Истории с Dark Web: Отслеживание подпольной экономики eCrime улучшает эффективность киберзащиты News
02.11.2023
Cisco acquires Splunk, but how do you convince Splunk customers that Cisco has advantages
01.11.2023
CrowdStrike provides 100% coverage according to the MITRE Engenuity ATT&CK® Evaluations: round 5
31.10.2023
Top 20 Shocking Data Breach Statistics for 2023
06.09.2023
Adversaries Can “Log In with Microsoft” through the nOAuth Azure Active Directory Vulnerability
06.09.2023
iIT Distribution is the official distributor of LogRhythm!
31.08.2023
Instant replication with NAKIVO Backup & Replication v10.10 Beta
03.08.2023
Effective communication: Email vs. Instant Messaging?
25.07.2023
Infinidat Expands Support for Hybrid Cloud Storage Deployments with InfuzeOS Cloud Edition
14.07.2023
Falcon Insight for ChromeOS: The Industry’s First Native XDR Offering for ChromeOS
03.06.2023
Opening new horizons: iIT Distribution is the official distributor of Gatewatcher
13.05.2023
Another revolution in cybersecurity from CrowdStrike: top 5 important things to know about Managed XDR (MXDR)
09.05.2023
GTB Technologies is the best solution in the DLP industry
04.04.2023
CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers
24.03.2023
Labyrinth Deception Platform v2.0.51: Release notes
23.03.2023
SIEM vs Log Management Systems: What you need to know before choosing
15.03.2023
CrowdStrike Falcon Named the Winner of the 2022 AV-TEST Award for Best MacOS Security Product
10.03.2023
CrowdStrike 2023 Global Threat Report: Resilient Businesses Fight Relentless Adversaries
10.03.2023
Threema Work App Update: Encrypted Group Calls Are Now Available on Android Devices
28.02.2023
CrowdStrike Ranked #1 in the IDC Worldwide Endpoint Security Market Shares Report for Third Time in a Row
21.02.2023
Picus Red Report 2023: The Top 10 Most Prevalent MITRE ATT&CK Techniques Used by Attackers
14.02.2023
On leadership in the sphere of high-end unified storage: An exclusive interview with Phil Bullinger, CEO of Infinidat
11.02.2023
Securing PostgreSQL from Cryptojacking Campaigns in Kubernetes
30.01.2023
What's New in NAKIVO Backup & Replication v10.8: Release Overview
16.01.2023
Success Story: Georgian Bank Achieves 100% Backup Success Rate with NAKIVO
12.01.2023
CrowdStrike Named a Leader in Frost & Sullivan’s 2022 Frost Radar for Cyber Threat Intelligence
12.12.2022
DDoS Attack Prevention and DDoS Protection Best Practices
21.11.2022
How Hackers Can Bypass Multi-Factor Authentication
08.11.2022
CrowdStrike Achieves Red Hat OpenShift Certification: Streamlining Visibility and Automating Protection for OpenShift
03.11.2022
Infinidat Recognized as a Leader in Gartner Magic Quadrant for Primary Storage – 5th Year in a Row
19.10.2022
New version of NetBrain Release 11: the key to reducing the cost of NetOps
13.10.2022
With security revenue surging, CrowdStrike wants to be a broader enterprise IT player
05.10.2022
CrowdStrike Announced the Acquisition of Reposify to Bolster Visibility and Reduce Risk Exposure of External Assets
22.09.2022
Kubernetes против Docker: в чем между ними разница?
16.09.2022
Infinidat расширяет функции NVMe/TCP для сред VMware
15.09.2022
Новые возможности InfiniBox от Infinidat: vVols репликация для VMware сред
02.09.2022
Индикаторы атак на основе искусственного интеллекта позволяют максимально быстро прогнозировать и останавливать угрозы
03.08.2022
Истории с Dark Web: Отслеживание подпольной экономики eCrime улучшает эффективность киберзащиты
22.07.2022
Развитие ботнетов и DDoS-атак
15.07.2022
Lookout обнаружила шпионское ПО для Android, развернутое в Казахстане
11.07.2022
Выявление и смягчение атак NTLM-ретрансляции, нацеленных на контроллеры домена Microsoft
20.06.2022
Что такое демократизация данных?
