Банды вымогателей могут обратиться к инсайдерам компании, чтобы облегчить взлом. Вот как они это делают.
Программы-вымогатели — один из самых опасных видов киберпреступлений. По мере того, как данные становятся все более ценными, преступники обнаружили, что они могут получить больше денег, удерживая их с целью получения выкупа. Эти атаки стали пугающе распространенными, и некоторые банды вымогателей даже вербуют инсайдеров компаний, чтобы помочь им.
Компании, которые хотят обезопасить себя от программ-вымогателей, теперь должны учитывать не только внешние угрозы. Следующая атака может прийти изнутри.
Почему банды вымогателей хотят инсайдеров?
Попросить сотрудников о помощи в расследовании преступления кажется хорошим способом поднять тревогу, так почему же банды вымогателей идут на такой риск? Большинство из них сводится к тому, что инсайдеры делают эти атаки более успешными.
Многие согласны с тем, что инсайдеры представляют больший риск, чем внешние угрозы потому что у них уже есть доступ к конфиденциальной информации, а многие компании упускают из виду внутренние риски. В результате сотрудники могут оказать огромную помощь бандам вымогателей, если их убедить помочь. Вместо того чтобы взламывать более сложные уровни сложных систем безопасности, киберпреступники могут просто отправить сотруднику по электронной почте файл для установки на рабочие компьютеры.
Взломать бизнес может стать все труднее, когда средства защиты настолько сильны. Напротив, людьми так же легко манипулировать, как и всегда. Вербовка инсайдера значительно упрощает успешную атаку программ-вымогателей, что часто означает большую выплату.
Методы рекрутинга инсайдеров
Препятствование тому, чтобы банды вымогателей заставляли инсайдеров выполнять свою грязную работу, начинается с изучения того, как они это делают. Вот несколько наиболее распространенных методов.
Социальная инженерия
На фишинг или другие формы социальной инженерии приходится большой процент атак программ-вымогателей, и понятно почему. Легче завербовать кого-то, чтобы помочь с преступлением, если они не знают, что они делают. Банды вымогателей могут заставить сотрудников устанавливать вредоносное программное обеспечение, даже не подозревая об этом.
Эти атаки обычно осуществляются по электронной почте или текстовым сообщениям, часто содержащим ссылку или вложение, которое выглядит законным. Когда ничего не подозревающий инсайдер нажимает на него, файл или ссылка устанавливает программу-вымогатель на его рабочее устройство. В результате он дает бандам вымогателей инсайдерский доступ без необходимости убеждать кого-либо сознательно совершить преступление.
В последние годы банды программ-вымогателей также стали более откровенными. В соответствии с Бравура Безопасность, шокирующие 65% ИТ-специалистов говорят, что преступники напрямую обращались к ним или их сотрудникам с просьбой помочь в атаке программ-вымогателей — это на 17% больше, чем в 2021 году.
Как и фишинг, эти запросы обычно приходят по электронной почте, но некоторые банды вымогателей связываются с ними по телефону или в социальных сетях. В большинстве случаев они пытаются убедить сотрудников помочь, подкупая их. Банды будут предлагать сотни тысяч долларов наличными, криптовалюту или часть выкупа в обмен на установку программ-вымогателей.
Краудсорсинг
Исследователи безопасности также заметили, что некоторые банды вымогателей пытаются использовать краудсорсинг для своих атак. Киберпреступники публикуют сообщения на публичных форумах или в зашифрованных социальных платформах, таких как Telegram, призывая людей, имеющих инсайдерский доступ, связаться с ними. Они могут даже проводить публичные опросы о том, на кого нацелиться или какие данные утечь.
Эти общедоступные сообщения охватывают более широкую аудиторию, потенциально повышая шансы на получение инсайдерской помощи. В соответствии с Компаритек, средний выкуп составляет более 2 миллионов долларов, банды вымогателей получат более чем достаточно от успешной атаки, чтобы заплатить нескольким сотрудникам.
