عوامل مخرب در اینترنت معنای سرویس را می دانند. در گزارشی که روز سهشنبه درباره تهدیدات دیجیتال برای نیمه اول سال ۲۰۲۴ منتشر شد، یک شرکت جهانی امنیت سایبری هوش مصنوعی دریافت که بسیاری از تهدیدات رایج در این دوره بهشدت از ابزارهای بدافزار بهعنوان سرویس (MaaS) استفاده میکردند.
گزارش Darktrace، بر اساس تجزیه و تحلیل دادهها در سراسر استقرار مشتریان شرکت، استدلال میکند که محبوبیت فزاینده MaaS به دلیل درآمد پرسود مبتنی بر اشتراک اکوسیستمهای MaaS، و همچنین مانع کم ورود و تقاضای بالا است.
این گزارش افزود: بازار MaaS با ارائه بدافزار از پیش بسته بندی شده و plug-and-play، حتی مهاجمان بی تجربه را قادر می سازد تا بدون توجه به سطح مهارت یا توانایی فنی خود، حملات مخرب احتمالی را انجام دهند.
این گزارش پیشبینی میکند که MaaS در آیندهای قابل پیشبینی، بخشی از چشمانداز تهدید باقی خواهد ماند. این تداوم ماهیت تطبیقی گونههای MaaS را برجسته میکند، که میتواند تاکتیکها، تکنیکها و رویههای آنها (TTP) را از یک کمپین به کمپین دیگر تغییر دهد و ابزارهای امنیتی سنتی را دور بزند.
Callie Guenther، مدیر ارشد تحقیقات تهدیدات سایبری در این باره گفت: «پیچیدگی سرویسهای بدافزار به عنوان یک سرویس به دلیل تقاضا برای ابزارهای حمله قویتر، چالشهایی برای متخصصان امنیت سایبری و نیاز به پیشرفت در استراتژیهای دفاعی، افزایش مییابد. Critical Start، یک شرکت ملی خدمات امنیت سایبری.
او به TechNewsWorld گفت: «این پیشنهادات MaaS بردارهای حمله جدید و تطبیقی را معرفی خواهند کرد، مانند طرحهای فیشینگ پیشرفته و بدافزار چند شکلی که به طور مداوم برای فرار از تشخیص تکامل مییابند. «ظهور بدافزار بهعنوان یک سرویس، چالشی متحول کننده در دنیای امنیت سایبری است. این جرایم سایبری را دموکراتیک کرده و دامنه تهدیدات را گسترش داده است.»
بدافزار قدیمی که در حملات مدرن رشد می کند
گزارش Darktrace اشاره کرد که بسیاری از ابزارهای MaaS، مانند Amadey و Raspberry Robin، از چندین خانواده بدافزار در سالهای گذشته استفاده کردهاند. این نشان میدهد که در حالی که سویههای MaaS اغلب TTPهای خود را از یک کمپین به کمپین دیگر تطبیق میدهند، بسیاری از سویهها بدون تغییر باقی میمانند و همچنان به موفقیت میرسند. این سازمان افزود که برخی تیمها و سازمانهای امنیتی همچنان در دفاع از محیطهای خود کوتاهی میکنند.
فرانک داونز، مدیر ارشد خدمات پیشگیرانه در BlueVoyant، یک شرکت امنیت سایبری سازمانی در شهر نیویورک، گفت: “موفقیت مداوم گونه های بدافزار قدیمی نشان می دهد که بسیاری از سازمان ها هنوز هم آسیب پذیری های قابل توجهی در محیط های امنیتی خود دارند.”
او به TechNewsWorld گفت: «این ممکن است به دلیل سیستمهای قدیمی، نرمافزار اصلاحنشده یا فقدان اقدامات امنیتی جامع باشد. تداوم این تهدیدات قدیمی نشان می دهد که برخی از سازمان ها ممکن است به اندازه کافی در دفاع از امنیت سایبری سرمایه گذاری نکنند یا در پیروی از بهترین شیوه ها برای نگهداری و به روز رسانی سیستم شکست بخورند.
راجر گریمز، مبشر دفاعی KnowBe4، ارائهدهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، اضافه کرد که اکثر نرمافزارهای شناسایی ضد بدافزار آنطور که فروشندگان آن ادعا میکنند خوب نیستند.
