Jak gangi ransomware werbują insiderów (i jak ich powstrzymać)

Oprogramowanie typu ransomware stanowi jedno z najbardziej niebezpiecznych zagrożeń w cyberprzestrzeni. Wraz ze wzrostem wartości danych, cyberprzestępcy zaczęli wykorzystywać ich przetrzymywanie jako metodę wymuszania dużych sum pieniędzy. Ataki te stają się coraz powszechniejsze, a niektóre grupy ransomware posuwają się nawet do werbowania pracowników firm, aby pomóc im w działaniach przestępczych.

Przedsiębiorstwa pragnące chronić się przed atakami ransomware muszą obecnie brać pod uwagę nie tylko zagrożenia zewnętrzne. Kolejny atak może nadejść z wewnątrz organizacji.

Dlaczego grupy ransomware angażują osoby z wewnątrz?

Angażowanie pracowników w przestępcze działania może wydawać się ryzykownym posunięciem, więc dlaczego grupy ransomware decydują się na takie działania? Odpowiedź tkwi w tym, że osoby z wewnątrz zwiększają szanse powodzenia ataków.

Wiele osób uważa, że osoby z wewnątrz stanowią większe zagrożenie niż zagrożenia zewnętrzne, ponieważ mają one już dostęp do poufnych danych. Niestety, wiele firm bagatelizuje zagrożenia wewnętrzne. W konsekwencji, pracownicy mogą okazać się bardzo pomocni dla grup ransomware, jeśli tylko uda się ich do tego przekonać. Zamiast przełamywać złożone zabezpieczenia, cyberprzestępcy mogą po prostu wysłać pracownikowi e-mail z plikiem do zainstalowania na firmowym komputerze.

Włamanie do firmy może być coraz trudniejsze, ze względu na rosnące zabezpieczenia. Z drugiej strony, manipulacja ludźmi jest równie łatwa jak dawniej. Werbowanie osoby z wewnątrz znacząco ułatwia przeprowadzenie skutecznego ataku ransomware, który często oznacza wysoki zysk.

Metody werbowania osób z wewnątrz

Aby skutecznie powstrzymywać grupy ransomware przed angażowaniem osób z wewnątrz do przestępczych działań, należy najpierw zrozumieć, w jaki sposób to robią. Poniżej przedstawiamy kilka najczęściej stosowanych metod.

Inżynieria społeczna

Phishing i inne techniki inżynierii społecznej stanowią dużą część ataków ransomware. Nie trudno zrozumieć dlaczego – łatwiej jest zwerbować kogoś do pomocy w przestępstwie, jeśli nie jest on świadomy swoich działań. Grupy ransomware mogą nakłaniać pracowników do instalowania złośliwego oprogramowania, nie informując ich o tym.

Ataki te są zazwyczaj przeprowadzane za pomocą e-maili lub wiadomości tekstowych, które często zawierają link lub załącznik udający wiarygodny element. Gdy niczego niepodejrzewający pracownik go kliknie, na jego urządzeniu zostaje zainstalowane oprogramowanie ransomware. W efekcie, grupy ransomware zyskują dostęp do poufnych danych bez konieczności przekonywania kogokolwiek do świadomego popełnienia przestępstwa.

Bezpośredni kontakt

W ostatnich latach grupy ransomware stają się coraz bardziej otwarte. Z raportu Bravura Security wynika, że aż 65% specjalistów IT twierdzi, że przestępcy kontaktowali się bezpośrednio z nimi lub ich pracownikami, oferując pomoc w ataku ransomware. Jest to wzrost o 17% w porównaniu z rokiem 2021.

Podobnie jak w przypadku phishingu, prośby te zazwyczaj przychodzą pocztą elektroniczną, jednak niektóre grupy ransomware kontaktują się telefonicznie lub za pośrednictwem mediów społecznościowych. Najczęściej próbują oni przekonać pracowników do współpracy, oferując im przekupstwo. Gangi oferują setki tysięcy dolarów w gotówce, kryptowalucie lub części okupu w zamian za zainstalowanie oprogramowania ransomware.

Crowdsourcing

Specjaliści ds. bezpieczeństwa zauważyli, że niektóre grupy ransomware próbują wykorzystywać swoje ataki na zasadzie crowdsourcingu. Cyberprzestępcy zamieszczają posty na publicznych forach lub zaszyfrowanych platformach społecznościowych, takich jak Telegram, wzywając osoby z dostępem do poufnych informacji do nawiązania kontaktu. Mogą nawet przeprowadzać publiczne ankiety na temat tego, które firmy obrać za cel ataku lub które dane ujawnić.

Publiczne ogłoszenia docierają do szerokiego grona odbiorców, co zwiększa szanse na uzyskanie pomocy od wewnątrz organizacji. Według serwisu Comparitech średnia wysokość okupu wynosi ponad 2 miliony dolarów. Grupy ransomware zarabiają wystarczająco dużo na udanym ataku, aby móc sowicie zapłacić swoim współpracownikom.

