Програмне забезпечення-вимагач є одним із найшкідливіших видів кіберзлочинності. Оскільки дані стають більш цінними, злочинці виявили, що вони можуть отримувати більші зарплати, зберігаючи їх за викуп. Ці атаки стали надзвичайно поширеними, і деякі банди програм-вимагачів навіть вербують інсайдерів компанії, щоб допомогти їм.
Компанії, які хочуть бути в безпеці від програм-вимагачів, тепер повинні враховувати не лише зовнішні загрози. Наступна атака може бути зсередини.
Чому банди програм-вимагачів хочуть інсайдерів?
Попросити співробітників про допомогу у злочині здається хорошим способом підняти тривогу, тож навіщо групам програм-вимагачів йти на такий ризик? Більшість зводиться до того, що інсайдери підвищують шанси на успіх цих атак.
Багато хто погоджується, що інсайдери становлять більший ризик, ніж зовнішні загрози, оскільки вони вже мають доступ до конфіденційної інформації, і багато компаній не помічають внутрішні ризики. У результаті співробітники можуть бути величезною підмогою для банд програм-вимагачів, якщо їх переконати допомогти. Замість того, щоб зламувати минулі рівні складних систем безпеки, кіберзлочинці могли б просто надіслати співробітнику електронною поштою файл для встановлення на комп’ютерах підприємства.
Може стати дедалі складніше зламати бізнес, коли захист безпеки настільки сильний. Навпаки, людьми так само легко маніпулювати, як і раніше. Залучення інсайдера значно полегшує виконання успішної атаки програм-вимагачів, що часто означає велику виплату.
Методи рекрутингу інсайдерів
Перешкодити групам програм-вимагачів залучити інсайдерів до виконання своєї брудної роботи починається з вивчення того, як вони це роблять. Ось кілька найпоширеніших методів.
Соціальна інженерія
Фішинг або інші форми соціальної інженерії спричиняють великий відсоток атак програм-вимагачів, і зрозуміло чому. Легше завербувати когось для допомоги у злочині, якщо вони не знають, що вони роблять. Угруповання програм-вимагачів можуть змусити співробітників встановити шкідливе програмне забезпечення, навіть не підозрюючи про це.
Ці атаки зазвичай відбуваються через електронну пошту або текстове повідомлення, яке часто містить посилання або вкладення, які виглядають законними. Коли нічого не підозрює інсайдер натискає його, файл або посилання встановлює програму-вимагач на його робочий пристрій. Як наслідок, це дає бандам програм-вимагачів доступ до інсайдерів без необхідності переконувати когось у свідомому вчиненні злочину.
Прямий контакт
Банди програм-вимагачів також стали активнішими за останні роки. Відповідно до Bravura Securityшокуючі 65 відсотків ІТ-спеціалістів кажуть, що злочинці зверталися безпосередньо до них або їхніх співробітників щодо допомоги в атаці програм-вимагачів — це на 17 відсотків більше, ніж у 2021 році.
Подібно до фішингу, ці запити зазвичай надходять електронною поштою, але деякі банди програм-вимагачів звертаються за допомогою телефонних дзвінків або соціальних мереж. У більшості випадків вони намагаються переконати співробітників допомогти шляхом підкупу. Угруповання пропонуватимуть сотні тисяч доларів готівкою, криптовалютою або частину викупу в обмін на встановлення програм-вимагачів.
Краудсорсинг
Дослідники безпеки також помітили, що деякі банди програм-вимагачів намагаються використовувати краудсорсинг для своїх атак. Кіберзлочинці розміщують на публічних форумах або зашифрованих соціальних платформах, як-от Telegram, закликаючи людей, які мають інсайдерський доступ, зв’язатися з ними. Вони можуть навіть проводити публічні опитування про те, на кого орієнтуватися або які дані витікати.
Ці публічні дописи охоплюють ширшу аудиторію, потенційно підвищуючи шанси на отримання внутрішньої допомоги. Відповідно до Comparitechсередня сума викупу становить понад 2 мільйони доларів, банди програм-вимагачів зароблять на успішній атаці більш ніж достатньо, щоб також заплатити кільком співавторам.
