The Shadow Pandemic: Pericolele prezente și viitoare ale ransomware-ului pentru corporații

În mijlocul luptei continue împotriva COVID-19, guvernele și întreprinderile globale se confruntă cu o altă amenințare virală, una de la care nimeni nu este imun. Atacurile ransomware au escaladat în ultimii doi ani până la punctul în care Interpol le consideră acum o pandemie la nivel mondial. Într-un apel urgent la acțiune emis la jumătatea anului 2021, Jurgen Stock, secretarul general al organizației globale de securitate, a declarat că lupta împotriva ransomware-ului a devenit o sarcină prea mare pentru ca orice organizație sau industrie să o facă singură. Fără un răspuns la nivel global, a spus el, nimic nu poate stopa creșterea exponențială a crimelor ransomware.

În octombrie, Consiliul de Securitate Națională de la Casa Albă a convocat un summit virtual global de securitate cibernetică, iar cele 30 de națiuni participante s-au angajat să formeze o coaliție asemănătoare NATO concentrată pe apărarea cibernetică. Dar experții consultați de Toptal spun că și liderii corporativi trebuie să se angajeze în lupta împotriva ransomware-ului.

„Trebuie să fie mai mult decât o grămadă de guverne și organizații internaționale, cum ar fi Interpol”, VS Subrahmanian, lider mondial în cercetarea securității cibernetice și combaterea terorismului și profesor și membru al facultății la Institutul Roberta Buffett pentru Afaceri Globale de la Universitatea Northwestern. , spune Toptal Insights. Prevenirea ransomware trebuie să „includă companii mari și trebuie să includă oamenii care se gândesc la aceste lucruri foarte profund, cum ar fi cercetătorii independenți sau academicieni”.

Atacurile ransomware au escaladat până la punctul în care Interpol le consideră acum o pandemie la nivel mondial.

Încetinirea creșterii ecosistemului ransomware și apărarea economiei globale vor proteja companiile atât acum, cât și în viitor. Nici măcar companiile cu liste de verificare a securității cibernetice standard nu sunt imune la amenințarea actuală a ransomware-ului. Iar liderii corporativi care cred că își pot cumpăra calea de ieșire dintr-un atac ar putea fi deranjați să afle că doar 8% dintre cei care plătesc hackerii își primesc toate datele înapoi.

„În acest moment, atacatorii își dezvoltă în mod constant strategiile pentru a evita sau depăși apărarea, așa că aceasta este o luptă constantă”, spune Subrahmanian, care a co-fondat SentiMetrix, o companie de știință a datelor și analiză socială care colaborează cu agențiile guvernamentale din SUA, companiile Fortune 500. și universități de top. „Numărul de atacuri este în creștere și toate întreprinderile sunt amenințate.”

Starea actuală a jocului

Trecerea bruscă la lucrul la distanță și dependența crescută de cloud computing în timpul închiderii din 2020 din cauza COVID-19 a dezvăluit punctele slabe ale rețelelor multor companii și a creat mai multe puncte de intrare pentru programe malware - programe software rău intenționate care permit hackerilor să blocheze datele unei organizații, să le elimine din computerele companiei și ține-l ostatic pe servere externe.

Suma totală plătită de către organizațiile americane atacatorilor de ransomware sa dublat între 2019 și iunie 2021, potrivit estimărilor Rețelei de aplicare a infracțiunilor financiare (FinCen) a Departamentului Trezoreriei SUA. Plata medie de răscumpărare cerută fiecărei victime a explodat, de asemenea, de la puțin 1 milion de dolari în 2019 la peste 5 milioane de dolari în 2020, potrivit Unit 42, un grup global de cercetare a amenințărilor și analiză a malware-ului deținut de firma de securitate cibernetică Palo Alto Networks.

