Станет ли RaaS коммерциализированным? – Информационный век

В последние годы программа-вымогатель как услуга (RaaS) набирает все большую популярность. Подпитываемый организованными преступными группировками (ОПГ), многие из которых спонсируются государством и имеют в штате исследователей в области безопасности, рынок превратился в индустрию криптовалют с оборотом в миллиарды долларов.

RaaS предоставляет все инструменты, необходимые для проведения атаки с использованием программ-вымогателей, снижая барьер входа для злоумышленников: от похитителей и загрузчиков вредоносного ПО до фишинговых сервисов, помогающих с распространением, доступом к информации и инструментам последующей эксплуатации. Однако теперь есть основания полагать, что рыночные силы снижают отдачу и вытесняют основных игроков.

Начнем с того, что мы наблюдаем децентрализацию ОПГ, которые сейчас становятся все более фрагментированными в попытке уклониться от усилий правоохранительных органов. Эта децентрализация не обязательно ослабляет RaaS. LockBit, которая была расформирована в ходе операции «Кронос», а ее лидер, назначенный и санкционированный Великобританией, США и Австралией, все еще восстанавливается. С тех пор ее инструменты были опубликованы, что, несомненно, стало ударом для группы, но все это заставило операторов RaaS снизить свой авторитет. Lockbit, когда-то печально известный своим накоплением 91 миллион долларовкак теперь сообщается, требует менее 1 миллиона долларов за вымогательство.

Падение доходности, но рост атак

В целом аналогичная история, с Программы-вымогатели, вымогательство и экосистема киберпреступности В отчете NCSC отмечается, что 45-процентное сокращение выкупа, которое обычно получали группы, теперь снизилось из-за возросшей конкуренции со стороны других групп RaaS. Брокерам начального доступа (IAB), которые покупают и продают информацию в средах, готовых к взлому, также приходится снижать цены и продавать больше. Это имеет побочный эффект от увеличения количества атак: Управление комиссара по информации (ICO) отмечает, что на атаки программ-вымогателей пришлось 11 процентов всех раскрытий информации в 2023 году (по сравнению с 8 процентами в 2022 году, 7 процентами в 2021 году и 7 процентами в 2021 году). 5 процентов в 2020 году).

Малый и средний бизнес особенно подвержен атакам программ-вымогателей, поскольку им не хватает надежной защиты и глубоких карманов, как у их более крупных конкурентов. Они также склонны в значительной степени полагаться на стороннее программное обеспечение, поэтому часто становятся жертвами атак в цепочке поставок, таких как Подвинь это уязвимость в программном обеспечении для передачи файлов, столь успешно использованная цокать. Кроме того, за безопасностью с меньшей вероятностью будет следить специальная группа или даже отдельный человек, в то время как осведомленность персонала может быть низкой, а соблюдение политики – слабым.

Такие группы, как Lockbit, Clop и Alphv/BlackCat, а также относительный новичок. 8база быстро воспользовались этими уязвимостями, но очень сложно определить, насколько успешными они были, поскольку МСП часто решают заплатить выкуп, а не рисковать простоем или регуляторными последствиями раскрытия информации. Фактически, группы пригрозили предать огласке информацию о том, что они не раскроют информацию о том, останутся ли выкупы невыплаченными; В ноябре компания Alphv/BlackCat подала жалобу в Комиссию по ценным бумагам и биржам (SEC) против MeridianLink из-за того, что она не раскрыла информацию о нарушении, которое они совершили. И оплата, похоже, снова становится популярной: 48 процентов компаний заявили, что не будут платить выкуп по сравнению с 57 процентами в прошлом году, согласно данным Исследование нарушений кибербезопасности 2024 г..

Но стоит ли платить выкуп? Все доказательства указывают на обратное. ICO заявил, что это не считается «надлежащей мерой» для восстановления личных данных, и считает, что компания потеряла контроль над этими данными, что ставит их в нарушение таких правил, как GDPR. Более того, Программы-вымогатели: исследование стоимости бизнеса, 2024 г. показывает, что организации с такой же вероятностью могут снова стать жертвами. Из 84 процентов организаций, которые заплатили, 78 процентов пострадали снова, и только 47 процентов увидели, что их данные были возвращены им без каких-либо гарантий, что данные не всплывут снова в даркнете.

Демократизирующий эффект GenAI

Но для малого и среднего бизнеса есть и более плохие новости, поскольку коммерциализация RaaS также приведет к тому, что ОПГ обратятся к более эффективным способам окупаемости атак, а это означает GenerativeAI. НКСК предупредил что эта технология приведет к увеличению объема и воздействия атак в течение следующих двух лет, поскольку она позволит менее квалифицированным операторам осуществлять эффективный доступ и сбор информации, а также улучшать таргетинг. Это вполне может оказаться разрушительным для бизнес-модели RaaS, особенно для IAB, и может привести к тому, что RaaS станет частью развивающегося криминального рынка GenAI как услуга.

Тем не менее, NCSC также заявляет, что программы-вымогатели в значительной степени успешны из-за плохой кибергигиены, такой как проведение регулярного резервного копирования, сегментация сети, обучение по вопросам безопасности и разработка методов обнаружения. Обнаружение угроз и реагирование на инциденты (TDIR) также жизненно важны для быстрого обнаружения и реагирования на атаки программ-вымогателей, и они больше не находятся за пределами досягаемости малого и среднего бизнеса. Например, управление инцидентами и событиями безопасности нового поколения (SIEM) предлагает поиск угроз и ценообразование на основе узлов, а не объемов данных, чтобы обеспечить предсказуемость затрат, в то время как те, у кого нет собственных ресурсов, могут выбрать управляемое обнаружение и реагирование (MDR).

Также важно, чтобы организации следили за тем, как они выполняют обнаружение угроз. Традиционно для обнаружения нарушений использовались известные индикаторы компрометации (IOC), но принятие подхода, ориентированного на обнаружение тактик, методов и процедур (TTP), является более устойчивым, поскольку позволяет выявлять методы злоумышленника и новые новые угрозы. Такие TTP отображаются с помощью таких платформ, как MITRE ATT&CK, и могут использоваться для разработки сценариев, используемых технологией Security Orchestration Automation and Response (SOAR), которая в сочетании с SIEM может автоматизировать реагирование. Эта технология гарантирует, что атаки не просто обнаруживаются, но и распределяются по приоритетам, а SOAR может дать рекомендации по возможным вариантам исправления и восстановления, чтобы помочь бизнесу восстановиться.

RaaS, несомненно, трансформируется в ответ на давление правоохранительных органов и рынка, но это не сокращение атак, а просто их переориентация, и мы можем ожидать дальнейшей демократизации рынка в рамках GenAI. В конечном итоге атаки станут еще более целенаправленными, поэтому крайне важно, чтобы малые и средние предприятия прислушивались к советам NCSC и улучшали свою кибергигиену и возможности TDIR, чтобы не стать следующей жертвой.

Кристиан Хаве — технический директор Логпойнт.

Читать далее

Зачем беспокоиться о программах-вымогателях? Рост числа атак с вымогательством, требующих «малых усилий» – Энди Золло, региональный вице-президент Imperva в регионе EMEA, обсуждает растущую угрозу атак на предприятия с вымогательством без программ-вымогателей.