او به TechNewsWorld گفت: «سازمانها باید بدانند که نمیتوانند به تشخیص بدافزار اعتماد کنند، زیرا حتی نزدیک به 100٪ مؤثر است، و باید پاسخ دهند و بر این اساس دفاع کنند. نرم افزار ضد بدافزار به تنهایی اکثر سازمان ها را نجات نخواهد داد. همه سازمانها برای شناسایی و دفاع به بهترین شکل به دفاعهای چندگانه در چندین لایه نیاز دارند.
دوبار فرو بردن Desperadoes دیجیتال
یکی دیگر از یافتههای این گزارش این بود که «اخاذی مضاعف» در میان گونههای باجافزار رایج شده بود. با اخاذی مضاعف، عوامل مخرب نه تنها دادههای هدف خود را رمزگذاری میکنند، بلکه فایلهای حساس را با تهدید انتشار در صورت عدم پرداخت باج، استخراج میکنند.
گریمز گفت: «اخاذی مضاعف در نوامبر 2019 آغاز شد و در عرض چند سال به بیش از 90 درصد از باج افزارها با استفاده از این استراتژی رسید.
او ادامه داد: «این محبوبیت دارد زیرا حتی قربانیانی که پشتیبان واقعاً خوبی دارند، تمام خطر را نفی نمیکنند.
“درصد قربانیانی که باج می پردازند در طول زمان به طور قابل توجهی کاهش یافته است، اما آنهایی که پرداخت می کنند بسیار بیشتر و بارها برای محافظت از داده های محرمانه دزدیده شده از انتشار عمومی یا استفاده علیه آنها در حمله بعدی توسط همان مهاجم، هزینه می کنند. ” او گفت.
متیو کوروین، مدیر عامل Guidepost Solutions، یک شرکت جهانی امنیت، انطباق و تحقیقات، افزود که تهدید اخاذی مضاعف نیاز به یک برنامه پیشگیری از از دست دادن دادهها را برای سازمانها حیاتیتر میکند. او به TechNewsWorld گفت: «پیادهسازی DLP برای تمام نقاط پایانی و سایر داراییهای ابری باید شامل طبقهبندی دادهها، اجرای خطمشی، مسدود کردن بلادرنگ، قرنطینه و هشدار باشد.
حمله به لبه
Darktrace همچنین گزارش داد که عوامل مخرب در طول شش ماه اول سال به بهره برداری انبوه از آسیب پذیری ها در دستگاه های زیرساخت لبه، مانند Ivanti Connect Secure، JetBrains TeamCity، FortiClient Enterprise Management Server و Palo Alto Networks PAN-OS ادامه دادند.
در این گزارش توضیح داده شده است که سازش های اولیه این سیستم ها می تواند به عنوان سکوی پرشی برای عوامل مخرب برای انجام فعالیت های بیشتر مانند ابزارسازی، شناسایی شبکه و حرکت جانبی عمل کند.
داونز توضیح داد: «با به خطر انداختن دستگاههای لبه، مهاجمان میتوانند جایگاهی استراتژیک در شبکه به دست آورند و به آنها اجازه میدهد تا ترافیک دادهها را هنگام عبور از این نقاط نظارت و رهگیری کنند.
او ادامه داد: «این بدان معناست که یک دستگاه لبهای که به دقت مورد بهرهبرداری قرار میگیرد، میتواند دسترسی مهاجمان را به انبوهی از اطلاعات شرکت، از جمله دادههای حساس، بدون نیاز به به خطر انداختن چندین سیستم داخلی فراهم کند.» این نه تنها حمله را کارآمدتر میکند، بلکه تأثیر بالقوه را نیز افزایش میدهد، زیرا دستگاههای لبه اغلب جریانهای داده قابلتوجهی را به و از شبکه مدیریت میکنند.»
مورگان رایت، مشاور ارشد امنیتی SentinelOne، یک شرکت حفاظت از نقطه پایانی در Mountain View، کالیفرنیا، اضافه کرد: «بسیاری از سازمانها به احتمال زیاد در وصله دستگاههای آسیبپذیر مانند فایروالها، VPNها یا دروازههای ایمیل عقب هستند.»