Într-unul dintre cele mai devastatoare atacuri din istoria recentă, hackerii au forțat oprirea furnizării de benzină către o mare parte a coastei de est a SUA timp de cinci zile în 2021, până când Colonial Pipeline Co. a plătit o răscumpărare de 4,4 milioane de dolari. Aproximativ în aceeași perioadă, gigantul de asigurări CNA din Chicago a plătit atacatorilor ransomware 40 de milioane de dolari, stabilind un nou nivel maxim pentru un atac individual.

La sfârșitul anului 2021, liderul global de soluții software de HR Ultimate Kronos Group a fost lovit de un atac care i-a lăsat pe marii angajatori să găsească modalități alternative de a-și plăti lucrătorii – cu două săptămâni înainte de sărbătorile de Crăciun. Suma de răscumpărare cerută nu a fost făcută publică, dar este probabil să fie masivă, având în vedere că UKG a raportat câștiguri de 3,3 miliarde de dolari în 2021.

Creșterea exponențială a profiturilor infractorilor atrage mai mulți oportuniști din întreaga lume. China este cunoscută a fi un hotspot de criminalitate cibernetică; Alte țări active pentru hackeri includ Brazilia, Polonia, Iran, India, Statele Unite, Rusia și Ucraina.

Atacurile ransomware de astăzi sunt din ce în ce mai nemiloase

Atacurile ransomware urmau o procedură foarte simplă: „Ai fi atacat. Unele dintre fișierele dvs. vor fi criptate. Ar trebui să plătiți o răscumpărare în Bitcoin pentru a recupera acele fișiere”, spune Subrahmanian. Aceste tipuri de atacuri au început la sfârșitul anilor 1980, când virușii informatici au fost distribuiți pe dischete unor victime nebănuite, care ar trebui să trimită numerar la căsuțe poștale anonime pentru a-și debloca computerele. Pe măsură ce afacerile globale s-au mutat online, la fel și schemele.

De-a lungul anilor, organizațiile și-au dat seama că backupul frecvent al fișierelor pe hard disk-uri externe sau servere cloud neutralizează amenințarea blocării datelor. „Deci, ceea ce au făcut actorii amenințărilor ransomware a fost să-și schimbe modus operandi”, spune Subrahmanian. „Când efectuează un atac, nu doar criptează datele tale. Ei fură și o parte din el.”

Folosind datele furate, hackerii folosesc acum până la patru tipuri de extorcare în timpul atacurilor. Primul este criptarea datelor victimei și exfiltrarea (eliminarea) pe un server controlat de criminalul cibernetic. Al doilea este amenințarea de a dezvălui public secretele de proprietate ale organizației sau informațiile care ar putea afecta reputația companiei. Un al treilea tip de extorcare implică amenințarea cu un atac Denial of Service (DOS), care închide site-urile web ale unei organizații publice.

Acestea sunt atacuri cibernetice cu adevărat agresive, iar oamenii care le efectuează au mai multă putere decât statele-națiune. —Austin Dimmer, expert DevSecOps

Un nou, al patrulea tip de extorcare de ransomware – așa-numita „extorcare externă” – a apărut în 2020, într-un atac inedit de acest fel împotriva unei companii private care conduce 25 de clinici de sănătate mintală în Finlanda. Nu numai că atacatorii au cerut bani pentru ca compania să poată recâștiga accesul la sistemele sale și să evite publicarea datelor sale interne, infractorii au extorcat și zeci de mii de pacienți individuali, amenințând că vor face public notele confidențiale ale terapeutului și înregistrările de tratament dacă nu au făcut-o. plătiți în medie 200 de euro fiecare.

„Acestea sunt atacuri cibernetice cu adevărat agresive, iar băieții care au comis aceste atacuri au acum mai multă putere decât statele-națiune”, a spus Austin Dimmer pentru Toptal Insights. Un expert în DevSecOps (dezvoltare, securitate și operațiuni) care a construit și gestionat rețele securizate pentru Comisia Europeană, Lego și Publicis Worldwide, Dimmer și-a văzut partea sa din munca infractorilor cibernetici. „Sunt pur și simplu fără remuscări și nu arată milă.”

