
Piktybiški interneto veikėjai žino paslaugos prasmę. Antradienį paskelbtoje ataskaitoje apie skaitmenines grėsmes 2024 m. pirmąjį pusmetį pasaulinė AI kibernetinio saugumo įmonė nustatė, kad daugelis per tą laikotarpį paplitusių grėsmių buvo plačiai naudojamos kenkėjiškos programinės įrangos kaip paslaugos (MaaS) įrankiai.
„Darktrace“ ataskaitoje, paremtoje bendrovės klientų diegimo duomenų analize, buvo motyvuota, kad „MaaS“ populiarumą lėmė pelningos „MaaS“ ekosistemų pajamos, pagrįstos prenumerata, taip pat maža kliūtis patekti į rinką ir didelė paklausa.
„MaaS“ rinka, siūlydama iš anksto supakuotą „plug-and-play“ kenkėjišką programą, leido net nepatyrusiems užpuolikams vykdyti potencialiai trikdančias atakas, nepaisant jų įgūdžių lygio ar techninių galimybių, priduriama pranešime.
Ataskaitoje prognozuojama, kad MaaS artimiausioje ateityje išliks pagrindinė grėsmės kraštovaizdžio dalis. Šis atkaklumas pabrėžia prisitaikantį MaaS padermių pobūdį, kuris gali pakeisti jų taktiką, metodus ir procedūras (TTP) iš vienos kampanijos į kitą ir apeiti tradicines saugos priemones, pažymėjo jis.
„Tikimasi, kad kenkėjiškų programų kaip paslaugos paslaugų sudėtingumas padidės dėl galingesnių atakų įrankių paklausos, todėl kibernetinio saugumo specialistams kyla iššūkių ir reikalaujama tobulinti gynybos strategijas“, – sakė Callie Guenther, kibernetinių grėsmių tyrimų vyresnioji vadovė. „Critical Start“, nacionalinė kibernetinio saugumo paslaugų įmonė.
„Šie MaaS pasiūlymai pristatys naujus ir prisitaikančius atakų vektorius, tokius kaip pažangios sukčiavimo schemos ir polimorfinės kenkėjiškos programos, kurios nuolat vystosi, kad išvengtų aptikimo“, – sakė ji „TechNewsWorld“. „Kenkėjiškos programinės įrangos kaip paslaugos atsiradimas yra permainingas iššūkis kibernetinio saugumo pasaulyje. Ji demokratizavo elektroninius nusikaltimus ir išplėtė grėsmių sritį.
Pasenusios kenkėjiškos programos, klestinčios per šiuolaikines atakas
„Darktrace“ ataskaitoje pažymima, kad daugelis „MaaS“ įrankių, tokių kaip „Amadey“ ir „Raspberry Robin“, ankstesniais metais naudojo kelias kenkėjiškų programų šeimas. Tai rodo, kad nors MaaS padermės dažnai pritaiko savo TTP iš vienos kampanijos į kitą, daugelis padermių išlieka nepakitusios, tačiau ir toliau sėkmingai pasiekia. Ji pridūrė, kad kai kurios saugumo komandos ir organizacijos vis dar nesugeba apsaugoti savo aplinkos.
„Nuolatinė senų kenkėjiškų programų padermių sėkmė rodo, kad daugelis organizacijų vis dar turi didelių pažeidžiamumų savo saugumo aplinkoje“, – teigė Frankas Downsas, Niujorko įmonės kibernetinio saugumo įmonės BlueVoyant vyresnysis aktyvių paslaugų direktorius.
„Tai gali būti dėl pasenusių sistemų, nepataisytos programinės įrangos arba visapusiškų saugumo priemonių trūkumo“, – sakė jis „TechNewsWorld“. „Šių senesnių grėsmių išlikimas rodo, kad kai kurios organizacijos gali nepakankamai investuoti į kibernetinio saugumo apsaugą arba nesilaiko geriausios sistemos priežiūros ir atnaujinimo praktikos.
