Ransomware to jeden z najbardziej szkodliwych rodzajów cyberprzestępczości. Ponieważ dane stają się coraz bardziej wartościowe, przestępcy odkryli, że mogą uzyskać większe wypłaty, przetrzymując je dla okupu. Ataki te stały się przerażająco powszechne, a niektóre gangi ransomware rekrutują nawet osoby z wewnątrz firmy, aby im pomóc.
Firmy, które chcą chronić się przed oprogramowaniem ransomware, muszą teraz brać pod uwagę coś więcej niż tylko zewnętrzne zagrożenia. Następny atak może nadejść z wewnątrz.
Spis treści:
Dlaczego gangi ransomware potrzebują insiderów?
Proszenie pracowników o pomoc w przestępstwie wydaje się dobrym sposobem na podniesienie alarmu, więc dlaczego gangi ransomware miałyby podejmować takie ryzyko? Większość z nich sprowadza się do osób poufnych, które zwiększają prawdopodobieństwo powodzenia tych ataków.
Wielu zgadza się, że osoby z wewnątrz stanowią większe ryzyko niż zagrożenia z zewnątrz, ponieważ mają już dostęp do poufnych informacji — a wiele firm nie dostrzega zagrożeń wewnętrznych. W rezultacie pracownicy mogą być ogromną pomocą dla gangów ransomware, jeśli zostaną przekonani do pomocy. Zamiast włamywać się do wcześniejszych warstw złożonych systemów bezpieczeństwa, cyberprzestępcy mogą po prostu wysłać pracownikowi wiadomość e-mail z plikiem do zainstalowania na komputerach w zakładzie.
Włamanie do firmy może być coraz trudniejsze, gdy zabezpieczenia są tak silne. Z drugiej strony, ludźmi można manipulować równie łatwo jak zawsze. Rekrutacja insidera znacznie ułatwia przeprowadzenie udanego ataku ransomware, co często oznacza dużą wypłatę.
Metody rekrutacji insiderów
Powstrzymywanie gangów ransomware przed nakłanianiem osób z wewnątrz do wykonywania brudnej roboty zaczyna się od nauczenia się, jak to robią. Oto kilka najpopularniejszych metod.
Inżynieria społeczna
Wyłudzanie informacji lub inne formy inżynierii społecznej stanowią duży odsetek ataków ransomware i łatwo zrozumieć, dlaczego. Łatwiej jest zwerbować kogoś do pomocy przy przestępstwie, jeśli nie wie, co robi. Gangi ransomware mogą nakłaniać pracowników do instalowania złośliwego oprogramowania bez ich wiedzy.
Ataki te są zwykle przeprowadzane za pośrednictwem wiadomości e-mail lub wiadomości tekstowych, często zawierających link lub załącznik, który wygląda na uzasadniony. Gdy niczego niepodejrzewający użytkownik z wewnątrz go kliknie, plik lub łącze instaluje oprogramowanie ransomware na jego urządzeniu roboczym. W rezultacie zapewnia gangom ransomware dostęp do poufnych informacji bez konieczności przekonywania kogokolwiek do świadomego popełnienia przestępstwa.
Bezpośredni kontakt
W ostatnich latach gangi ransomware również stały się bardziej otwarte. Według Brawurowe bezpieczeństwoszokujące 65 procent specjalistów IT twierdzi, że przestępcy kontaktowali się bezpośrednio z nimi lub ich pracownikami w sprawie pomocy w ataku ransomware — to wzrost o 17 procent w stosunku do poziomu z 2021 r.
Podobnie jak w przypadku phishingu, żądania te zazwyczaj przychodzą pocztą elektroniczną, ale niektóre gangi ransomware kontaktują się przez telefon lub media społecznościowe. W większości przypadków próbują przekonać pracowników do pomocy przekupując ich. Gangi oferują setki tysięcy dolarów w gotówce, kryptowalucie lub części okupu w zamian za zainstalowanie oprogramowania ransomware.
Crowdsourcing
Badacze bezpieczeństwa zauważyli również, że niektóre gangi zajmujące się oprogramowaniem ransomware próbują wykorzystać swoje ataki jako crowdsourcing. Cyberprzestępcy publikują posty na forach publicznych lub zaszyfrowanych platformach społecznościowych, takich jak Telegram, wzywając osoby posiadające dostęp do informacji poufnych do skontaktowania się z nimi. Mogą nawet przeprowadzać publiczne ankiety na temat tego, do kogo kierować reklamy lub jakie dane mają zostać ujawnione.
Te publiczne posty docierają do szerszej publiczności, potencjalnie zwiększając szanse na uzyskanie pomocy od wewnątrz. Według Porównanie technologiiśredni okup wynosi ponad 2 miliony dolarów, gangi ransomware zarobią więcej niż wystarczająco na udanym ataku, aby zapłacić również wielu współpracownikom.