Przykłady udziału osób z wewnątrz w atakach ransomware

Celem takich ataków padają niektóre z najbardziej rozpoznawalnych firm na świecie. W 2021 roku Associated Press podało, że cyberprzestępca zaoferował pracownikowi firmy Tesla 500 000 USD za zainstalowanie oprogramowania ransomware na firmowych komputerach. W tym przypadku pracownik zgłosił incydent zamiast przyjąć pieniądze, co pokazuje skalę tego typu ataków.

Inne firmy miały mniej szczęścia. W 2019 roku, niezadowolony były pracownik firmy wsparcia technicznego Asurion otrzymywał od swojego byłego pracodawcy 50 000 dolarów dziennie po tym, jak ukradł dane milionów klientów (według Bitdefender). Chociaż organy ścigania zdołały aresztować byłego pracownika, firma straciła tysiące na wypłatę okupu.

Warto zauważyć, że mimo iż ataki te stają się coraz powszechniejsze, nie są one nowością. Według FBI, inżynier firmy Boeing ukradł setki tysięcy dokumentów w okresie od późnych lat 70. do początku XXI wieku, współpracując z chińskim wywiadem. Ten przypadek jest starszy niż samo oprogramowanie ransomware, ale doskonale ilustruje, jak niebezpieczne mogą być wewnętrzne zagrożenia, działające na rzecz podmiotów zewnętrznych.

Jak zapobiegać zagrożeniom ze strony osób z wewnątrz

Biorąc pod uwagę wysokie ryzyko, firmy muszą zrobić wszystko, co w ich mocy, aby uniemożliwić osobom z wewnątrz współpracę z grupami ransomware. Poniżej przedstawiamy trzy kluczowe kroki w tym kierunku.

Stworzenie pozytywnej kultury w miejscu pracy

Jednym z najważniejszych kroków jest zadbanie o to, aby pracownicy byli zadowoleni ze swoich stanowisk. Im bardziej pracownik jest niezadowolony ze swojego pracodawcy, tym bardziej prawdopodobne jest, że przyjmie łapówkę od grupy ransomware i pomoże im zaszkodzić firmie. Budowanie pozytywnej atmosfery w miejscu pracy minimalizuje to zagrożenie.

Konkurencyjne wynagrodzenie jest ważnym elementem satysfakcji pracowników, ale to nie wszystko. Z raportu Gallupa wynika, że tylko 28% pracowników wskazuje wynagrodzenie i świadczenia jako kluczowy czynnik wpływający na ich satysfakcję z pracy. Natomiast aż 41% pracowników jako najważniejszy czynnik wskazuje zaangażowanie i kulturę firmy. Praca z pracownikami, aby zapewnić im poczucie szacunku, bezpieczeństwa i troski, jest bardzo ważna.

Szkolenie pracowników

Firmy powinny również przeszkolić pracowników w zakresie rozpoznawania taktyk socjotechnicznych. Wiele ataków ransomware związanych z udziałem osób z wewnątrz wynika z przypadkowych błędów, takich jak kliknięcie linku phishingowego. Kluczem do powstrzymania tych incydentów jest nauczenie pracowników, na co powinni zwracać uwagę.

Błędy ortograficzne, nadzwyczajna pilność i sytuacje, które wydają się zbyt piękne, aby były prawdziwe, to typowe sygnały ostrzegawcze phishingu. Ogólnie rzecz biorąc, pracownicy nie powinni klikać w niechciane wiadomości ani na nie odpowiadać, a także nigdy nie powinni podawać poufnych informacji za pośrednictwem e-maila.

Wdrożenie zabezpieczeń Zero Trust

Zabezpieczenia oparte na zasadzie zerowego zaufania są kolejnym istotnym krokiem w zapobieganiu zagrożeniom ze strony ransomware, angażującego osoby z wewnątrz. Podejście Zero Trust zakłada, że wszystko jest potencjalnie wrogie i wymaga weryfikacji na każdym etapie, zanim uzyska dostęp do jakichkolwiek zasobów. W ramach tego podejścia, ograniczany jest również dostęp do danych, tak aby każdy pracownik miał dostęp tylko do tych zasobów, których potrzebuje do wykonywania swojej pracy.

Wdrożenie tego typu zabezpieczeń jest trudniejsze niż tradycyjne podejścia, ale stanowi najlepszą ochronę przed zagrożeniami wewnętrznymi. Ponieważ nawet uprawnione osoby z wewnątrz mają dostęp tylko do ograniczonej liczby zasobów, werbowanie ich do współpracy z grupami ransomware staje się mniej opłacalne.

Zagrożenia związane z wewnętrznym ransomware można kontrolować

Trend angażowania osób z wewnątrz przez grupy ransomware nie jest niczym nowym, jednak zyskuje na znaczeniu. Powinno to budzić niepokój, ale to nie oznacza, że nie można się przed tym bronić.

Zagrożenia wewnętrznym ransomware podkreślają, jak ważne jest ograniczone zaufanie w cyberbezpieczeństwie. Zagrożenia mogą pochodzić z dowolnego miejsca, nawet od zaufanych pracowników, dlatego najlepszym rozwiązaniem jest zabezpieczenie wszystkich elementów w najwyższym możliwym stopniu.


newsblog.pl