Pandemia cieni: obecne i przyszłe zagrożenia ze strony oprogramowania ransomware dla korporacji

W trakcie toczącej się walki z COVID-19 światowe rządy i firmy stoją w obliczu kolejnego zagrożenia wirusowego – takiego, na które nikt nie jest odporny. Ataki ransomware nasiliły się w ciągu ostatnich dwóch lat do tego stopnia, że ​​Interpol uważa je teraz za ogólnoświatową pandemię. W pilnym wezwaniu do działania wydanym w połowie 2021 r. Jurgen Stock, sekretarz generalny globalnej organizacji bezpieczeństwa, powiedział, że zwalczanie oprogramowania ransomware stało się zadaniem zbyt dużym, by jakakolwiek organizacja lub branża mogła je wykonać samodzielnie. Powiedział, że bez globalnej odpowiedzi nic nie może powstrzymać gwałtownego wzrostu przestępczości związanej z oprogramowaniem ransomware.

W październiku Rada Bezpieczeństwa Narodowego Białego Domu zwołała globalny szczyt wirtualnego cyberbezpieczeństwa, a 30 uczestniczących państw zobowiązało się do utworzenia koalicji podobnej do NATO, skupionej na cyberobronie. Jednak eksperci, z którymi konsultował się Toptal, twierdzą, że liderzy korporacji również muszą zaangażować się w walkę z oprogramowaniem ransomware.

„To musi być coś więcej niż tylko kilka rządów i organizacji międzynarodowych, takich jak Interpol”, VS Subrahmanian, światowy lider w badaniach nad cyberbezpieczeństwem i zwalczaniu terroryzmu oraz profesor i pracownik naukowy w Instytucie Roberta Buffett ds. Globalnych na Northwestern University , mówi Toptal Insights. Zapobieganie ransomware musi „obejmować duże firmy i ludzi myślących o tych sprawach bardzo głęboko, takich jak niezależni badacze lub badacze akademiccy”.

Ataki ransomware nasiliły się do tego stopnia, że ​​Interpol uważa je teraz za ogólnoświatową pandemię.

Spowolnienie wzrostu ekosystemu oprogramowania ransomware i obrona globalnej gospodarki ochroni firmy zarówno teraz, jak iw przyszłości. Nawet firmy z listami kontrolnymi cyberbezpieczeństwa o złotym standardzie nie są odporne na dzisiejsze zagrożenie ze strony oprogramowania ransomware. A liderzy korporacji, którzy wierzą, że mogą się wykupić przed atakiem, mogą być zaniepokojeni, gdy dowiadują się, że tylko 8% płacących hakerom odzyskuje wszystkie swoje dane.

„Obecnie napastnicy nieustannie rozwijają swoje strategie unikania lub przezwyciężania mechanizmów obronnych, więc jest to ciągła bitwa”, mówi Subrahmanian, który jest współzałożycielem SentiMetrix, firmy zajmującej się badaniem danych i analizą społeczną, która współpracuje z agencjami rządowymi USA, firmami z listy Fortune 500. i wiodących uczelni. „Liczba ataków rośnie, a wszystkie przedsiębiorstwa są zagrożone”.

Obecny stan rzeczy

Nagłe przejście na pracę zdalną i zwiększone uzależnienie od przetwarzania w chmurze podczas zamknięcia COVID-19 w 2020 r. ujawniło słabości w sieciach wielu firm i stworzyło więcej punktów wejścia dla złośliwego oprogramowania — złośliwego oprogramowania, które pozwala hakerom zablokować dane organizacji, usunąć je z komputery firmy i trzymaj je jako zakładników na zewnętrznych serwerach.

Według szacunków Financial Crimes Enforcement Network (FinCen) w okresie od 2019 r. do czerwca 2021 r. łączna kwota, jaką amerykańskie organizacje zapłaciły napastnikom oprogramowania ransomware, wzrosła ponad dwukrotnie. Według Unit 42, globalnej grupy zajmującej się badaniami nad zagrożeniami i analizą złośliwego oprogramowania, której właścicielem jest firma zajmująca się cyberbezpieczeństwem Palo Alto Networks, wzrosła również średnia opłata okupu żądana od każdej ofiary, z zaledwie 1 miliona dolarów w 2019 roku do ponad 5 milionów dolarów w 2020 roku.

