بدافزار به عنوان یک سرویس کسب و کار پر رونق برای هکرها: گزارش

malware alert on computer screen

عوامل مخرب در اینترنت معنای سرویس را می دانند. در گزارشی که روز سه‌شنبه درباره تهدیدات دیجیتال برای نیمه اول سال ۲۰۲۴ منتشر شد، یک شرکت جهانی امنیت سایبری هوش مصنوعی دریافت که بسیاری از تهدیدات رایج در این دوره به‌شدت از ابزارهای بدافزار به‌عنوان سرویس (MaaS) استفاده می‌کردند.

گزارش Darktrace، بر اساس تجزیه و تحلیل داده‌ها در سراسر استقرار مشتریان شرکت، استدلال می‌کند که محبوبیت فزاینده MaaS به دلیل درآمد پرسود مبتنی بر اشتراک اکوسیستم‌های MaaS، و همچنین مانع کم ورود و تقاضای بالا است.

این گزارش افزود: بازار MaaS با ارائه بدافزار از پیش بسته بندی شده و plug-and-play، حتی مهاجمان بی تجربه را قادر می سازد تا بدون توجه به سطح مهارت یا توانایی فنی خود، حملات مخرب احتمالی را انجام دهند.

این گزارش پیش‌بینی می‌کند که MaaS در آینده‌ای قابل پیش‌بینی، بخشی از چشم‌انداز تهدید باقی خواهد ماند. این تداوم ماهیت تطبیقی ​​گونه‌های MaaS را برجسته می‌کند، که می‌تواند تاکتیک‌ها، تکنیک‌ها و رویه‌های آن‌ها (TTP) را از یک کمپین به کمپین دیگر تغییر دهد و ابزارهای امنیتی سنتی را دور بزند.

Callie Guenther، مدیر ارشد تحقیقات تهدیدات سایبری در این باره گفت: «پیچیدگی سرویس‌های بدافزار به عنوان یک سرویس به دلیل تقاضا برای ابزارهای حمله قوی‌تر، چالش‌هایی برای متخصصان امنیت سایبری و نیاز به پیشرفت در استراتژی‌های دفاعی، افزایش می‌یابد. Critical Start، یک شرکت ملی خدمات امنیت سایبری.

او به TechNewsWorld گفت: «این پیشنهادات MaaS بردارهای حمله جدید و تطبیقی ​​را معرفی خواهند کرد، مانند طرح‌های فیشینگ پیشرفته و بدافزار چند شکلی که به طور مداوم برای فرار از تشخیص تکامل می‌یابند. «ظهور بدافزار به‌عنوان یک سرویس، چالشی متحول کننده در دنیای امنیت سایبری است. این جرایم سایبری را دموکراتیک کرده و دامنه تهدیدات را گسترش داده است.»

بدافزار قدیمی که در حملات مدرن رشد می کند

گزارش Darktrace اشاره کرد که بسیاری از ابزارهای MaaS، مانند Amadey و Raspberry Robin، از چندین خانواده بدافزار در سال‌های گذشته استفاده کرده‌اند. این نشان می‌دهد که در حالی که سویه‌های MaaS اغلب TTP‌های خود را از یک کمپین به کمپین دیگر تطبیق می‌دهند، بسیاری از سویه‌ها بدون تغییر باقی می‌مانند و همچنان به موفقیت می‌رسند. این سازمان افزود که برخی تیم‌ها و سازمان‌های امنیتی همچنان در دفاع از محیط‌های خود کوتاهی می‌کنند.

فرانک داونز، مدیر ارشد خدمات پیشگیرانه در BlueVoyant، یک شرکت امنیت سایبری سازمانی در شهر نیویورک، گفت: “موفقیت مداوم گونه های بدافزار قدیمی نشان می دهد که بسیاری از سازمان ها هنوز هم آسیب پذیری های قابل توجهی در محیط های امنیتی خود دارند.”

او به TechNewsWorld گفت: «این ممکن است به دلیل سیستم‌های قدیمی، نرم‌افزار اصلاح‌نشده یا فقدان اقدامات امنیتی جامع باشد. تداوم این تهدیدات قدیمی نشان می دهد که برخی از سازمان ها ممکن است به اندازه کافی در دفاع از امنیت سایبری سرمایه گذاری نکنند یا در پیروی از بهترین شیوه ها برای نگهداری و به روز رسانی سیستم شکست بخورند.

