Ransom note ne otkriva kako zaista radi ransomware industrija
WeLiveSecurity u ovom tekstu objašnjava da ransomware napad nije samo provala i poruka sa ucenom, već završni čin mnogo šire kriminalne ekonomije. Autor pokazuje kako iza napada stoje odvojeni akteri sa različitim ulogama: developeri platforme, initial access brokeri, partneri za distribuciju, usluge za gašenje EDR zaštite i drugi dobavljači koji zajedno grade model sličan franšizi ili gig ekonomiji. Poseban naglasak stavljen je na to da današnji ransomware raste kroz obim, niže barijere za ulazak i stalno prilagođavanje alatima odbrane.
Ransomware je mnogo teže braniti ako se posmatra samo kao pojedinačan incident, a ne kao tržište sa svojim alatima, uslugama, cenama i specijalizacijom. Kada napadači kupuju pristup, iznajmljuju platforme i biraju anti-EDR alate kao deo standardne ponude, odbrana mora da prati lanac pripreme, a ne samo trenutak enkripcije i ucene.
- Posmatrati ransomware kao poslovni model sa više aktera, ne samo kao jedan upad u mrežu
- Pratiti koje grupe, alati i EDR killer tehnike trenutno kruže u sektoru koji organizacija koristi
- Proveriti da li bezbednosni alati mogu da izdrže BYOVD i slične pokušaje gašenja zaštite
- U procenu rizika uključiti MSP partnere, dobavljače pristupa i druge spoljne veze koje mogu poslužiti kao ulaz
- Graditi odbranu tako da prepozna pripremu napada i kretanje kroz mrežu pre nego što stigne ransom note