O rețea complexă face atacatorii greu de prins

Natura descentralizată și complexă a pieței de ransomware face prinderea atacatorilor incredibil de dificilă. Rețeaua de oameni care comit un singur atac depășește cu mult un singur dezvoltator de software rău intenționat care creează malware-ul. Dezvoltatorii rareori efectuează atacuri ei înșiși. Mai degrabă, își aruncă mărfurile pe dark web pentru cumpărare sau închiriere. În acel moment, distribuitorii contractează cu dezvoltatorii dreptul de a implementa software-ul și de a efectua atacuri.

Apoi, odată ce o răscumpărare este plătită, o rețea de spălători de bani de criptomonede se intensifică, curățând fondurile și distribuind profiturile înapoi dezvoltatorului(lor), distribuitorului(i) și altor actori.

Chiar și atunci când atacatorii ransomware sunt găsiți și reținuți, restituirea bănească pentru victime este în general minimă. În cazul Colonial Pipeline, de exemplu, FBI a reușit să urmărească doar tranzacțiile cu criptomonede pentru a recupera aproximativ jumătate din răscumpărarea de 4,4 milioane de dolari plătită.

Prezicerea și prevenirea atacurilor viitoare

Cu puține speranțe de a găsi infractorii și fondurile de răscumpărare după finalizarea unui atac ransomware, Subrahmanian se concentrează pe predicție și prevenire. El și echipa sa de la Northwestern dezvoltă în prezent un sistem predictiv care poate anticipa tipul și momentul viitoarelor atacuri ransomware înainte ca datele să fie compromise.

Software-ul său folosește inteligența artificială pentru a urmări comunicațiile și tendințele de pe dark web și social media pentru a identifica noile malware dezvoltate și pentru a nota când este promovat către potențialii distribuitori.

Subrahmanian își propune să identifice nu doar când, ci și cum vor încerca hackerii să se infiltreze în sisteme. Descoperirile sale inițiale au arătat că dintre miile de posibile vulnerabilități care sunt identificate în listele de verificare de securitate și de către consultanți, hackerii vizează doar 9,3% dintre punctele slabe. Aceasta înseamnă că organizațiile pot pierde 90% din eforturile lor de securitate IT pe protecții greșite.

Deși este aproape imposibil să anticipăm acțiunile grupurilor și ale indivizilor anonimi de hacking care sunt răspândite la nivel global, monitorizarea comunicațiilor agregate semnalate pentru conexiuni la criminalitatea cibernetică poate indica zonele de amenințare în creștere. La fel ca urmărirea fluxului piețelor financiare pentru a prezice tendințe, Subrahmanian speră că observarea pieței largi a activității de ransomware îi va ajuta pe cercetători să recunoască malware-ul emergent și potențialele sale ținte, astfel încât organizațiile să poată lua măsuri proactive.

Modalități inovatoare în care sectorul privat poate ajuta la combaterea criminalității cibernetice

Fără genul de prognoză fiabilă pe care echipa lui Subrahmanian încearcă să o creeze, linia frontului este încă un loc chinuitor pentru organizații. Dar aceste patru strategii îi pot ajuta pe liderii companiei să lupte chiar acum:

Reduceți profiturile atacatorilor de ransomware

Dacă atacurile ransomware continuă să ofere zile de plată uriașe infractorilor cibernetici, Dimmer consideră că majoritatea eforturilor guvernamentale și de aplicare a legii sunt sortite eșecului. Pur și simplu, există prea multe oportunități de profit, argumentează el, mai ales având în vedere că alte astfel de oportunități economice ar putea să nu existe în unele dintre țările în care se află hackerii.

Pentru a slăbi acest factor economic, companiile ar trebui să ia în considerare adoptarea de reguli interne împotriva plății răscumpărărilor și să sprijine legislația care ar face plata răscumpărării ilegală, spun Subrahmanian și Ismael Peinado, directorul de tehnologie al Toptal. „Gândește-te doar de ce avem aceste atacuri. Pentru că atacatorii primesc banii. Și de ce se înrăutățește? Pentru că ei continuă să primească banii”, spune Peinado. „De ce nu plătim răscumpărare oamenilor care intră în bănci și iau ostatici? Pentru același motiv."