W jednym z najbardziej wyniszczających ataków w najnowszej historii hakerzy wymusili odcięcie dostaw benzyny do znacznej części wschodniego wybrzeża USA na pięć dni w 2021 r., dopóki firma Colonial Pipeline Co. nie zapłaciła 4,4 miliona dolarów okupu. Mniej więcej w tym samym czasie gigant ubezpieczeniowy z Chicago CNA zapłacił atakującym ransomware 40 milionów dolarów, ustanawiając nowy rekord dla pojedynczego ataku.

Pod koniec 2021 r., globalny lider w zakresie oprogramowania HR, Ultimate Kronos Group, został trafiony atakiem, który sprawił, że główni pracodawcy zaczęli szukać alternatywnych sposobów płacenia swoim pracownikom — na dwa tygodnie przed świętami Bożego Narodzenia. Kwota żądanego okupu nie została podana do publicznej wiadomości, ale prawdopodobnie będzie ogromna, biorąc pod uwagę, że UKG odnotowało zarobki w wysokości 3,3 miliarda dolarów w 2021 roku.

Wykładniczy wzrost zysków przestępców przyciąga coraz więcej oportunistów z całego świata. Wiadomo, że Chiny są gorącym punktem cyberprzestępczości; Inne kraje aktywne dla hakerów to Brazylia, Polska, Iran, Indie, Stany Zjednoczone, Rosja i Ukraina.

Dzisiejsze ataki ransomware są coraz bardziej bezwzględne

Ataki ransomware polegały na bardzo prostej procedurze: „Byłeś zaatakowany. Niektóre z twoich plików zostaną zaszyfrowane. Aby odzyskać te pliki, musiałbyś zapłacić okup w Bitcoinach” — mówi Subrahmanian. Tego typu ataki rozpoczęły się pod koniec lat 80., kiedy wirusy komputerowe były dystrybuowane na dyskietkach do niczego niepodejrzewających ofiar, które musiały wysyłać pieniądze do anonimowych skrytek pocztowych, aby odblokować swoje komputery. W miarę jak globalny biznes przeniósł się do sieci, zmieniły się również schematy.

Z biegiem lat organizacje zdały sobie sprawę, że częste tworzenie kopii zapasowych plików na zewnętrznych dyskach twardych lub serwerach w chmurze neutralizuje zagrożenie zablokowaniem danych. „Więc to, co zrobili aktorzy atakujący ransomware, to zmiana ich sposobu działania” — mówi Subrahmanian. „Kiedy przeprowadzają atak, nie tylko szyfrują Twoje dane. Niektóre z nich też kradną”.

Wykorzystując skradzione dane, hakerzy regularnie stosują do czterech rodzajów wymuszeń podczas ataków. Pierwszym z nich jest szyfrowanie danych ofiary i eksfiltrowanie (usuwanie) ich na serwer kontrolowany przez cyberprzestępcę. Drugi to groźba publicznego ujawnienia zastrzeżonych tajemnic organizacji lub informacji, które mogą zaszkodzić reputacji firmy. Trzeci rodzaj wymuszeń polega na groźbie ataku typu Denial of Service (DOS), który powoduje zamknięcie publicznych witryn internetowych organizacji.

To są naprawdę agresywne cyberataki, a ludzie, którzy je przeprowadzają, mają większą władzę niż państwa narodowe. —Austin Dimmer, ekspert DevSecOps

Nowy, czwarty rodzaj wyłudzeń ransomware – tak zwany „wymuszenie zewnętrzne” – pojawił się w 2020 r. w wyniku pierwszego w swoim rodzaju ataku na prywatną firmę, która prowadzi 25 klinik zdrowia psychicznego w Finlandii. Napastnicy nie tylko żądali pieniędzy, aby firma mogła odzyskać dostęp do swoich systemów i uniknąć publikowania swoich wewnętrznych danych, przestępcy wyłudzali również dziesiątki tysięcy indywidualnych pacjentów, grożąc, że ujawnią publicznie poufne notatki terapeuty i dokumentację leczenia, jeśli tego nie zrobią. zapłacić średnio po 200 euro każdy.

„Są to naprawdę agresywne cyberataki, a ludzie, którzy je przeprowadzają, mają teraz większą władzę niż państwa narodowe”, mówi Austin Dimmer dla Toptal Insights. Jako ekspert w dziedzinie DevSecOps (rozwój, bezpieczeństwo i operacje), który zbudował i zarządzał bezpiecznymi sieciami dla Komisji Europejskiej, Lego i Publicis Worldwide, Dimmer widział swój udział w pracy cyberprzestępców. „Są po prostu bezlitosne i nie okazują litości”.

