomware đã trở thành một trong những mối đe dọa mạng lớn nhất mà các tổ chức phải đối mặt vào năm 2022. Tác động của các cuộc tấn công ransomware ngày càng mở rộng, không chỉ ảnh hưởng đến hệ thống máy tính và dữ liệu mà còn ảnh hưởng đến thế giới vật lý của chúng ta.

Ngoài ra, nhu cầu tiền chuộc tăng cao hơn theo cấp số nhân so với những năm trước. Trong những năm gần đây, chúng ta đã chứng kiến sự gia tăng của “Ransomware-as-a-Service” (RaaS) do khả năng thu lợi nhuận của các tổ chức tội phạm này.

Các doanh nghiệp có thể giảm thiểu tiềm năng và tác động của RaaS bằng cách triển khai giải pháp quản lý quyền truy cập và nhận dạng mạnh mẽ, đồng thời cho phép xác thực đa yếu tố trên tất cả các tài khoản của họ.

REvil (hay còn gọi là Sodinokibi) là băng nhóm tội phạm Ransomware-as-a-Service chịu trách nhiệm cho một số cuộc tấn công ransomware lớn nhất trong lịch sử, bao gồm cả sự cố ransomware JBS và chuỗi cung ứng Kaseya.

Vào ngày 14 tháng 1 năm 2022, Nga thông báo đã bắt giữ 14 thành viên của REvil. Động thái này được đưa ra theo yêu cầu của các nhà chức trách Mỹ, những người đã làm việc với các đối tác quốc tế như Europol để trấn áp các hoạt động của nhóm tội phạm này.

Các vụ bắt giữ này diễn ra sau thông báo vào tháng 11 từ Europol rằng bảy vụ bắt giữ các chi nhánh của REvil đã được thực hiện trong những tháng trước đó .

Làm thế nào để các băng đảng ransomware tối ưu hóa mô hình kinh doanh của họ?

RaaS với tư cách là một dịch vụ dựa trên đăng ký tiếp tục phát triển phổ biến vì nó cung cấp một rào cản thấp cho tội phạm mạng xâm nhập vào hoạt động kinh doanh ransomware và trở thành một chi nhánh. Nghiêm trọng hơn, mô hình này cũng cho phép các chi nhánh phi kỹ thuật thực hiện các cuộc tấn công ransomware thành công.

Mô hình kinh doanh của các nhóm RaaS khác với các cuộc tấn công ransomware truyền thống trong quá khứ. Tội phạm ransomware truyền thống hoạt động theo một nhóm gắn kết, cả hai đều xây dựng phần mềm độc hại và thực hiện cuộc tấn công.

Trong mô hình RaaS, ít nhất hai bên thiết lập mối quan hệ kinh doanh : nhà phát triển và đơn vị liên kết.

Nhà phát triển viết chương trình độc hại và chi nhánh thực hiện cuộc tấn công và thu tiền chuộc. Ngoài các bên này, các nhà nghiên cứu bảo mật đã chứng kiến một bên thứ ba hỗ trợ trong các cuộc tấn công RaaS - được gọi là “Nhà cung cấp dịch vụ”.

“Nhà cung cấp dịch vụ” giúp công ty liên kết ở các giai đoạn khác nhau của cuộc tấn công bằng ransomware, bắt đầu từ việc lựa chọn nạn nhân, cung cấp cách khai thác và trong các cuộc đàm phán.

Mô hình kinh doanh này giúp hoạt động của REvil không bị ảnh hưởng từ những thắng lợi gần đây của các cơ quan thực thi pháp luật. Các dấu hiệu ban đầu từ các nhà nghiên cứu bảo mật chứng minh rằng hoạt động của REvil là không thay đổi . Hoạt động liên tục này ngụ ý một trong hai tình huống:

• Các vụ bắt giữ chỉ tác động đến 'những người trung gian' trong hệ thống phân cấp của băng nhóm tội phạm

  
  

• Mô hình ransomware-as-a-service của REvil đủ linh hoạt để tồn tại sự gián đoạn từ cơ quan thực thi pháp luật

  
  

Những phát hiện này khớp với một báo cáo chung về ransomware do FBI, CISA, NCSC, ACSC và NSA ban hành. Theo bảng báo cáo:

• RaaS ngày càng trở nên chuyên nghiệp hóa, với các mô hình và quy trình kinh doanh hiện đã được thiết lập tốt.

  
  

• Mô hình kinh doanh phức tạp hóa việc phân bổ vì có nhiều mạng lưới phức tạp gồm các nhà phát triển, chi nhánh và dịch giả tự do.

  
  

• Các nhóm ransomware chia sẻ thông tin nạn nhân với nhau, đa dạng hóa mối đe dọa cho các tổ chức mục tiêu.

  
  

Sự kết nối giữa Ransomware-as-a-Service và Access-as-a-Service

Một trong những "Nhà cung cấp Dịch vụ" cần thiết nhất cho các tổ chức tội phạm RaaS là Access-as-a-Service, được gọi là Nhà môi giới Truy cập Ban đầu (IAB). IAB cung cấp quyền truy cập bí mật vào mạng được yêu cầu trong giai đoạn đầu của cuộc tấn công bằng ransomware.

Vì thời gian là tiền bạc đối với mọi hoạt động kinh doanh, thậm chí là tội phạm, nền kinh tế ransomware-as-a-service dựa vào IAB để giảm nhu cầu do thám kéo dài hoặc thời gian để tìm phương pháp thâm nhập.

