Cyberkriminelle bliver mere strategiske og professionelle omkring ransomware. De efterligner i stigende grad, hvordan legitime virksomheder fungerer, herunder udnyttelse af en voksende forsyningskæde for cyberkriminalitet som en tjeneste.
Denne artikel beskriver fire vigtige ransomware-tendenser og giver råd om, hvordan man undgår at blive ofre for disse nye angreb.
1. IAB'er på vej frem
Cyberkriminalitet bliver mere rentabel, hvilket fremgår af væksten af initial access brokers (IAB'er), der specialiserer sig i at bryde virksomheder, stjæle legitimationsoplysninger og sælge denne adgang til andre angribere. IAB'er er det første led i cyberkriminalitet-som-en-tjeneste-dræbningskæden, en skyggeøkonomi af hylde-tjenester, som enhver potentiel kriminel kan købe for at konstruere sofistikerede værktøjskæder til at udføre næsten enhver digital forbrydelse, man kan forestille sig.
IABs’ top customers are ransomware operators, who are willing to pay for access to ready-made victims while they focus their own efforts on extortion and improving their malware.
I 2021 var der flere end 1,300 IAB-fortegnelser på store cyberkriminalitetsfora overvåget af KELA Cyber Intelligence Center, hvor næsten halvdelen kommer fra 10 IAB'er. I de fleste tilfælde var prisen for adgang mellem $1,000 og $10,000, med en gennemsnitlig salgspris på $4,600. Af alle de tilgængelige tilbud var VPN-legitimationsoplysninger og domæneadministratoradgang blandt den mest værdifulde.
2. Filløse angreb flyver under radaren
Cyberkriminelle tager udgangspunkt i avanceret persistent trussel (APT) og nationalstatsangribere ved at anvende living-off-the-land (LotL) og filløse teknikker for at forbedre deres chancer for at undgå opdagelse for at kunne implementere ransomware.
These attacks leverage legitimate, publicly available software tools often found in a target’s environment. For example, 91% of DarkSide ransomware angreb involverede legitime værktøjer, hvor kun 9% brugte malware, ifølge en rapport af Picus Security. Andre angreb er blevet opdaget, som var 100 % filløse.
This way, threat actors evade detection by avoiding “known bad” indicators, such as process names or file hashes. Application-allow lists, which permit the usage of trusted applications, also fail to restrict malicious users, especially for ubiquitous apps.
3. Ransomware-grupper, der retter sig mod lavprofilmål
Den højt profilerede Kolonial rørledning ransomware-angreb i maj 2021 påvirkede kritisk infrastruktur så alvorligt, at det udløste en international og topregeringens svar.
Sådanne overskrifter griber angreb foranlediger granskning og samordnet indsats fra retshåndhævelses- og forsvarsmyndigheder for at handle mod ransomware-operatører, hvilket fører til afbrydelse af kriminelle operationer samt arrestationer og retsforfølgelser. De fleste kriminelle vil hellere holde deres aktiviteter under radaren. I betragtning af antallet af potentielle mål har operatører råd til at være opportunistiske og samtidig minimere risikoen for deres egen drift. Ransomware-aktører er blevet langt mere selektive i deres målretning mod ofre, muliggjort af den detaljerede og granulære firmografi leveret af IAB'er.
4. Insidere bliver fristet med et stykke kage
Ransomware-operatører har også opdaget, at de kan rekruttere useriøse medarbejdere til at hjælpe dem med at få adgang. Konverteringsraten kan være lav, men udbyttet kan være besværet værd.
A undersøgelse fra Hitachi ID taget mellem 7. december 2021 og 4. januar 2022, fandt ud af, at 65 % af de adspurgte sagde, at deres medarbejdere var blevet kontaktet af trusselsaktører for at hjælpe med at give indledende adgang. Insidere, der tager lokket, har forskellige grunde til at være villige til at forråde deres virksomheder, selvom utilfredshed med deres arbejdsgiver er den mest almindelige motivator.
Uanset årsagen, kan tilbud fra ransomware-grupper være fristende. I Hitachi ID-undersøgelsen blev 57 % af de kontaktede medarbejdere tilbudt mindre end $500,000, 28% blev tilbudt mellem $500,000 og $1 million, og 11% blev tilbudt mere end $1 million.
Praktiske trin til at forbedre beskyttelsen
Den udviklende taktik, der diskuteres her, øger truslen fra ransomware-operatører, men der er trin, organisationer kan tage for at beskytte sig selv:
- Følg bedste praksis uden tillid, såsom multifaktorautentificering (MFA) og mindst-privilegeret adgang, for at begrænse virkningen af kompromitterede legitimationsoplysninger og øge chancen for at opdage unormal aktivitet.
- Fokus på at afbøde insidertrusler, a practice that can help limit malicious actions not only by employees but also by external actors (who, after all, appear to be insiders once they’ve gained access).
- Gennemfør regelmæssig trusselsjagt, som kan hjælpe med at opdage filløse angreb og trusselsaktører, der arbejder på at undgå dit forsvar tidligt.
Attackers are always looking for new ways to infiltrate organizations’ systems, and the new ploys we’re seeing certainly add to the advantages cybercriminals have over organizations that are unprepared for attacks. However, organizations are far from helpless. By taking the practical and proven steps outlined in this article, organizations can make life very tough for IABs and ransomware groups, despite their new array of tactics.
