Занурення в індустрію кіберзлочинів. Як працює світ хакерів у 2023 році — дослідження Microsoft

У 2022 році програми-вимагачі стали загрозою національній безпеці для країн у різних куточках планети:

• У лютому хакери атакували дві компанії, через що перестали працювати системи обробки платежів сотень німецьких автозаправок.
• Наприкінці травня схожий напад на державні установи Коста-Рики призвів до оголошення надзвичайного стану в країні, адже зупинилася робота митниці, податкової та лікарень.
• У травні 2022 року через кіберзлочинців одна з найбільших авіакомпаній Індії була вимушена затримати та скасувати сотні рейсів.

Такі атаки та масштаб їхнього впливу — це наслідок індустріалізації кіберзлочинності. Хакери надають менш обізнаним колегам доступ до готових інструментів та інфраструктури, тим самим знижуючи рівень необхідної кваліфікації для нападів. Тож, за останні кілька років сфера відійшла від моделі, де одна «банда» розробляла та поширювала програму-вимагача, до моделі «Програма-вимагач як послуга» або Ransomware as a service (RaaS). Як це працює?

У RaaS одна група хакерів розробляє програми-вимагачі та надає їх у користування іншим кіберзлочинцям. Вони вже запускають атаки на потрібних їм жертв. Такий франчайзинг економіки кіберзлочинності значно розширив коло зловмисників, а також полегшив їм злам, викрадення даних та розгортання відповідних вірусних ПЗ.

Вплив таких кібератак також масштабувався, оскільки стандартною практикою у сфері стала монетизація доступу до даних жертв. Так, зловмисники розгортають програми-вимагачі у будь-якій мережі, яку змогли зламати. А далі цей доступ вони перепродають іншим організаціям на спеціальних вебмайданчиках та форумах.

Усе це спонукало еволюцію екосистеми кіберзлочинців, яка тепер прийняла вигляд пов’язаних між собою гравців з різними техніками, цілями та наборами навичок, які підтримують одне одного на всіх етапах кібератак.

Іноді у медіа відповідальними за чергову кібератаку називають конкретну хакерську групу. Утім, рідко трапляється, що за однією версією програми-вимагача стоїть лише одна наскрізна «банда». Натомість існують різні організації, які створюють вірус, зламують жертву, розгортають шкідливе ПЗ та вимагають викуп.

Тож, за версією Microsoft, структура кіберзлочинної економіки виглядає наступним чином:

1. Оператор RaaS — це організації, які розробляють та підтримують інструменти для роботи програм-вимагачів, зокрема розробників, які створюють корисне навантаження для шкідливого ПЗ, і платіжні вебпортали для спілкування з жертвами.
2. Програма (або синдикат) RaaS — це угода між оператором та афілійованою особою. Зазвичай такі RaaS-програми містять набір пропозицій з підтримки кібератаки, включаючи хостинг сайтів з вкраденою інформацією, переговори про розшифровку даних, тиск на жертв щодо оплати і послуги з проведення криптовалютних транзакцій.
3. Афілійовані особи — це, як правило, невеликі групи людей, які пов’язані з однією чи кількома програмами RaaS. Їхня роль полягає у зламі організацій та розгортанні корисних навантажень програми RaaS в ІТ-системах жертв. Кожна така афілійована особа має унікальні характеристики, наприклад, різні способи викрадання даних.
4. Брокери доступу — це посередники, які продають доступ до мережі іншим кіберзлочинцям або самі отримують доступ за допомогою вірусних кампаній, грубої сили або використання вразливостей.
5. Організації та приватні особи — це організації, які мають слабкі практики кібербезпеки, а тому наражаються на більший ризик викрадення їхніх мережевих облікових даних.

Індустрія кібербезпеки наразі детально вивчає, як побудовані етапи, які передують кібератакам, та як розмежована співпраця розробників шкідливого ПЗ та RaaS-операторів. Це важливо, адже така інформація допомагає знаходити все більш досконалі методи для захисту ІТ-мереж компаній від витоків даних.

Cybercrime as a service (CaaS) або ж кіберзлочинність як послуга — це повноцінна екосистема, яка містить у собі велику кількість онлайн-сервісів, форумів та платформ для обміну повідомленнями, що сприяють кіберзлочинам. Назвемо кілька особливостей галузі.