Примеры помощи инсайдеров злоумышленникам-вымогателям
Подобные атаки были нацелены на некоторые из самых узнаваемых компаний мира. В 2021 году АП Новости сообщил, что киберпреступник предложил сотруднику Tesla 500 000 долларов за установку программы-вымогателя на компьютеры компании. В данном случае сотрудник сообщил об инциденте вместо того, чтобы забрать деньги, но это подчеркивает масштаб этих атак.
Другим компаниям повезло меньше. В 2019 году недовольный бывший сотрудник компании технической поддержки Asurion получал от своего бывшего работодателя 50 000 долларов в день после кражи данных о миллионах клиентов (согласно Битдефендер). Правоохранительным органам удалось поймать бывшего работника, но не после того, как компания уже потратила тысячи на выплату выкупа.
Стоит отметить, что, хотя эти атаки стали более распространенными, они не обязательно новы. В соответствии с ФБР, инженер Boeing украл сотни тысяч документов в период с конца 1970-х по начало 2000-х годов в качестве новобранца китайских спецслужб. Этот экземпляр предшествует программе-вымогателю, но демонстрирует, насколько серьезными могут быть внутренние угрозы, работающие на внешние силы.
Как предотвратить инсайдерские угрозы программ-вымогателей
Учитывая огромные риски, компании должны сделать все возможное, чтобы предотвратить сотрудничество инсайдеров с бандами вымогателей. Вот три важных шага к этой цели.
Создайте позитивную культуру на рабочем месте
Одна из наиболее важных мер, которую вы можете предпринять, — это убедиться, что сотрудники удовлетворены своим положением. Чем меньше сотрудник любит своего работодателя, тем больше вероятность того, что он возьмет взятку у банды вымогателей и поможет нацелить свою компанию на месть. Создание более позитивного рабочего места минимизирует эту угрозу.
Конкурентоспособная заработная плата является важной частью удовлетворенности сотрудников, но это еще не все. А Отчет Гэллапа показывает, что только 28% сотрудников называют оплату и льготы самым большим изменением, которое сделает их рабочее место лучше, по сравнению с 41%, которые назвали вопросы вовлеченности и культуры. Работа с сотрудниками, чтобы они чувствовали уважение, безопасность и заботу, будет иметь большое значение.
Обучайте сотрудников
Предприятия должны обучать своих сотрудников определить тактику социальной инженерии слишком. Многие атаки программ-вымогателей, связанных с внутренней информацией, происходят из-за случайностей, таких как переход по фишинговой ссылке. Ключом к прекращению таких инцидентов является обучение рабочих тому, на что следует обращать внимание.
Орфографические ошибки, необычная срочность и ситуации, которые звучат слишком хорошо, чтобы быть правдой, являются распространенными признаками фишинга. Как правило, сотрудники не должны нажимать на нежелательные сообщения или отвечать на них, а также никогда не сообщать конфиденциальную информацию по электронной почте.
Внедрение безопасности с нулевым доверием
Безопасность с нулевым доверием — еще один важный шаг в предотвращении внутренних угроз программ-вымогателей. Подход с нулевым доверием рассматривает все как потенциально враждебное, требуя проверки на каждом этапе, прежде чем предоставить доступ к чему-либо или кому-либо. Как часть этого, он также ограничивает доступ, поэтому каждый сотрудник может видеть только то, что ему нужно для его работы.
Эти модели безопасности сложнее реализовать, чем традиционные подходы, но они лучше всего подходят для защиты от внутренних угроз. Поскольку даже авторизованные инсайдеры могут получить доступ только к ограниченному количеству ресурсов, вербовка инсайдеров не обязательно оправдает затраты на атаку программ-вымогателей.
Инсайдерские угрозы программ-вымогателей поддаются управлению
Тенденция вербовки инсайдеров бандами вымогателей не обязательно нова, но она набирает обороты. Это должно вызывать беспокойство, но это не значит, что вы не можете защититься от этого.
Внутренние угрозы программ-вымогателей подчеркивают важность ограничения доверия к кибербезопасности. Угрозы могут исходить откуда угодно, даже от доверенных сотрудников, поэтому лучше максимально заблокировать ситуацию.
