Sự bùng nổ không ngừng: Phân tích sự gia tăng các trang web rò rỉ Ransomware và bối cảnh mối đe dọa phân mảnh

Hệ sinh thái ransomware đang trải qua một sự gia tăng đáng kể về hoạt động, phản ánh sự phân mảnh sâu sắc của bối cảnh mối đe dọa. Sự xuất hiện gần đây của các danh sách trang web rò rỉ mới, ảnh hưởng đến nhiều tổ chức của Hoa Kỳ trên các lĩnh vực quan trọng, cung cấp một minh họa rõ nét về mối đe dọa đang phát triển và ngày càng phức tạp này.

Chuyện gì đã xảy ra

Gần đây, một nhóm ransomware đã công bố danh sách nạn nhân mới, gây ảnh hưởng đáng kể đến các tổ chức trong các lĩnh vực y tế, giáo dục, bảo hiểm, năng lượng và công nghệ. Các mục tiêu đáng chú ý bao gồm một số thực thể nổi bật trải rộng trên nhiều ngành công nghiệp. Những tiết lộ này thường theo sau các cuộc đàm phán thất bại, với dữ liệu hoặc được phát hành hoặc bị đe dọa công bố.

Kẻ tấn công tuyên bố sở hữu các bộ dữ liệu rộng lớn và rất nhạy cảm. Ví dụ bao gồm các hồ sơ quan trọng bị cáo buộc từ một tập đoàn lớn, dữ liệu bị xâm phạm đáng kể từ một nhà cung cấp y tế và một lượng lớn dữ liệu ngành bảo hiểm từ một hiệp hội quốc gia. Những con số này làm nổi bật quy mô của việc trích xuất dữ liệu tiềm năng và những hậu quả nghiêm trọng đối với các tổ chức nạn nhân. Giáo dục và y tế, đặc biệt, vẫn là mục tiêu chính do lượng lớn thông tin cá nhân, tài chính và hoạt động mà họ quản lý.

Tại sao mô hình này cứ lặp lại

Nền kinh tế cơ bản và khả năng phục hồi hoạt động của các hoạt động ransomware-as-a-service (RaaS) thúc đẩy mô hình dai dẳng này. Sự gia tăng của các nhóm và số lượng lớn nạn nhân toàn cầu cho thấy khả năng sinh lời và rào cản gia nhập tương đối thấp đối với các doanh nghiệp tội phạm này. Hệ sinh thái đã bị phân mảnh, chuyển từ một vài người chơi thống trị sang nhiều hoạt động nhỏ hơn, nhanh nhẹn hơn và khó quy kết hơn.

Sự phân mảnh này cho phép thích ứng nhanh chóng và khả năng phục hồi chống lại các nỗ lực của cơ quan thực thi pháp luật. Khi một nhóm bị gián đoạn, các nhóm mới sẽ xuất hiện, thường tận dụng cơ sở hạ tầng chung hoặc tuyển mộ các chi nhánh từ các hoạt động đã ngừng. Mô hình RaaS, nơi các nhà phát triển cung cấp công cụ và cơ sở hạ tầng cho các chi nhánh để đổi lấy một phần tiền chuộc, tiếp tục dân chủ hóa quyền truy cập vào các khả năng tấn công tinh vi.

Sự gia tăng của các trang web rò rỉ ransomware là hệ quả trực tiếp của một hệ sinh thái RaaS phân mảnh và kiên cường, nơi việc theo đuổi lợi nhuận luôn vượt trội so với các biện pháp phòng thủ phản ứng.

Kế hoạch tấn công từng bước của kẻ tấn công

Các hoạt động ransomware thường tuân theo một phương pháp tấn công nhiều giai đoạn, thường bắt đầu bằng các nhà môi giới truy cập ban đầu. Các tác nhân này xâm nhập bằng nhiều cách khác nhau, bao gồm khai thác các lỗ hổng đã biết, lừa đảo hoặc tấn công nhồi thông tin đăng nhập. Nghiên cứu bảo mật, ví dụ, xác định nhiều lỗ hổng chung liên quan đến các nhóm khác nhau, cho thấy sự phụ thuộc vào việc khai thác các điểm yếu chung.