راجر گریمز، مبشر دفاعی KnowBe4، ارائه‌دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، اضافه کرد که اکثر نرم‌افزارهای شناسایی ضد بدافزار آنطور که فروشندگان آن ادعا می‌کنند خوب نیستند.

او به TechNewsWorld گفت: «سازمان‌ها باید بدانند که نمی‌توانند به تشخیص بدافزار اعتماد کنند، زیرا حتی نزدیک به 100٪ مؤثر است، و باید پاسخ دهند و بر این اساس دفاع کنند. نرم افزار ضد بدافزار به تنهایی اکثر سازمان ها را نجات نخواهد داد. همه سازمان‌ها برای شناسایی و دفاع به بهترین شکل به دفاع‌های چندگانه در چندین لایه نیاز دارند.

دوبار فرو بردن Desperadoes دیجیتال

یکی دیگر از یافته‌های این گزارش این بود که «اخاذی مضاعف» در میان گونه‌های باج‌افزار رایج شده بود. با اخاذی مضاعف، عوامل مخرب نه تنها داده‌های هدف خود را رمزگذاری می‌کنند، بلکه فایل‌های حساس را با تهدید انتشار در صورت عدم پرداخت باج، استخراج می‌کنند.

گریمز گفت: «اخاذی مضاعف در نوامبر 2019 آغاز شد و در عرض چند سال به بیش از 90 درصد از باج افزارها با استفاده از این استراتژی رسید.

او ادامه داد: «این محبوبیت دارد زیرا حتی قربانیانی که پشتیبان واقعاً خوبی دارند، تمام خطر را نفی نمی‌کنند.

“درصد قربانیانی که باج می پردازند در طول زمان به طور قابل توجهی کاهش یافته است، اما آنهایی که پرداخت می کنند بسیار بیشتر و بارها برای محافظت از داده های محرمانه دزدیده شده از انتشار عمومی یا استفاده علیه آنها در حمله بعدی توسط همان مهاجم، هزینه می کنند. ” او گفت.

متیو کوروین، مدیر عامل Guidepost Solutions، یک شرکت جهانی امنیت، انطباق و تحقیقات، افزود که تهدید اخاذی مضاعف نیاز به یک برنامه پیشگیری از از دست دادن داده‌ها را برای سازمان‌ها حیاتی‌تر می‌کند. او به TechNewsWorld گفت: «پیاده‌سازی DLP برای تمام نقاط پایانی و سایر دارایی‌های ابری باید شامل طبقه‌بندی داده‌ها، اجرای خط‌مشی، مسدود کردن بلادرنگ، قرنطینه و هشدار باشد.

حمله به لبه

Darktrace همچنین گزارش داد که عوامل مخرب در طول شش ماه اول سال به بهره برداری انبوه از آسیب پذیری ها در دستگاه های زیرساخت لبه، مانند Ivanti Connect Secure، JetBrains TeamCity، FortiClient Enterprise Management Server و Palo Alto Networks PAN-OS ادامه دادند.

در این گزارش توضیح داده شده است که سازش های اولیه این سیستم ها می تواند به عنوان سکوی پرشی برای عوامل مخرب برای انجام فعالیت های بیشتر مانند ابزارسازی، شناسایی شبکه و حرکت جانبی عمل کند.

داونز توضیح داد: «با به خطر انداختن دستگاه‌های لبه، مهاجمان می‌توانند جایگاهی استراتژیک در شبکه به دست آورند و به آنها اجازه می‌دهد تا ترافیک داده‌ها را هنگام عبور از این نقاط نظارت و رهگیری کنند.

او ادامه داد: «این بدان معناست که یک دستگاه لبه‌ای که به دقت مورد بهره‌برداری قرار می‌گیرد، می‌تواند دسترسی مهاجمان را به انبوهی از اطلاعات شرکت، از جمله داده‌های حساس، بدون نیاز به به خطر انداختن چندین سیستم داخلی فراهم کند.» این نه تنها حمله را کارآمدتر می‌کند، بلکه تأثیر بالقوه را نیز افزایش می‌دهد، زیرا دستگاه‌های لبه اغلب جریان‌های داده قابل‌توجهی را به و از شبکه مدیریت می‌کنند.»

مورگان رایت، مشاور ارشد امنیتی SentinelOne، یک شرکت حفاظت از نقطه پایانی در Mountain View، کالیفرنیا، اضافه کرد: «بسیاری از سازمان‌ها به احتمال زیاد در وصله دستگاه‌های آسیب‌پذیر مانند فایروال‌ها، VPN‌ها یا دروازه‌های ایمیل عقب هستند.»