Poate părea controversat să criminalizeze acțiunile întreprinse de victimele ransomware, dar Subrahmanian observă că companiile care plătesc infractorii cibernetici pentru a-și salva datele pot încălca deja legea internațională dacă atacatorii provin din țări cu sancțiuni internaționale împotriva lor sau sunt afiliați cu organizații care sponsorizează terorismul. Un raport privind plățile în criptomonede către hackeri care a urmărit țările de destinație a plăților în criptomonede pentru ransomware a arătat că cel puțin 15% dintre plăți au ajuns în mâinile unor entități interzise, ​​încălcând legile internaționale.

În plus, plata nu garantează că hackerii își vor ține partea de târg. Potrivit unui sondaj recent efectuat de firma de securitate cibernetică Sophos a peste 5.000 de lideri IT din întreaga lume, organizațiile care au plătit au primit în medie doar 65% din datele lor înapoi. Doar 8% dintre victime și-au putut recupera toate fișierele.

Concentrați-vă pe SecOps în loc de liste de verificare și audituri externe

Liderii tehnologici care încearcă să-și protejeze companiile folosesc adesea liste de verificare a celor mai bune practici de securitate, investesc în cel mai recent software de securitate și angajează auditori de securitate scumpi pentru a testa vulnerabilitățile rețelei. Din păcate, Peinado – un lider global în securitate cibernetică cu 20 de ani de experiență în lucrul cu organizații guvernamentale, startup-uri și companii mari, cu o creștere mare – spune că aceasta este abordarea greșită.

Urmărirea listelor de verificare și certificări și concentrarea pe simpla conformitate cu reglementările pot devora resursele IT ale unei instituții, creând în același timp un fals sentiment de securitate în rândul conducerii corporative. Cu punctele suplimentare de intrare în sisteme și dependența de cloud computing, obținerea accesului la rețele nu mai este la fel de dificilă cum a fost cândva, spune el. Cu toate acestea, firmele de securitate petrec nenumărate ore verificând vulnerabilitățile din rețele care ar putea să nu fie niciodată ținta hackerilor. „La sfârșitul zilei, ei își pierd atenția asupra a ceea ce fac hackerii adevărați, și anume că, dacă vă asigurați o cale de intrare în casă, ei găsesc doar o altă modalitate de a intra”, spune el.

În schimb, Peinado recomandă liderilor tehnologici să integreze securitatea direct în operațiunile de inginerie și să elimine ciclul constant de testare și corecție. Aceste tipuri de operațiuni de securitate, denumite DevSecOps sau SecOps, integrează securitatea direct în operațiunile de dezvoltare software ale unei companii și promovează un mediu de răspunsuri rapide la noile amenințări, spune el.

De exemplu, atunci când o nouă funcție sau caracteristică a site-ului web al unei companii este construită și lansată public, apare un nou set de vulnerabilități pentru hackeri. Într-un ciclu de lucru tradițional, dezvoltatorii ar crea funcțiile noului site web într-un siloz și apoi le-ar trimite pentru testare de către experți interni (și uneori externi) în securitate. Securitatea ar fi apoi corectată și pusă peste vulnerabilitățile găsite după fapt.

Într-un mediu SecOps, inginerii și dezvoltatorii care construiesc site-ul sau funcționalitatea stau alături de un inginer de securitate pentru a se asigura că nivelul adecvat de securitate este integrat pe măsură ce produsul este dezvoltat. Această abordare integrată îi face pe dezvoltatorii SecOps mai conștienți și responsabili într-un mod care pur și simplu nu este posibil în procedurile mai tradiționale, spune Peinado.