07.06.2022
Неизменные резервные копии: что вам нужно знать, чтобы защитить свои данные
22.05.2022
Украинские Киберактивисты Использовали Скомпрометированные Docker Honeypots Для Антироссийских Dos-Атак
06.05.2022
ЧТО НОВОГО В LABYRINTH DECEPTION PLATFORM: РЕЛИЗ 2.0.32
22.04.2022
PALO ALTO NETWORKS проинформировала об уязвимостях, которые могут разрешить злоумышленникам отключить платформу CORTEX XDR
15.04.2022
INSPUR ВТОРОЙ ГОД ПОДРЯД СТАНОВИТСЯ ОБРАЗЦОВЫМ ПОСТАВЩИКОМ CLOUD-OPTIMIZED ОБОРУДОВАНИЯ ПО ВЕРСИИ GARTNER HYPE CYCLE
08.10.2020
Intelligent IT Distribution взяла участь у Третьому щорічному Міжнародному Форумі «Кібербезпека - Захистимо Бізнес, Захистимо Держава»
29.09.2020
iITD - партнер форуму “Кібербезпека - захистимо бізнес, захистимо державу” 2020
24.09.2020
Компанія IIT Distribution отримала статус дистриб’ютора рішень NetBrain Technologies на території України
28.08.2020
Fal.Con 2020 від CrowdStrike
25.08.2020
Дотримання норм страхування кіберризиків
25.08.2020
Автоматично блокуйте скомпрометовані облікові записи з Lepide Active Directory Self Service 20.1
25.08.2020
Компанія Cossack Labs запрошує відвідати NoNameCon
22.07.2020
Підписання дистриб’юторської угоди з компанією Safe-T
21.07.2020
Міжнародна конференція: "Online Banking - Час інновацій!"
18.06.2020
Глобальний звіт про кіберзагрози 2020
11.06.2020
Четвер, 25 червня 2020 року. Не пропустіть!
05.05.2020
Анонс: нова версія Acra Enterprise забезпечує підвищену гнучкість для високонавантажених систем
13.04.2020
Lepide Remote Worker Monitoring Pack - легка платформа безпеки, яка гарантує негайний захист даних бізнесу протягом непередбаченого періоду віддаленої роботи.
12.04.2020
Забезпечення кібербезпеки для віддалених користувачів
08.04.2020
Labyrinth Technologies пропонує скористатися спеціальною пропозицією - ліцензія на 12 місяців за ціною 6 місяців.
07.04.2020
«CrowdStrike: дистанційна робота та ІТ-безпеку за часів кризи - скорочена ліцензійна програма на 3-6 місяців».
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень RedSeal Networks на території України.
23.03.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень Lepide на території України.
16.03.2020
Компанія iIT Distribution починає дистрибуцію рішень CrowdStrike на території України.
19.02.2020
20 лютого у Києві відбудеться щорічна конференція CISO DX DAY 2020
18.02.2020
Компанія iIT Distribution отримала статус дистриб’ютора рішень Instana на території України.
17.02.2020
Exabeam Security Intelligence Platform допомагає
Киберпреступники постоянно усовершенствуют свои методы, чтобы сломать защиту организаций и эффективно монетизировать свои усилия.
Исследовательская группа CrowdStrike Intelligence исследовала, как выросла частота и сложность атак программ-вымогателей за последний год. Оказалось, что количество утечек данных, связанных с программами-вымогателями, увеличилось на 82% в 2021 году по сравнению с 2020 годом; Кроме того, было обнаружено, что 62% атак осуществляются с помощью техники hands-on-keyboard, что еще раз указывает на то, что злоумышленники не перестают развивать навыки, необходимые для обхода устаревших решений безопасности и шантажировать жертв, угрожая осуществить целенаправленную утечку данных. Предлагаем выяснить, какие причины такого роста киберпреступности и как именно хакеры зарабатывают деньги?
Быстро растущая и прибыльная бизнес-модель на основе RaaS
Атаки с использованием программ-вымогателей – не новинка. В течение многих лет злонамеренные группы возлагались на компрометацию. Однако за последние 2-3 года их стратегия начала меняться в сторону бизнес-модели, основанной на сообществах хакеров, что стало возможным благодаря платформамransomware-as-a-service (RaaS), позволяющим мелким, менее продвинутым преступникам присоединиться к масштабной деятельности.