Rogeris Grimesas, „KnowBe4“ gynybos evangelistas, saugumo supratimo mokymų teikėjas Klirvoteryje, Fla., pridūrė, kad dauguma kenkėjiškų programų aptikimo programinės įrangos nėra tokia gera, kaip teigia jos pardavėjai.
„Organizacijos turi žinoti, kad negali pasikliauti kenkėjiškų programų aptikimu, nes jos yra net beveik 100 % efektyvios, ir turi atitinkamai reaguoti bei gintis“, – sakė jis „TechNewsWorld“. „Vien programinė įranga nuo kenkėjiškų programų neišgelbės daugumos organizacijų. Visoms organizacijoms reikia kelių apsaugos priemonių keliuose sluoksniuose, kad būtų galima geriausiai aptikti ir apsiginti.
Dvigubai panirę skaitmeniniai Desperadai
Kita ataskaitoje pateikta išvada buvo ta, kad „dvigubas turto prievartavimas“ tapo paplitęs tarp išpirkos reikalaujančių programų. Dvigubo turto prievartavimo būdu piktybiniai veikėjai ne tik užšifruos savo taikinio duomenis, bet ir išfiltruos neskelbtinus failus, gresia paskelbti, jei išpirka nebus sumokėta.
„Dvigubas turto prievartavimas prasidėjo 2019 m. lapkritį ir per kelerius metus pasiekė daugiau nei 90 % visų išpirkos reikalaujančių programų, naudojančių šią strategiją“, – sakė Grimesas.
„Tai populiaru, nes net aukos, turinčios tikrai gerą atsarginę kopiją, nepaneigia visos rizikos“, – tęsė jis.
„Bėgant laikui aukų, mokančių išpirkas, procentas labai sumažėjo, tačiau tie, kurie moka, daug kartų moka daug daugiau, kad apsaugotų pavogtus konfidencialius duomenis, kad jie nebūtų paskelbti viešai arba panaudoti prieš juos ateityje to paties užpuoliko išpuoliui. ” jis pasakė.
Matthew Corwin, pasaulinės saugumo, atitikties ir tyrimų įmonės „Guidepost Solutions“ generalinis direktorius, pridūrė, kad dėl dvigubo turto prievartavimo grėsmės duomenų praradimo prevencijos programos poreikis tampa dar svarbesnis organizacijoms. „Visų galinių taškų ir kitų debesies išteklių DLP diegimas turėtų apimti duomenų klasifikavimą, politikos vykdymą, blokavimą realiuoju laiku, karantinavimą ir įspėjimus“, – sakė jis „TechNewsWorld“.
Krašto puolimas
„Darktrace“ taip pat pranešė, kad per pirmuosius šešis metų mėnesius kenkėjiški veikėjai toliau masiškai išnaudojo pažeidžiamumą pažangiuose infrastruktūros įrenginiuose, tokiuose kaip „Ivanti Connect Secure“, „JetBrains TeamCity“, „FortiClient Enterprise Management Server“ ir „Palo Alto Networks PAN-OS“.
Pradiniai šių sistemų kompromisai gali tapti tramplinu piktybiniams veikėjams, kad jie galėtų vykdyti tolesnę veiklą, pavyzdžiui, įrankių rinkimą, tinklo žvalgybą ir judėjimą į šoną, aiškinama pranešime.
„Pažeisdami kraštinius įrenginius, užpuolikai gali įgyti strateginę poziciją tinkle, leisdami jiems stebėti ir perimti duomenų srautą, kai jis eina per šiuos taškus“, – paaiškino Downs.
„Tai reiškia, kad kruopščiai išnaudojamas krašto įrenginys gali suteikti užpuolikams prieigą prie daugybės įmonės informacijos, įskaitant neskelbtinus duomenis, nepažeidžiant kelių vidinių sistemų“, – tęsė jis. „Tai ne tik daro ataką efektyvesnę, bet ir padidina galimą poveikį, nes kraštiniai įrenginiai dažnai tvarko didelius duomenų srautus į tinklą ir iš jo.