Khi quyền truy cập ban đầu được thiết lập, kẻ tấn công tham gia vào việc trinh sát và di chuyển ngang trong mạng của nạn nhân. Giai đoạn này liên quan đến việc lập bản đồ cấu trúc liên kết mạng, leo thang đặc quyền và xác định các mục tiêu có giá trị cao để trích xuất và mã hóa dữ liệu. Các tác nhân đe dọa được biết là sử dụng các trình mã hóa đa dạng để nhắm mục tiêu vào các hệ điều hành và môi trường khác nhau, thể hiện tính linh hoạt trong các công cụ tấn công của họ.

Trích xuất dữ liệu là một bước quan trọng, thường diễn ra trước khi mã hóa, để tối đa hóa đòn bẩy tống tiền. Sau đó, các tác nhân đe dọa triển khai ransomware để mã hóa các hệ thống, khiến chúng không thể hoạt động, và để lại một ghi chú đòi tiền chuộc. Nếu các cuộc đàm phán thất bại, như được chỉ ra bởi hoạt động trang web rò rỉ gần đây, dữ liệu bị đánh cắp sẽ được công bố trên một trang web rò rỉ công khai, gây thêm áp lực và thiệt hại về danh tiếng.

Những gì mà các nhà phòng thủ đã bỏ lỡ

Sự xuất hiện liên tục của các trang web rò rỉ mới và các tiết lộ nạn nhân cho thấy những lỗ hổng đáng kể trong các chiến lược phòng thủ. Nhiều tổ chức tiếp tục hoạt động với thông tin tình báo mối đe dọa hồi cứu, tập trung vào Các chỉ số bị xâm phạm (IOC) và các TTP đã được ghi nhận sau khi một sự cố chính đã xảy ra. Tư thế phản ứng này khiến họ dễ bị tổn thương trước các nhóm mới nổi và các kỹ thuật tấn công đang phát triển.

Hơn nữa, việc thiếu thử nghiệm bảo mật chủ động, tấn công có nghĩa là các lỗ hổng có thể khai thác thường không được phát hiện cho đến khi kẻ tấn công khai thác chúng. Điều này bao gồm các điểm yếu trong các hệ thống hướng ra bên ngoài, cấu hình sai và các đường dẫn leo thang đặc quyền có thể được xác định thông qua thử nghiệm tấn công tự động. Khối lượng dữ liệu khổng lồ mà kẻ tấn công tuyên bố từ một số nạn nhân cho thấy rằng việc phân đoạn dữ liệu mạnh mẽ, kiểm soát truy cập và cơ chế phát hiện trích xuất dữ liệu có thể không đủ.

Việc tập trung vào các hệ thống nội bộ thường làm lu mờ rủi ro nghiêm trọng do các nhà cung cấp bên thứ ba gây ra. Ransomware có thể di chuyển qua các hệ sinh thái nhà cung cấp, ảnh hưởng đến một tổ chức thông qua một nhà cung cấp bị xâm phạm. Nếu không có hiểu biết rõ ràng về khả năng dễ bị tổn thương của nhà cung cấp, các tổ chức vẫn tiếp tục gặp phải rủi ro liên tục.

Danh sách kiểm tra phòng thủ thực tế

Để chống lại mối đe dọa ransomware đang leo thang, các CISO và kỹ sư bảo mật phải áp dụng một tư thế phòng thủ chủ động và toàn diện:

• Ưu tiên quản lý lỗ hổng: Liên tục xác định và vá các lỗ hổng nghiêm trọng, đặc biệt là những lỗ hổng thường bị các nhóm ransomware khai thác.
• Triển khai kiểm soát truy cập mạnh mẽ: Thực thi các nguyên tắc đặc quyền tối thiểu, xác thực đa yếu tố (MFA) trên tất cả các hệ thống quan trọng và xem xét định kỳ quyền truy cập quản trị.
• Tăng cường phân đoạn mạng: Cô lập các tài sản quan trọng và dữ liệu nhạy cảm để hạn chế sự di chuyển ngang trong trường hợp vi phạm.
• Nâng cao khả năng phát hiện và phản hồi điểm cuối (EDR): Triển khai và tinh chỉnh các giải pháp EDR để phát hiện và phản hồi các hoạt động đáng ngờ, bao gồm các nỗ lực trinh sát và trích xuất dữ liệu.
• Phát triển và kiểm tra kế hoạch phản ứng sự cố: Thường xuyên diễn tập các kịch bản phản ứng sự cố, bao gồm các cuộc tấn công ransomware, để đảm bảo việc ngăn chặn và khôi phục nhanh chóng và hiệu quả.
• Tiến hành thử nghiệm tấn công chủ động: Triển khai thử nghiệm tấn công tự động để liên tục xác định các lỗ hổng và cấu hình sai có thể khai thác trước khi kẻ tấn công thực hiện.
• Đánh giá rủi ro bên thứ ba: Tích hợp thông tin tình báo về khả năng dễ bị tổn thương của ransomware vào các chương trình quản lý rủi ro bên thứ ba để hiểu và giảm thiểu các lỗ hổng chuỗi cung ứng.