Złożona sieć sprawia, że ​​napastnicy są trudni do złapania

Zdecentralizowany i złożony charakter rynku oprogramowania ransomware sprawia, że ​​łapanie atakujących jest niezwykle trudne. Sieć ludzi, którzy dokonują pojedynczego ataku, wykracza daleko poza jednego twórcę złośliwego oprogramowania, który je tworzy. Deweloperzy rzadko sami przeprowadzają ataki. Raczej zrzucają swoje towary do ciemnej sieci w celu zakupu lub wynajęcia. W tym momencie dystrybutorzy zawierają umowy z programistami na prawo do wdrażania oprogramowania i przeprowadzania ataków.

Następnie, po zapłaceniu okupu, pojawia się sieć osób zajmujących się praniem pieniędzy w kryptowalutach, które usuwają fundusze i rozdzielają zyski z powrotem do deweloperów, dystrybutorów i innych podmiotów.

Nawet jeśli napastnicy ransomware zostaną wykryci i zatrzymani, zwrot pieniędzy dla ofiar jest na ogół minimalny. Na przykład w sprawie Colonial Pipeline FBI było w stanie prześledzić transakcje kryptowalutowe tylko w celu odzyskania około połowy z 4,4 miliona dolarów wpłaconego okupu.

Przewidywanie przyszłych ataków i zapobieganie im

Mając niewielką nadzieję na wyśledzenie przestępców i pieniędzy na okup po zakończeniu ataku ransomware, Subrahmanian koncentruje się na przewidywaniu i zapobieganiu. On i jego zespół w Northwestern opracowują obecnie system predykcyjny, który może przewidywać rodzaj i czas przyszłych ataków ransomware, zanim dane zostaną naruszone.

Jego oprogramowanie wykorzystuje sztuczną inteligencję do śledzenia komunikacji i trendów w ciemnej sieci i mediach społecznościowych w celu identyfikowania opracowywanego nowego złośliwego oprogramowania i notowania, kiedy jest promowane wśród potencjalnych dystrybutorów.

Subrahmanian ma na celu określenie nie tylko, kiedy, ale także w jaki sposób hakerzy będą próbować infiltrować systemy. Jego wstępne odkrycia wykazały, że spośród tysięcy możliwych luk w zabezpieczeniach, które zostały zidentyfikowane na listach kontrolnych bezpieczeństwa i przez konsultantów, hakerzy atakują tylko 9,3% słabych punktów. Oznacza to, że organizacje mogą marnować 90% swoich wysiłków w zakresie bezpieczeństwa IT na niewłaściwe zabezpieczenia.

Chociaż prawie niemożliwe jest przewidzenie działań anonimowych grup hakerskich i osób rozproszonych po całym świecie, monitorowanie zbiorczej komunikacji oznaczonej jako powiązanie z cyberprzestępczością może wskazywać na rosnące obszary zagrożenia. Podobnie jak obserwowanie przepływu rynków finansowych w celu przewidywania trendów, Subrahmanian ma nadzieję, że obserwowanie szerokiego rynku aktywności oprogramowania ransomware pomoże badaczom rozpoznać pojawiające się złośliwe oprogramowanie i jego potencjalne cele, aby organizacje mogły podjąć proaktywne kroki.

Innowacyjne sposoby, w jakie sektor prywatny może pomóc w walce z cyberprzestępczością

Bez tego rodzaju wiarygodnych prognoz, jakie próbuje stworzyć zespół Subrahmanian, linie frontu wciąż są wstrząsającym miejscem dla organizacji. Ale te cztery strategie mogą pomóc liderom firm w walce już teraz:

Zmniejsz zyski atakujących ransomware

Jeśli ataki ransomware będą nadal przynosić cyberprzestępcom ogromne korzyści, Dimmer uważa, że ​​większość wysiłków rządu i organów ścigania jest skazana na niepowodzenie. Jest po prostu zbyt wiele okazji do zysku, argumentuje, zwłaszcza biorąc pod uwagę, że inne tego typu możliwości ekonomiczne mogą nie istnieć w niektórych krajach, w których mają siedzibę hakerzy.

Aby osłabić tę ekonomiczną siłę napędową, firmy powinny rozważyć przyjęcie wewnętrznych przepisów przeciwko płaceniu okupów i wspierać przepisy, które sprawią, że płacenie okupu będzie nielegalne, mówią Subrahmanian i Ismael Peinado, dyrektor ds. technologii w Toptal. — Pomyśl tylko, dlaczego mamy te ataki. Ponieważ napastnicy dostają pieniądze. A dlaczego jest coraz gorzej? Ponieważ wciąż dostają pieniądze”, mówi Peinado. „Dlaczego nie zapłacimy okupu ludziom, którzy wchodzą do banków i biorą zakładników? Z tego samego powodu."