Valorificați talentul contingent de securitate cibernetică

Dimmer, care lucrează cu clienții ca parte a rețelei de talent pentru dezvoltatori Toptal, spune că primește reacții mixte atunci când încearcă să introducă punctul de vedere SecOps în procesele clienților, adesea din cauza lipsurilor de competențe ale echipelor IT interne — sistemele devin mai dificil de utilizat pe măsură ce le faci mai sigure. Succesul înseamnă nu doar să existe sistemele potrivite, ci și să ai personal instruit care să le folosească, spune el.

Angajarea unor roluri tehnologice de mare valoare, cum ar fi inginerii de securitate, continuă să fie o problemă pentru companii. Aproape 1 din 10 organizații intervievate pentru un raport privind starea operațiunilor de securitate de către TechBeacon a spus că lipsa talentului calificat a fost provocarea nr. 1 în domeniul securității cibernetice în 2021 – și aproape 30% au spus că este printre primele trei obstacole ale lor.

Talentele tehnologice de prim rang pot fi angajate prin intermediul rețelelor contingente, cum ar fi Toptal, pentru a ajuta la completarea acestor lacune. Dezvoltatorii în șanțuri și liderii tehnologici precum Dimmer au fost la mare căutare de zeci de ani, dar sunt și mai mult acum, din cauza penuriei masive de lucrători în securitate cibernetică. Asociația de Securitate a Sistemelor Informaționale a estimat un decalaj de 4 milioane de profesioniști în industrie în 2019, iar sondajul său asupra liderilor IT din 2021 a constatat că decalajul s-a mărit de atunci.

Unii lideri corporativi pot ezita să folosească talentul extern pentru cele mai sensibile proiecte de securitate, cum ar fi includerea freelancerilor în tranșeele SecOps. Dar externalizarea unei anumite părți a operațiunilor de securitate către talent extern este, de fapt, deja norma: mai mult de jumătate dintre organizațiile chestionate de TechBeacon au raportat că folosesc o combinație de resurse interne și externe pentru a-și aborda funcțiile de securitate cibernetică.

Viitorul luptei împotriva criminalității cibernetice

Până acum, software-ul AI de avertizare timpurie de la Subrahmanian s-a dovedit a fi 70% eficient în prezicerea atacurilor ransomware în modelele experimentale, spune el. Dacă testarea continuă să meargă bine, el speră să publice previziuni pentru atacurile din lumea reală începând cu jumătatea anului 2022.

Cercetările sale se concentrează, de asemenea, pe decalajul dintre momentul în care sunt identificate vulnerabilități în software și când patch-urile software și actualizările de securitate sunt disponibile pe scară largă pentru public. Descoperirile inițiale din această cercetare arată că aproape jumătate dintre atacurile malware au loc în această perioadă, care, în medie, durează aproximativ 132 de zile. Această perioadă extinsă de vulnerabilitate face ca căutarea unui model predictiv eficient să fie și mai critică pentru oprirea hackerilor la apariția unor noi amenințări.

Între timp, Big Tech își intensifică. Google s-a angajat să cheltuiască 10 miliarde de dolari în următorii cinci ani pentru a ajuta la securizarea lanțului de aprovizionare cu software și pentru a extinde utilizarea sistemelor zero-trust, cadre de securitate care necesită ca toți utilizatorii interni și externi să fie autentificați în mod continuu. Microsoft oferă servicii tehnice în valoare de 150 de milioane de dolari pentru a ajuta guvernele locale din SUA să își modernizeze apărarea. Și Amazon s-a angajat să înceapă să ofere publicului același curs de conștientizare a securității pe care îl oferă angajaților săi și să facă gratuită autentificarea în doi pași pentru toți clienții Amazon Web Services (AWS).

Combaterea ransomware-ului ca o amenințare în continuă evoluție va lua un sat global, spune Subrahmanian, iar companiile – mari și mici – trebuie să facă parte din el.

Înrudit: Răsfoiți directorul de abilități pentru dezvoltatori Toptal pentru SecOps Talent