Географічне різноманіття. Завдяки такій розгалуженій системі кіберзлочинці можуть працювати у різних часових поясах та різними мовами, щоб досягти своїх цілей. Наприклад, один вебсайт CaaS адмініструється особою в Азії, підтримує операції в Європі та створює шкідливі облікові записи в Африці. Таке географічне різноманіття створює і юридичні складнощі для правоохоронців, які мають притягнути злочинців до відповідальності.

Гарна репутація. Злочинні компанії у CaaS-екосистемі також піклуються про свою репутацію, а тому вони застосовують аналітику для максимізації вигоди. Скажімо, вебсайти CaaS регулярно автоматизують доступ до зламаних акаунтів, які продають іншим кіберзлочинцям, щоб контролювати «якість своєї послуги». Так, вони припиняють продаж певних облікових записів щойно компанії-жертви виправляють свої вразливості або замінюють паролі. У результаті, покупці доступу до вкрадених даних можуть бути впевнені у «товарі».

Широкий спектр послуг. Кіберзлочинці постійно вдосконалюють свій сервіс, а тому збільшують кількість своїх послуг та полегшують роботу зі своїми інструментами. Це можна побачити, наприклад, на еволюції сервісів для фішингових атак. Посередники CaaS спрощують завантаження фішингових наборів або шкідливого ПЗ через спеціалізовані вебпанелі. Згодом продавці CaaS часто намагаються продати додаткові сервіси зловмисникам через інформаційну панель, наприклад, послуги з розсилання спаму та спеціалізовані списки отримувачів спаму на основі визначених атрибутів, включаючи географічне розташування, професію тощо.

Кібератаки за моделлю підписки. Сьогодні CaaS-організації пропонують свої послуги на основі передплати. Скажімо, так працюють DDoS-постачальники, які створюють та обслуговують ботнети, необхідні для цього типу атак. Кожен клієнт DDoS-підписки отримує зашифрований сервіс для підвищення операційної безпеки та один рік підтримки 24/7.

DDoS-підписка пропонує різні архітектури та методи атак, тому покупець просто обирає ресурс для атаки, а продавець надає доступ до масиву скомпрометованих пристроїв у своїй бот-мережі для проведення атаки. За даними Microsoft, вартість підписки на DDoS становить близько 500 доларів.

Аби захиститися від DDoS-атак, українські компанії можуть скористатися рішенням AntiDDos від Київстар. Цей інструмент автоматично виявляє відхилення у трафіку, що надходить до ресурсів клієнта, та очищує його.

У Microsoft проаналізували мільйони атак різних типів на своїх клієнтів та виявили три найпоширеніші причини злому ІТ-систем:

1. Слабкий контроль ідентифікації. Успішні кібератаки часто пов’язані з компрометацією таких систем ідентифікації, як Active Directory (AD). Це відбувається через те, що 88% постраждалих компаній не використовують найкращі практики безпеки AD та Azure AD. Через це RaaS-оператори отримують доступ до систем та можуть там залишатися довгий час.
2. Неефективність операційних процесів безпеки, що не лише створює умови для кібератаки, а й є причиною тривалого відновлення після неї. Так, 68% постраждалих організацій не мають ефективної автоматизованої системи керування вразливостями. Натомість спеціалісти з кібербезпеки часто виправляють проблеми вручну, що значно погіршує наслідки інциденту.
3. Відсутність ефективної стратегії захисту даних. Скажімо, 44% жертв кібератак не мали незмінних резервних копій постраждалих систем, а також адміністратори не мали резервних копій та планів відновлення критично важливих активів, таких як AD.

Щоб убезпечитися від кібератак різних рівнів, українські компанії мають впровадити комплексні рішення для захисту ІТ-інфраструктури. Наприклад, можна скористатися пакетом інструментів, які надає Київстар.

Дізнатися більше про ефективні інструменти для захисту вашої ІТ-інфраструктури можна на сайті. Залиште заявку, щоб фахівці Київстар зв’язалися з вами та підібрали оптимальне рішення саме для ваших бізнес-потреб.