او به TechNewsWorld گفت: «وقتی آسیب‌پذیری‌های متعدد و حیاتی وجود دارد، کمکی نمی‌کند. برای مهاجمان، این معادل دیجیتالی تیراندازی به ماهی در بشکه است.

گریمز KnowBe موافقت کرد که تعمیر و نگهداری دستگاه‌های زیرساخت لبه اغلب سهل‌انگیز است. او گفت: «متأسفانه، دستگاه‌های لبه برای دهه‌ها در میان دستگاه‌ها و نرم‌افزارهای بدون وصله در محیط‌های ما بوده‌اند. «بیشتر فروشگاه‌های فناوری اطلاعات بخش عمده‌ای از تلاش خود را برای وصله‌سازی روی سرورها و ایستگاه‌های کاری صرف می‌کنند. مهاجمان به دستگاه‌های لبه نگاه می‌کنند و از آن‌ها سوء استفاده می‌کنند، زیرا احتمال کمتری دارد که وصله شوند و اغلب حاوی اعتبارنامه‌های اداری مشترک هستند.

اجرای پایانی DMARC

پس از تجزیه و تحلیل 17.8 میلیون ایمیل، محققان Darktrace همچنین دریافتند که 62٪ می توانند بررسی های تأیید DMARC را دور بزنند.

DMARC برای تأیید اینکه پیام ایمیل از دامنه ای است طراحی شده است که ادعا می کند از آن است، اما محدودیت هایی دارد. کلاهبرداران می توانند دامنه هایی با نام های نزدیک به یک برند معروف ایجاد کنند و آنها را DMARC کنند. گریمز توضیح داد: «تا زمانی که آنها بتوانند دامنه مشابه جعلی را از قربانیان عبور دهند، ایمیل‌های آنها از بررسی DMARC عبور می‌کند.

استفان کووسکی افزود: «آمار هشداردهنده در آخرین گزارش تهدید نیمه‌ساله Darktrace، نیاز سازمان‌ها را برای اتخاذ رویکردی چندلایه برای امنیت ایمیل، شامل تشخیص ناهنجاری‌های پیشرفته مبتنی بر هوش مصنوعی و تجزیه و تحلیل رفتاری برای تکمیل اقدامات امنیتی سنتی، برجسته می‌کند.» Field CTO SlashNext، یک شرکت امنیت کامپیوتر و شبکه، در Pleasanton، کالیفرنیا.

او به TechNewsWorld گفت: «این استراتژی کل‌نگر می‌تواند به شناسایی و کاهش حملات فیشینگ پیچیده که از DMARC و سایر دفاع‌های متعارف فرار می‌کنند کمک کند. سازمان‌ها با نظارت مستمر و انطباق با الگوهای تهدید در حال تحول، می‌توانند وضعیت امنیتی ایمیل خود را به میزان قابل توجهی افزایش دهند.

Dror Liwer، یکی از بنیانگذاران Coro، یک شرکت امنیت سایبری مبتنی بر ابر مستقر در تل آویو، اسرائیل، ادعا می کند که بیشتر یافته های گزارش به همین دلیل اشاره دارد. او با استناد به گزارشی که Coro در اوایل سال جاری منتشر کرد، خاطرنشان کرد که 73 درصد از تیم‌های امنیتی اعتراف می‌کنند که هشدارهای حیاتی را نادیده گرفته یا از دست داده‌اند.

او به TechNewsWorld گفت: «ابزارهای بسیار متفاوت که هرکدام به تعمیر و نگهداری، به‌روزرسانی‌های منظم و نظارت نیاز دارند، منجر به این می‌شود که تیم‌های امنیتی به جای حفاظت با مدیریت سروکار داشته باشند».

رایت، با این حال، پیشنهاد کرد که یافته‌ها ممکن است به یک نقص بزرگ‌تر در صنعت اشاره کنند. با وجود تمام پولی که صرف امنیت سایبری می شود و تهدیدهایی که همچنان در حال گسترش هستند، این سوال مطرح می شود که آیا ما به اندازه کافی برای امنیت سایبری هزینه می کنیم یا فقط آن را در مکان های اشتباه خرج می کنیم؟ او درخواست کرد.

منبع: https://www.technewsworld.com/story/malware-as-a-service-golden-business-for-hackers-darktrace-report-179312.html?rss=1