Morganas Wrightas, vyriausiasis saugumo patarėjas SentinelOne, galinių taškų apsaugos įmonės Mountain View mieste, Kalifornijoje, pridūrė: „Daugelis organizacijų greičiausiai atsilieka taisydami pažeidžiamus įrenginius, tokius kaip ugniasienės, VPN ar el. pašto šliuzai.
„Tai nepadeda, kai yra daug ir kritinių pažeidžiamumų“, – sakė jis „TechNewsWorld“. „Užpuolikams tai yra skaitmeninis šaudymo į žuvį statinėje atitikmuo.
„KnowBe“ „Grimes“ sutiko, kad krašto infrastruktūros įrenginių priežiūra dažnai yra vangi. „Deja, krašto įrenginiai dešimtmečius buvo vieni iš labiausiai nepataisytų įrenginių ir programinės įrangos mūsų aplinkoje“, – sakė jis. „Dauguma IT parduotuvių didžiąją dalį pataisymo pastangų skiria serveriams ir darbo stotims. Užpuolikai žiūri į kraštutinius įrenginius ir juos išnaudoja, nes mažiau tikėtina, kad jie bus pataisyti ir dažnai turi bendrų administracinių kredencialų.
DMARC pabaigos paleidimas
Išanalizavę 17,8 milijono el. laiškų, Darktrace tyrėjai taip pat išsiaiškino, kad 62% gali apeiti DMARC patvirtinimo patikras.
DMARC sukurtas siekiant patikrinti, ar el. laiškas yra iš domeno, iš kurio jis tvirtinamas, tačiau jis turi apribojimų. Sukčiai gali sukurti domenus, kurių pavadinimai yra artimi gerai žinomam prekės ženklui, ir DMARC juos. „Taigi tol, kol jie gali paslėpti netikrą domeną, kuris atrodo kaip panašus į aukas, jų el. laiškai bus tikrinami DMARC“, – paaiškino Grimesas.
„Naujausioje „Darktrace“ pusmečio grėsmių ataskaitoje pateikta nerimą kelianti statistika pabrėžia, kad organizacijos turi taikyti daugiasluoksnį požiūrį į el. pašto saugumą, įtraukiant pažangų dirbtinio intelekto pagrįstą anomalijų aptikimą ir elgesio analizę, papildančią tradicines saugumo priemones“, – pridūrė Stephenas Kowskis. SlashNext, kompiuterių ir tinklo saugos įmonės, Pleasantone, Kalifornijoje, CTO.
„Ši holistinė strategija gali padėti nustatyti ir sušvelninti sudėtingas sukčiavimo atakas, kurios išvengia DMARC ir kitų įprastų apsaugos priemonių“, – sakė jis „TechNewsWorld“. „Nuolat stebėdamos ir prisitaikydamos prie besikeičiančių grėsmių modelių, organizacijos gali žymiai pagerinti savo el. pašto saugos poziciją.
Droras Liweris, Tel Avive (Izraelis) įsikūrusios debesijos pagrindu veikiančios kibernetinio saugumo bendrovės „Coro“ įkūrėjas teigia, kad dauguma ataskaitos išvadų nurodo tą pačią priežastį. Cituodamas anksčiau šiais metais „Coro“ paskelbtą ataskaitą, jis pažymėjo, kad 73% saugos komandų pripažįsta, kad praleido arba ignoruoja svarbius įspėjimus.
„Per daug skirtingų įrankių, kurių kiekvieną reikia prižiūrėti, reguliariai atnaujinti ir stebėti, saugos komandos užsiima administravimu, o ne apsauga“, – sakė jis „TechNewsWorld“.
Tačiau Wrightas teigė, kad išvados gali rodyti didesnį pramonės trūkumą. „Kadangi visi pinigai išleidžiami kibernetiniam saugumui ir grėsmės, kurios ir toliau daugėja, kyla klausimas – ar pakankamai pinigų išleidžiame kibernetiniam saugumui, ar tiesiog išleidžiame juos netinkamose vietose? jis paklausė.