Опасности од рансомвера изнутра: Како банде регрутују запослене и како се заштитити
Рансомвер представља изузетно опасну форму сајбер криминала. Са порастом вредности података, криминалци су схватили да могу остварити значајну зараду држећи их као таоце. Ови напади постају све учесталији, а поједине групе које стоје иза рансомвера чак ангажују и појединце из самих компанија да им асистирају.
Компаније које теже да се заштите од рансомвера сада морају обратити пажњу не само на спољне претње, већ и на оне које долазе изнутра. Наредни напад може да проистекне од некога ко већ ради у компанији.
Зашто банде рансомвера траже помоћ инсајдера?
Тражење помоћи од запослених за извршење кривичног дела изгледа као прилично ризичан потез. Па зашто банде рансомвера ипак прибегавају томе? Главни разлог је тај што инсајдери значајно повећавају шансе за успех напада.
Многи стручњаци се слажу да инсајдери представљају већу опасност од спољних претњи, јер они већ имају приступ поверљивим информацијама. Многе компаније занемарују ризике који долазе изнутра. Запослени могу бити од велике помоћи бандама рансомвера уколико их убеде да сарађују. Уместо да пробијају сложене безбедносне системе, сајбер криминалци могу једноставно послати запосленом датотеку коју ће он инсталирати на рачунар компаније.
Када су безбедносни системи јаки, пробијање споља може бити веома тешко. Са друге стране, људи су и даље једнако подложни манипулацији као и увек. Регрутовање инсајдера умногоме олакшава извођење успешног напада рансомвером, што често значи и велику зараду.
Методе регрутовања инсајдера
Превенција уклањања инсајдера од стране банди рансомвера почиње са разумевањем њихових метода. Ево неколико најчешћих:
Социјални инжењеринг
Фишинг и други облици социјалног инжењеринга представљају значајан део напада рансомвером, и то са добрим разлогом. Много је лакше навести некога да помогне у злочину ако он није свестан да то ради. Банде рансомвера могу навести запослене да инсталирају злонамерни софтвер, а да они тога нису ни свесни.
Ови напади обично се одвијају путем е-поште или порука, често са линком или прилогом који изгледа поуздано. Када запослени, не сумњајући ништа, кликне на линк, датотека или линк инсталира рансомвер на његов радни уређај. На тај начин, бандама рансомвера се омогућава приступ изнутра без потребе да убеде неког да намерно почини кривично дело.
Директан контакт
Банде рансомвера постале су отвореније у последње време. Према Bravura Security, запањујућих 65% ИТ професионалаца каже да су криминалци директно контактирали њих или њихове запослене ради асистирања у нападу рансомвером, што је повећање од 17% у односу на 2021. годину.
Слично фишингу, ови захтеви обично стижу путем е-поште, али неке банде рансомвера контактирају и телефонским позивима или путем друштвених мрежа. У већини случајева, покушавају да убеде запослене да сарађују тако што их подмићују. Банде нуде стотине хиљада долара у готовини, криптовалутама или део откупнине у замену за инсталирање рансомвера.
Crowdsourcing
Стручњаци за безбедност су такође приметили да неке банде рансомвера користе crowdsourcing за своје нападе. Сајбер криминалци објављују поруке на јавним форумима или шифрованим друштвеним платформама попут Телеграма, позивајући особе са приступом изнутра да их контактирају. Можда чак и спроводе јавне анкете о томе кога да нападну или које податке да објаве.
Ове јавне објаве допиру до већег броја људи, повећавајући шансе за проналажење сарадника изнутра. Према подацима Comparitech, просечна откупнина износи више од 2 милиона долара, па банде рансомвера зарађују више него довољно од успешног напада да би платиле већи број сарадника.
Примери инсајдера који су помагали нападачима рансомвера
Овакве нападе су претрпеле неке од најпознатијих компанија на свету. 2021. године, AP News је објавио да је сајбер криминалац понудио запосленом у Тесли 500.000 долара да инсталира рансомвер на рачунаре компаније. У овом случају, запослени је пријавио инцидент уместо да узме новац, али то показује колико ови напади могу бити озбиљни.
Друге компаније су имале мање среће. Године 2019., незадовољни бивши запослени у компанији за техничку подршку Асурион, примао је 50.000 долара дневно од свог бившег послодавца након што је украо податке о милионима корисника (Bitdefender). Полиција је успела да ухвати бившег радника, али не пре него што је компанија већ исплатила хиљаде долара откупнине.
Треба напоменути да иако су ови напади постали чешћи, они нису нужно нова појава. Према ФБИ, инжењер Боинга је крао стотине хиљада докумената између касних 1970-их и раних 2000-их као регрут за кинеске обавештајне агенције. Овај случај се догодио пре рансомвера, али показује колико опасне могу бити претње изнутра, које су под контролом спољних сила.
Како спречити претње инсајдерским рансомвером
Имајући у виду велике ризике, компаније морају уложити све напоре да спрече сарадњу инсајдера са бандама рансомвера. Ево три кључна корака ка том циљу:
Стварање позитивне радне атмосфере
Једна од најважнијих ствари коју можете урадити је да осигурате да су запослени задовољни својим радним местима. Што мање запослени воли свог послодавца, већа је вероватноћа да ће прихватити мито од банде рансомвера и помоћи у нападу на компанију из освете. Стварање позитивније радне атмосфере минимизира овај ризик.
Конкурентна плата је важан део задовољства запослених, али није све. Извештај компаније Gallup показује да само 28% запослених наводи плату и бенефиције као главну ствар коју би требало променити да би њихово радно место постало сјајно, у поређењу са 41% који су навели питања ангажовања и културе. Рад са запосленима како би се осигурали да се осећају уважено, безбедно и збринуто може направити велику разлику.
Обука запослених
Компаније треба да обуче своје запослене да препознају тактику социјалног инжењеринга. Многи напади рансомвером који укључују инсајдере потичу од случајних ствари, попут клика на фишинг линк. Кључ за заустављање ових инцидената је обука запослених о томе на шта треба обратити пажњу.
Правописне грешке, необична хитност и ситуације које звуче превише добро да би биле истините су уобичајени показатељи фишинга. Генерално, запослени не би требало да кликну на нежељене поруке нити да одговарају на њих, и никада не би требало да дају поверљиве информације путем е-поште.
Имплементирање безбедности нултог поверења
Безбедност нултог поверења је још један важан корак у спречавању претњи инсајдерског рансомвера. Приступ нултог поверења третира све као потенцијално непријатељски, захтевајући аутентификацију на сваком кораку пре одобравања приступа било чему или било коме. Као део тога, такође ограничава приступ тако да сваки запослени може да види само оно што му је потребно за посао.
Ове безбедносне моделе је теже применити од традиционалних приступа, али они представљају најбољи избор за борбу против претњи изнутра. Будући да чак и овлашћени инсајдери могу да приступе само ограниченом броју ресурса, регрутовање инсајдера неће нужно учинити напад рансомвером исплативим.
Претње инсајдерским рансомвером су под контролом
Тренд регрутовања инсајдера од стране банди рансомвера није нужно нов, али је у порасту. То би требало да буде разлог за забринутост, али не значи да се не можете заштитити од тога.
Претње инсајдерским рансомвером наглашавају значај ограничавања поверења у сајбер безбедност. Претње могу доћи са било ког места, чак и од запослених од поверења, па је најбоље закључати ствари што је више могуће.