او به TechNewsWorld گفت: «وقتی آسیبپذیریهای متعدد و حیاتی وجود دارد، کمکی نمیکند. برای مهاجمان، این معادل دیجیتالی تیراندازی به ماهی در بشکه است.
گریمز KnowBe موافقت کرد که تعمیر و نگهداری دستگاههای زیرساخت لبه اغلب سهلانگیز است. او گفت: «متأسفانه، دستگاههای لبه برای دههها در میان دستگاهها و نرمافزارهای بدون وصله در محیطهای ما بودهاند. «بیشتر فروشگاههای فناوری اطلاعات بخش عمدهای از تلاش خود را برای وصلهسازی روی سرورها و ایستگاههای کاری صرف میکنند. مهاجمان به دستگاههای لبه نگاه میکنند و از آنها سوء استفاده میکنند، زیرا احتمال کمتری دارد که وصله شوند و اغلب حاوی اعتبارنامههای اداری مشترک هستند.
اجرای پایانی DMARC
پس از تجزیه و تحلیل 17.8 میلیون ایمیل، محققان Darktrace همچنین دریافتند که 62٪ می توانند بررسی های تأیید DMARC را دور بزنند.
DMARC برای تأیید اینکه پیام ایمیل از دامنه ای است طراحی شده است که ادعا می کند از آن است، اما محدودیت هایی دارد. کلاهبرداران می توانند دامنه هایی با نام های نزدیک به یک برند معروف ایجاد کنند و آنها را DMARC کنند. گریمز توضیح داد: «تا زمانی که آنها بتوانند دامنه مشابه جعلی را از قربانیان عبور دهند، ایمیلهای آنها از بررسی DMARC عبور میکند.
استفان کووسکی افزود: «آمار هشداردهنده در آخرین گزارش تهدید نیمهساله Darktrace، نیاز سازمانها را برای اتخاذ رویکردی چندلایه برای امنیت ایمیل، شامل تشخیص ناهنجاریهای پیشرفته مبتنی بر هوش مصنوعی و تجزیه و تحلیل رفتاری برای تکمیل اقدامات امنیتی سنتی، برجسته میکند.» Field CTO SlashNext، یک شرکت امنیت کامپیوتر و شبکه، در Pleasanton، کالیفرنیا.
او به TechNewsWorld گفت: «این استراتژی کلنگر میتواند به شناسایی و کاهش حملات فیشینگ پیچیده که از DMARC و سایر دفاعهای متعارف فرار میکنند کمک کند. سازمانها با نظارت مستمر و انطباق با الگوهای تهدید در حال تحول، میتوانند وضعیت امنیتی ایمیل خود را به میزان قابل توجهی افزایش دهند.
Dror Liwer، یکی از بنیانگذاران Coro، یک شرکت امنیت سایبری مبتنی بر ابر مستقر در تل آویو، اسرائیل، ادعا می کند که بیشتر یافته های گزارش به همین دلیل اشاره دارد. او با استناد به گزارشی که Coro در اوایل سال جاری منتشر کرد، خاطرنشان کرد که 73 درصد از تیمهای امنیتی اعتراف میکنند که هشدارهای حیاتی را نادیده گرفته یا از دست دادهاند.
او به TechNewsWorld گفت: «ابزارهای بسیار متفاوت که هرکدام به تعمیر و نگهداری، بهروزرسانیهای منظم و نظارت نیاز دارند، منجر به این میشود که تیمهای امنیتی به جای حفاظت با مدیریت سروکار داشته باشند».
رایت، با این حال، پیشنهاد کرد که یافتهها ممکن است به یک نقص بزرگتر در صنعت اشاره کنند. با وجود تمام پولی که صرف امنیت سایبری می شود و تهدیدهایی که همچنان در حال گسترش هستند، این سوال مطرح می شود که آیا ما به اندازه کافی برای امنیت سایبری هزینه می کنیم یا فقط آن را در مکان های اشتباه خرج می کنیم؟ او درخواست کرد.
منبع: https://www.technewsworld.com/story/malware-as-a-service-golden-business-for-hackers-darktrace-report-179312.html?rss=1