Kryminalizacja działań podejmowanych przez ofiary oprogramowania ransomware może wydawać się kontrowersyjna, ale Subrahmanian zauważa, że ​​firmy, które płacą cyberprzestępcom za uratowanie ich danych, mogą już łamać prawo międzynarodowe, jeśli atakujący pochodzą z krajów objętych międzynarodowymi sankcjami lub są powiązane z organizacjami sponsorującymi terroryzm. Raport dotyczący płatności kryptowalutami dla hakerów, którzy śledzili kraje docelowe płatności kryptowalutami za oprogramowanie ransomware, wykazał, że co najmniej 15% płatności trafiło w ręce zbanowanych podmiotów, z naruszeniem prawa międzynarodowego.

Co więcej, płacenie nie gwarantuje, że hakerzy dotrzymają swojej części umowy. Zgodnie z niedawnym badaniem przeprowadzonym przez firmę Sophos zajmującą się cyberbezpieczeństwem wśród ponad 5000 liderów IT na całym świecie, organizacje, które zapłaciły, odzyskały średnio tylko 65% swoich danych. Tylko 8% ofiar było w stanie odzyskać wszystkie swoje pliki.

Skoncentruj się na SecOps zamiast na listach kontrolnych i audytach zewnętrznych

Liderzy technologii próbujący chronić swoje firmy często stosują listy kontrolne najlepszych praktyk w zakresie bezpieczeństwa, inwestują w najnowsze oprogramowanie zabezpieczające i zatrudniają drogich audytorów bezpieczeństwa do testowania podatności sieci. Niestety Peinado — globalny lider w dziedzinie cyberbezpieczeństwa z 20-letnim doświadczeniem w pracy z organizacjami rządowymi, start-upami i dużymi, szybko rozwijającymi się firmami — twierdzi, że to złe podejście.

Pogoń za listami kontrolnymi i certyfikatami oraz skupienie się na prostej zgodności z przepisami może pochłonąć zasoby IT instytucji, jednocześnie tworząc fałszywe poczucie bezpieczeństwa wśród kierownictwa firmy. Z dodatkowymi punktami wejścia do systemów i oparciem się na cloud computing, uzyskanie dostępu do sieci nie jest już tak trudne jak kiedyś – mówi. Jednak firmy zajmujące się bezpieczeństwem nadal spędzają niezliczone godziny na sprawdzaniu luk w sieciach, które mogą nigdy nie być celem hakerów. „Pod koniec dnia tracą koncentrację na tym, co robią prawdziwi hakerzy, co oznacza, że ​​jeśli zabezpieczysz jedno wejście do domu, po prostu znajdą inny sposób na włamanie” – mówi.

Zamiast tego Peinado zaleca liderom technologii zintegrowanie bezpieczeństwa bezpośrednio z operacjami inżynieryjnymi i zrezygnowanie z ciągłego cyklu testowania i łatania. Mówi, że tego typu operacje bezpieczeństwa, określane jako DevSecOps lub SecOps, integrują zabezpieczenia bezpośrednio z operacjami rozwoju oprogramowania firmy i wspierają środowisko zwinnych reakcji na nowe zagrożenia.

Na przykład, gdy nowa funkcja lub funkcja witryny internetowej firmy jest tworzona i uruchamiana publicznie, pojawia się nowy zestaw luk w zabezpieczeniach dla hakerów. W tradycyjnym cyklu pracy programiści tworzyli funkcje nowej witryny w silosie, a następnie poddawali je testom wewnętrznym (a czasem zewnętrznym) ekspertom ds. bezpieczeństwa. Następnie zabezpieczenia zostałyby załatane i nałożone na luki znalezione po fakcie.

W środowisku SecOps inżynierowie i programiści tworzący witrynę lub funkcjonalność zasiadają obok inżyniera ds. bezpieczeństwa, aby zapewnić odpowiedni poziom bezpieczeństwa podczas opracowywania produktu. To zintegrowane podejście sprawia, że ​​programiści SecOps są bardziej świadomi i odpowiedzialni w sposób, który jest po prostu niemożliwy w przypadku bardziej tradycyjnych procedur, mówi Peinado.