На вершине этой модели находится оператор, настраивающий платформу RaaS. Эта платформа выполняет многочисленные технические задачи, такие как упаковка программ-вымогателей по требованию, управление и контроль развернутых программ-вымогателей, криптография, извлечение данных, архивирование, онлайн-требование и другие.
Менее опытные киберпреступники с минимальными хакерскими знаниями могут присоединиться к этой деятельности после проверки; за это они получают от 70 до 80% уплаченного выкупа. Брокеры доступа помогают новым преступникам получить доступ к инфраструктуре потенциальной жертвы. А взаимодействие между всеми этими преступными субъектами — операторами RaaS, проверенными аффилированными лицами, брокерами доступа и другими участниками происходит через криминальные форумы, подпольные рынки и анонимные посты. CrowdStrike постоянно отслеживает эту среду и информирует своих пользователей об активности на рынке и форуме.
Брокеры доступа: как злоумышленники проникают в систему
Kill chain eCrime часто начинается с брокеров доступа – злоумышленников, получающих доступ к инфраструктуре организации, а затем продающих незаконно полученные учетные данные (или другие методы доступа) покупателям в подпольных сообществах.
Хакеры покупают скомпрометированные учетные данные, чтобы облегчить и сделать процесс проникновения в целевой организации более эффективным. Брокеры доступа продают широкий спектр типов доступа, включая логины финансовых счетов, данные аккаунтов деловой электронной почты, удаленный доступ к сетевым ресурсам и пользовательские эксплойты для ИТ-инфраструктуры.
Для публикации объявлений о скомпрометированных учетных данных и других методах доступа в подполье, брокеры доступа используют определенные ключевые слова и нацеливаются на специфические рынки. Однако их сообщения часто оставляют «хлебные крошки», позволяющие киберзащитникам выявить скомпрометированные учетные записи или риски инцидентов безопасности. Например, брокер доступа может указать такие атрибуты, как сведения о компании (размер, доход, отрасль), детали ИТ-инфраструктуры, зловредное программное обеспечение, которое использовалось для похищения учетных данных, или псевдоним брокера доступа.
На подпольных форумах существует огромное количество чатов. Falcon X Recon+, управляемая служба CrowdStrike, оказывает помощь командам безопасности, предлагая специальные знания для мониторинга и сортировки угроз, обнаруженных на этих форумах, от вашего имени. Эксперты CrowdStrike могут помочь организациям любого размера идентифицировать нежелательное раскрытие данных или такие угрозы, как похищение учетных записей и атаки, нацеленные на бренд.
Службы распространения: фактор, стимулирующий распространение Ransomware
Проведенный анализ кампаний по распространению программ-требителей таких групп, как Pinchy Spider (также известный как REvil),Wizard Spider (Conti) и Carbon Spider (DarkSide), показал, что операторы этих кампаний больше не работают в одиночку, в частности при компрометации активов и внедрении программ-вымогателей. Операторы Ransomware размещают объявления на подпольных форумах, чтобы набрать аффилированных лиц, которые помогут им распространять ransomware и делятся с ними прибылью.
Эти афилиаты используют предоставленную операторами инфраструктуру RaaS. После нацеливания и компрометации активов жертвы они запускают программы-вымогатели с платформы RaaS, устанавливают требование выкупа и получают от 70 до 80% от суммы выкупа. Жертв часто выбирают на основе вероятности того, что они смогут позволить себе выкуп; афилиаты часто рассчитывают выплаты выкупа на основе прибыли компании и ее влияния на бизнес, чтобы максимизировать свои доходы.
Операторы оказывают технические услуги в обмен на помощь аффилированных лиц в распространении программ-вымогателей. Они могут предоставить packager для создания специализированных программ-вымогателей, чтобы афилиаты могли распространять их через собственные каналы; управление криптографическими ключами; интернет-инфраструктуры для похищение и хранения данных. Они могут делиться платежными инструкциями по получению виртуальной валюты от жертв; секретными каналами связи, чтобы скрыть аффилированных лиц, которые общаются с жертвами; и даже сервисом поддержки, чтобы помочь жертвам оплатить выкуп. Эти услуги помогают злоумышленникам, которые не достаточно подкованы технически и получают доступ к совершенному передовому вредоносному программному обеспечению по низкой цене.