Приклади допомоги інсайдерів зловмисникам програм-вимагачів
Ці атаки були спрямовані на деякі з найбільш впізнаваних компаній світу. У 2021 році AP News повідомили, що кіберзлочинець запропонував співробітнику Tesla 500 000 доларів за встановлення програми-вимагача на комп’ютери компанії. У цьому випадку працівник повідомив про інцидент замість того, щоб забрати гроші, але це підкреслює масштаб цих нападів.
Іншим компаніям пощастило менше. У 2019 році незадоволений колишній співробітник компанії технічної підтримки Asurion отримував 50 000 доларів на день від свого колишнього роботодавця після крадіжки даних про мільйони клієнтів (згідно з Bitdefender). Правоохоронним органам вдалося зловити колишнього працівника, але не після того, як компанія вже витратила тисячі на викуп.
Варто зазначити, що хоча ці атаки стали більш поширеними, вони також не обов’язково є новими. Відповідно до ФБР, інженер Boeing викрав сотні тисяч документів між кінцем 1970-х і початком 2000-х років, будучи вербованим для китайських спецслужб. Цей екземпляр з’явився раніше, ніж програмне забезпечення-вимагач, але є прикладом того, наскільки серйозними можуть бути внутрішні загрози, що працюють на зовнішні сили.
Як запобігти інсайдерським загрозам програм-вимагачів
Враховуючи величезні ризики, компанії повинні зробити все можливе, щоб завадити інсайдерам працювати з бандами програм-вимагачів. Ось три важливі кроки до цієї мети.
Створіть позитивну культуру на робочому місці
Одним із найважливіших заходів, які ви можете вжити, є забезпечення того, щоб співробітники були задоволені своєю посадою. Чим менше працівник любить свого роботодавця, тим більша ймовірність, що він візьме хабар від банди програм-вимагачів і допоможе помститися своїй компанії. Побудова більш позитивного робочого середовища мінімізує цю загрозу.
Конкурентоспроможна оплата є важливою частиною задоволеності працівників, але це ще не все. А Звіт Gallup показує, що лише 28 відсотків працівників назвали оплату праці та переваги найбільшою зміною, яка зробила б їхнє робоче місце чудовим, у порівнянні з 41 відсотком, які назвали проблеми взаємодії та культури. Співпраця з працівниками, щоб переконатися, що вони відчувають повагу, безпеку та турботу, допоможе значно допомогти.
Навчати співробітників
Підприємства також повинні навчити своїх працівників розпізнавати тактики соціальної інженерії. Багато інсайдерських атак програм-вимагачів відбуваються через випадкові випадки, наприклад натискання фішингового посилання. Ключ до припинення цих інцидентів — навчити працівників, на що слід звернути увагу.
Орфографічні помилки, незвичайна терміновість і ситуації, які звучать занадто добре, щоб бути правдою, є поширеними ознаками фішингу. Загалом співробітники не повинні натискати будь-які небажані повідомлення або відповідати на них, а також ніколи не повідомляти конфіденційну інформацію електронною поштою.
Запровадження безпеки без довіри
Безпека з нульовою довірою є ще одним важливим кроком у запобіганні внутрішнім загрозам програм-вимагачів. Підхід нульової довіри розглядає все як потенційно вороже, вимагаючи перевірки на кожному кроці перед наданням доступу до будь-чого або будь-кого. У рамках цього він також обмежує доступ, щоб кожен працівник міг бачити лише те, що йому потрібно для роботи.
Ці моделі безпеки важче реалізувати, ніж традиційні підходи, але вони є найкращим вибором проти внутрішніх загроз. Оскільки навіть авторизовані інсайдери можуть отримати доступ лише до обмеженої кількості ресурсів, наймання інсайдерів не обов’язково зробить атаку програм-вимагачів вартою витрат.
Інсайдерські загрози програм-вимагачів керовані
Тенденція вербування інсайдерів бандами-вимагачами не обов’язково нова, але вона зростає. Це має викликати занепокоєння, але це не означає, що ви не можете захиститися від нього.
Інсайдерські загрози програм-вимагачів підкреслюють важливість обмеження довіри до кібербезпеки. Загрози можуть надходити звідки завгодно, навіть від довірених співробітників, тому найкраще якомога більше блокувати все.