Wykorzystaj warunkowy talent w zakresie cyberbezpieczeństwa

Dimmer, który pracuje z klientami w ramach sieci talentów deweloperskich Toptal, mówi, że spotyka się z mieszanymi reakcjami, gdy próbuje wprowadzić punkt widzenia SecOps do procesów klientów, często z powodu luk w umiejętnościach w wewnętrznych zespołach IT — systemy stają się trudniejsze w użyciu, gdy czynisz je bardziej bezpiecznymi. Sukces oznacza nie tylko posiadanie odpowiednich systemów, ale także posiadanie przeszkolonego personelu do ich obsługi, mówi.

Obsadzanie stanowisk o wysokiej wartości technologicznej, takich jak inżynierowie ds. bezpieczeństwa, nadal jest bolesnym punktem dla firm. Prawie 1 na 10 organizacji ankietowanych na potrzeby raportu State of Security Operations opracowanego przez TechBeacon stwierdziła, że ​​brak wykwalifikowanego talentu był wyzwaniem nr 1 w zakresie cyberbezpieczeństwa w 2021 r. – a prawie 30% stwierdziło, że jest to jedna z trzech największych przeszkód.

Najlepsze talenty technologiczne można zatrudniać za pośrednictwem sieci awaryjnych, takich jak Toptal, aby pomóc wypełnić te luki. Deweloperzy i liderzy technologiczni, tacy jak Dimmer, od dziesięcioleci cieszą się dużym zainteresowaniem, ale teraz jest jeszcze bardziej z powodu ogromnego niedoboru pracowników ds. cyberbezpieczeństwa. Stowarzyszenie Bezpieczeństwa Systemów Informatycznych oszacowało, że w 2019 r. luka w branży wyniosła 4 miliony profesjonalistów, a badanie przeprowadzone wśród liderów IT w 2021 r. wykazało, że od tego czasu luka się pogłębiła.

Niektórzy liderzy korporacyjni mogą niechętnie wykorzystywać talenty z zewnątrz do najbardziej wrażliwych projektów związanych z bezpieczeństwem, takich jak włączanie freelancerów do okopów SecOps. Jednak zlecanie pewnej części operacji związanych z bezpieczeństwem zewnętrznym talentom jest już normą: ponad połowa organizacji ankietowanych przez TechBeacon zgłosiła, że ​​do rozwiązywania swoich funkcji związanych z cyberbezpieczeństwem wykorzystuje kombinację zasobów wewnętrznych i zewnętrznych.

Przyszłość walki z cyberprzestępczością

Jak dotąd, oprogramowanie sztucznej inteligencji firmy Subrahmanian do wczesnego ostrzegania okazało się w 70% skuteczne w przewidywaniu ataków ransomware w modelach eksperymentalnych. Jeśli testy nadal będą przebiegać pomyślnie, ma nadzieję, że opublikuje prognozy dotyczące rzeczywistych ataków, począwszy od połowy 2022 roku.

Jego badania skupiają się również na rozbieżności między zidentyfikowaniem luk w oprogramowaniu a momentem, w którym łatki oprogramowania i aktualizacje zabezpieczeń są powszechnie dostępne. Wstępne wyniki tego badania pokazują, że prawie połowa ataków szkodliwego oprogramowania ma miejsce w tym okresie, który trwa średnio około 132 dni. Ten wydłużony okres podatności sprawia, że ​​jego poszukiwanie skutecznego modelu predykcyjnego ma jeszcze większe znaczenie dla powstrzymywania hakerów w przypadku pojawienia się nowych zagrożeń.

W międzyczasie rozwija się Big Tech. Firma Google zobowiązała się wydać 10 miliardów dolarów w ciągu najbliższych pięciu lat na zabezpieczenie łańcucha dostaw oprogramowania i rozszerzenie wykorzystania systemów o zerowym zaufaniu, czyli ram bezpieczeństwa, które wymagają ciągłego uwierzytelniania wszystkich użytkowników wewnętrznych i zewnętrznych. Microsoft oferuje 150 milionów dolarów na usługi techniczne, aby pomóc władzom lokalnym w USA w modernizacji ich systemów obronnych. A Amazon zobowiązał się do rozpoczęcia oferowania tego samego szkolenia w zakresie świadomości bezpieczeństwa, jakie zapewnia swoim pracownikom, oraz do bezpłatnego dwuetapowego uwierzytelniania dla wszystkich klientów Amazon Web Services (AWS).

Jak mówi Subrahmanian, walka z oprogramowaniem ransomware jako stale ewoluującym zagrożeniem zajmie globalną wioskę, a firmy — duże i małe — muszą być tego częścią.

Powiązane: Przeglądaj katalog umiejętności programistów Toptal w poszukiwaniu talentów SecOps