Các nhà môi giới truy cập ban đầu cung cấp quyền truy cập dưới dạng dịch vụ với một mức giá và những tên tội phạm này cung cấp cho những kẻ tấn công ransomware một cách dễ dàng vào mạng công ty, mở đường cho các cuộc tấn công gây thiệt hại thực sự.

Thị trường Access-as-a-Service là nguồn gốc của sự ngắt kết nối giữa một vi phạm ban đầu của công ty và các cuộc tấn công tiếp theo sau nhiều ngày hoặc thậm chí vài tháng sau đó.

IAB lấy nguồn thông tin xác thực mà họ bán từ nhiều nơi khác nhau. Các thông tin đăng nhập này có thể nằm trong miền công cộng, được mua từ những kẻ tấn công khác, được tìm thấy từ việc khai thác lỗ hổng bảo mật hoặc từ các vi phạm khác.

Một trong những dịch vụ chính mà các nhà môi giới truy cập cung cấp là xác thực thông tin xác thực . Bất kể nguồn thông tin xác thực này là gì, IAB luôn cố gắng xác minh xem chúng có hoạt động hay không bằng cách thử thủ công hoặc sử dụng các tập lệnh chuyên dụng có thể thực hiện việc này trên quy mô lớn.

Theo nghiên cứu của diễn đàn an ninh mạng KELA , các IAB bán quyền truy cập ban đầu với giá 4600 đô la và doanh số bán hàng mất từ một đến ba ngày để hoàn tất. Sau khi quyền truy cập đã được mua, phải mất đến một tháng để một cuộc tấn công ransomware diễn ra. Ít nhất, năm nhà khai thác ransomware nói tiếng Nga được biết đến đang sử dụng IAB: LockBit, Avaddon, DarkSide, Conti và Nintyyte.

DarkSide nổi tiếng với một cuộc tấn công vào Colonial Pipeline gây ra sự hoảng loạn mua nhiên liệu ở Hoa Kỳ. Ngay trước khi Super Bowl bắt đầu, San Francisco 49ers đã trở thành nạn nhân mới nhất của Nintyyte , người cũng đặt tên cho tổ chức này trên một trang web rò rỉ.

Các chiến lược được đề xuất để bảo vệ chống lại RaaS là gì?

Mặc dù các phương pháp hay nhất về bảo mật như có khả năng sao lưu hiệu quả, phân đoạn mạng, theo dõi email độc hại và che chắn người dùng khỏi ảnh hưởng của chúng là những biện pháp phòng ngừa tuyệt vời, nhưng các chiến lược phòng thủ của công ty không nên giới hạn ở những bước này.

Việc triển khai các biện pháp kiểm soát quản lý truy cập và nhận dạng hiệu quả và hiệu quả được hỗ trợ bởi các chính sách truy cập mạnh mẽ có thể ngăn chặn đáng kể hành vi vi phạm thông tin xác thực ban đầu của IAB cho phép một cuộc tấn công ransomware tiếp theo.

• Giám sát các vi phạm thông tin công khai. Những vi phạm này sẽ giương cao cờ đỏ để tìm kiếm các dấu hiệu vi phạm trong mạng của bạn.

  
  

• Nếu bạn nghi ngờ một số thông tin đăng nhập của mình bị lộ, hãy kích hoạt đặt lại mật khẩu cho tất cả người dùng.

  
  

• Hãy xem xét kỹ lưỡng việc đặt xác thực đa yếu tố (MFA) cho tất cả nhân viên, đối tác và nhà cung cấp của bạn. Không giới hạn MFA chỉ cho các tài khoản đặc quyền của bạn vì bất kỳ nhân viên nào cũng là mục tiêu tiềm năng.

  
  

  Là Giám đốc Tiếp thị Sản phẩm, Quản lý Danh tính & Truy cập (IAM) tại Thales, Danna Bethlehem gợi ý rằng các doanh nghiệp nên hướng tới các phương pháp xác thực đa yếu tố hiện đại như FIDO2. Cô ấy nói, "FIDO2 cung cấp xác thực đa yếu tố, không cần mật khẩu", với "mức độ bảo mật cao trong khi giảm bớt trải nghiệm đăng nhập cho nhân viên."

  
  

• Giám sát hành vi của người dùng bằng cách tìm kiếm những điều mà nhân viên của bạn không nên làm.

  
  

• Cân nhắc sử dụng các phương pháp hay nhất tiêu chuẩn về chính sách mật khẩu, như các chính sách do NIST hoặc ENISA phát triển.

  
  

• Giả sử nhân viên của bạn đã mất mật khẩu cho bọn tội phạm, và do đó, bạn đã bị xâm phạm và bị lộ. Sau đó, bạn sẽ bắt buộc phải triển khai một dạng kiến trúc không tin cậy và tư thế bảo mật trên mạng của bạn.

  
  

Tội phạm ransomware đang cải tiến mô hình kinh doanh của họ, hiện đang ngày càng dựa trên việc mua quyền truy cập vào các mạng mục tiêu. Do đó, thị trường tiếp cận như một dịch vụ đang tăng lên một cách nổi bật và chuyên môn hóa.

Nếu một công ty có thể tự bảo vệ mình khỏi hành vi trộm cắp thông tin xác thực, thì công ty đó có vị trí tốt hơn để tự bảo vệ mình trước bất kỳ cuộc tấn công ransomware nào trong tương lai. Chiến lược phòng thủ tốt nhất là thiết lập danh tính và quản lý truy cập mạnh mẽ và cho phép xác thực đa yếu tố trên tất cả các tài khoản của bạn trong khuôn khổ chính sách bảo mật không tin cậy.