Аналитики CrowdStrike Intelligence обнаружили множество техник первичного доступа и горизонтального перемещения, которые используют аффилированные лица перед распространением ransomware. Изменяя способы распространения ransomware, злоумышленники могут найти новые пути обхода мер безопасности. Ниже приведены несколько примеров того, как злоумышленники получают начальный доступ:
- Покупка украденных учетных данных у брокеров доступа. Аффилированные лица часто используют подлинные учетные данные, чтобы закрепить позиции. Remote Desktop Protocol (RDP) является самым популярным способом доступа.
- Спам или социальная инженерия. Среди наиболее распространенных первичных векторов доступа.
- Сканирование уязвимостей и наборы эксплойтов. Эти наборы можно найти на различных форумах, они ориентированы на конкретное программное обеспечение или системы для доступа и установки дополнительного кода. Наборы эксплойтов могут быть соединены с фишинговыми кампаниями для повышения их эффективности.
- Использование загрузчиков и ботнетов. Загрузчики, часто являющиеся промежуточным этапом между фишинговыми кампаниями и развертыванием программы-вымогателя, используют вредоносные документы, такие как электронные таблицы с макросами, для загрузки и запуска вредоносного кода.
- Инструменты постэксплойта и "living off the land". Злоумышленники, получившие доступ к системе, исследуют сеть в поисках критически важных данных или программ, которые могут помочь в проведении атаки. Некоторые используют системные инструменты, такие как PSExec или сценарии PowerShell, чтобы оставаться незамеченными.
Понимание приемов злоумышленника может помочь улучшить вашу защиту. Организации должны знать, какие хакеры нацелены на их регион или отрасль, вербуют ли они аффилированных лиц и как распространяется их вредоносное программное обеспечение. Понимая злоумышленника и его инструменты, можно применить стратегию защиты, основанную на возможных угрозах.
Монетизация: как окупается киберпреступность
Как только ransomware развернута в среду жертвы, приобретение нужно распределить и монетизировать в других формах оплаты. Наблюдение за экосистемой киберпреступности предлагает новое понимание злоумышленников, их транзакции и оценка недавних компрометации – вся эта информация способствует пониманию, как деньги поступают в киберпреступность, и помогает укрепить стратегии безопасности.
Злоумышленники постоянно усовершенствуют свои методы монетизации, чтобы увеличить шансы на оплату. Их методы работают: отчеты Сети по борьбе с финансовыми преступлениями Министерства финансов США (FinCen) и Управления по контролю за иностранными активами (OFAC) подчеркивают, насколько прибыльными стали программы-вымогатели. По данным FinCen, стоимость подозрительной деятельности, связанной с ransomware, составила 590 миллионов долларов США за первые шесть месяцев 2021 года – это гораздо больше, чем 416 миллионов долларов США за весь 2020 год. Кроме того, команда CrowdStrike также отслеживает требования выкупа: в 2021 году по расчетам среднее требование составляло 6,1 миллиона долларов США, что на 36% больше, чем в 2020 году.
Если жертва отказывается платить выкуп, ее данные могут быть выставлены на аукцион злоумышленником, таким образом он все еще может получить деньги за них, продав другим лицам или хакерам.
Корпоративные данные представляют собой ценность для всех злоумышленников. Ведь данные можно легко монетизировать, и они станут причиной повышенного риска вашей организации, если к ним получат доступ другие субъекты. Киберзащитники должны лучше понимать поведение хакеров – и широкую экосистему eCrime – чтобы принимать более разумные решения по обеспечению защиты данных как наиболее ценного актива.
iIT Distribution обеспечивает передовые решения для надежной защиты ваших систем от различных типов угроз, в частности ransomware. Мы не только обеспечиваем поставки программного обеспечения и технического оборудования, но и предоставляем полный комплекс услуг по сопровождению и консультации. Если вас заинтересовало решение CrowdStrike, обращайтесь к нам через форму обратной связи на сайте и наши специалисты предоставят вам полную консультацию!
Back