Przykłady Insiderów pomagających atakującym ransomware
Celem takich ataków były niektóre z najbardziej rozpoznawalnych firm na świecie. w 2021 r. Wiadomości AP poinformowało, że cyberprzestępca zaoferował pracownikowi Tesli 500 000 USD za zainstalowanie oprogramowania ransomware na komputerach firmowych. W tym przypadku pracownik zgłosił incydent zamiast wziąć pieniądze, ale to podkreśla skalę tych ataków.
Inne firmy miały mniej szczęścia. W 2019 roku niezadowolony były pracownik firmy wsparcia technicznego Asurion otrzymywał od swojego byłego pracodawcy 50 000 dolarów dziennie po kradzieży danych o milionach klientów (zgodnie z Bitdefender). Organom ścigania udało się złapać byłego pracownika, ale nie po tym, jak firma wydała już tysiące na okup.
Warto zauważyć, że chociaż ataki te stały się bardziej powszechne, niekoniecznie są też nowe. Według FBI, inżynier Boeinga ukradł setki tysięcy dokumentów między późnymi latami siedemdziesiątymi a początkiem XXI wieku jako rekrut dla chińskich agencji wywiadowczych. Ta instancja jest starsza niż oprogramowanie ransomware, ale jest przykładem tego, jak ekstremalne mogą być wewnętrzne zagrożenia działające na rzecz sił zewnętrznych.
Jak zapobiegać zagrożeniom ze strony Insider Ransomware
Biorąc pod uwagę ogromne ryzyko, firmy muszą zrobić wszystko, co w ich mocy, aby uniemożliwić osobom poufnym współpracę z gangami ransomware. Oto trzy kluczowe kroki w kierunku tego celu.
Stwórz pozytywną kulturę w miejscu pracy
Jednym z najważniejszych środków, jakie możesz podjąć, jest upewnienie się, że pracownicy są zadowoleni ze swoich stanowisk. Im mniej pracownik lubi swojego pracodawcę, tym bardziej prawdopodobne jest, że przyjmie łapówkę od gangu ransomware i pomoże zemścić się na swojej firmie. Budowanie bardziej pozytywnego miejsca pracy minimalizuje to zagrożenie.
Konkurencyjne wynagrodzenie jest ważnym elementem satysfakcji pracowników, ale to nie wszystko. A Raport Gallupa pokazuje, że tylko 28 procent pracowników wymienia wynagrodzenie i świadczenia jako największą zmianę, która sprawi, że ich miejsce pracy będzie wspaniałe, w porównaniu z 41 procentami, które wymieniają kwestie związane z zaangażowaniem i kulturą. Praca z pracownikami w celu zapewnienia, że czują się szanowani, bezpieczni i zadbani, będzie długa.
Szkol pracowników
Firmy muszą również szkolić swoich pracowników, aby dostrzegali taktyki socjotechniczne. Wiele ataków ransomware związanych z wykorzystaniem informacji poufnych pochodzi z wypadków, takich jak kliknięcie łącza phishingowego. Kluczem do powstrzymania tych incydentów jest nauczenie pracowników, na co zwracać uwagę.
Błędy ortograficzne, nadzwyczajna pilność i sytuacje, które brzmią zbyt dobrze, aby były prawdziwe, to typowe wskaźniki phishingu. Ogólnie rzecz biorąc, pracownicy nie powinni klikać niechcianych wiadomości ani odpowiadać na nie, a także nigdy nie podawać poufnych informacji za pośrednictwem poczty elektronicznej.
Wdrażaj zabezpieczenia o zerowym zaufaniu
Zabezpieczenia oparte na zasadzie zerowego zaufania to kolejny ważny krok w zapobieganiu zagrożeniom ze strony wewnętrznego oprogramowania typu ransomware. Podejście zerowego zaufania traktuje wszystko jako potencjalnie wrogie, wymagające weryfikacji na każdym kroku przed udzieleniem dostępu do czegokolwiek lub komukolwiek. W ramach tego ogranicza również dostęp, aby każdy pracownik mógł zobaczyć tylko to, czego potrzebuje do swojej pracy.
Te modele zabezpieczeń są trudniejsze do wdrożenia niż tradycyjne podejścia, ale stanowią najlepszą ochronę przed zagrożeniami wewnętrznymi. Ponieważ nawet upoważnione osoby z wewnątrz mają dostęp tylko do ograniczonej ilości zasobów, rekrutacja osób z wewnątrz niekoniecznie sprawi, że atak ransomware będzie wart swojej ceny.
Zagrożenia Insider Ransomware są zarządzane
Trend rekrutowania wtajemniczonych przez gangi ransomware niekoniecznie jest nowy, ale rośnie. To powinno być powodem do niepokoju, ale to nie znaczy, że nie można się przed tym obronić.
Wewnętrzne zagrożenia ransomware podkreślają znaczenie ograniczania zaufania do cyberbezpieczeństwa. Zagrożenia mogą nadejść z dowolnego miejsca, nawet ze strony zaufanych pracowników, dlatego najlepiej jest zabezpieczyć wszystko tak bardzo, jak to możliwe.