Cách thử nghiệm tấn công hiện đại có thể đã phát hiện ra điều này

Quét lỗ hổng truyền thống và kiểm thử xâm nhập thường cung cấp một đánh giá tại một thời điểm, nhanh chóng trở nên lỗi thời trong một bối cảnh mối đe dọa năng động. Thử nghiệm tấn công hiện đại, đặc biệt là thử nghiệm tấn công tự động, cung cấp một cách tiếp cận liên tục và thích ứng. Nền tảng của chúng tôi, với khả năng thử nghiệm tấn công tự động và các Proof-of-Concepts (PoC) có thể thực thi, mang lại lợi thế đáng kể.

Cách tiếp cận này liên tục mô phỏng các kỹ thuật tấn công trong thế giới thực, xác định các đường dẫn có thể khai thác dẫn đến các tài sản quan trọng hoặc trích xuất dữ liệu. Bằng cách tạo ra các PoC có thể thực thi, các nhóm bảo mật có được bằng chứng cụ thể về các lỗ hổng và các bước chính xác mà kẻ tấn công sẽ thực hiện. Điều này cho phép khắc phục chủ động các lỗ hổng có thể dẫn đến quyền truy cập ban đầu, di chuyển ngang hoặc trích xuất dữ liệu, phản ánh trực tiếp các giai đoạn đầu của các cuộc tấn công ransomware.

Ví dụ, nếu một tác nhân đe dọa khai thác một lỗ hổng đã biết (chẳng hạn như những lỗ hổng được các nhà nghiên cứu bảo mật xác định), thử nghiệm tấn công tự động sẽ xác định lỗ hổng, chứng minh khả năng khai thác của nó bằng PoC và cho phép khắc phục trước khi nó có thể được khai thác trong một cuộc tấn công ransomware. Điều này chuyển việc phòng thủ từ phản ứng sự cố sang giảm thiểu mối đe dọa chủ động.

Điều gì sẽ xảy ra tiếp theo

Bối cảnh ransomware sẽ tiếp tục phát triển nhanh chóng. Sự phân mảnh thành các hoạt động nhỏ hơn, nhanh hơn sẽ tiếp tục, khiến việc quy kết và gián đoạn trở nên khó khăn hơn. Hãy mong đợi việc khai thác chuỗi cung ứng và các nhà cung cấp bên thứ ba tiếp tục, vì kẻ tấn công tìm kiếm con đường ít kháng cự nhất vào các tổ chức lớn hơn.

Quy tắc bất thành văn trong hệ sinh thái ransomware, nơi một số khu vực địa lý phần lớn bị cấm để tránh sự can thiệp của cơ quan thực thi pháp luật địa phương, vẫn là một động lực quan trọng. Một sự cố trong quá khứ liên quan đến một chi nhánh của một nhóm đáng chú ý, đã xin lỗi và cấm một chi nhánh vì vô tình nhắm mục tiêu vào một công ty có văn phòng công ty ở một khu vực nhạy cảm, nhấn mạnh ràng buộc địa chính trị này. Bất kỳ sự thay đổi nào trong động lực này có thể làm thay đổi đáng kể bối cảnh mối đe dọa toàn cầu.

Hơn nữa, các tuyên bố ngày càng tăng về khối lượng trích xuất dữ liệu khổng lồ cho thấy sự tập trung ngày càng tăng vào việc kiếm tiền từ dữ liệu ngoài việc mã hóa đơn thuần. Các tổ chức phải chuẩn bị cho các kế hoạch tống tiền kép và ba tinh vi hơn, nơi việc rò rỉ dữ liệu, từ chối dịch vụ và giao tiếp trực tiếp với khách hàng được tận dụng. Thông tin tình báo mối đe dọa liên tục và các biện pháp bảo mật chủ động sẽ là tối quan trọng để tồn tại trong môi trường leo thang này.