Ransomware er den største cybersikkerhedstrussel, som organisationer står over for i dag. Men for nylig, ledere fra National Security Agency og FBI begge antydede, at angrebene aftog i løbet af første halvdel af 2022. Kombinationen af sanktioner mod Rusland, hvor mange cyberkriminelle bander stammer fra, og nedbrud på kryptovalutamarkeder kan have haft en effekt, hvilket gør det svært for ransomware-bander at udtrække midler og få deres udbetalinger.
Men vi er ikke ude af skoven endnu. På trods af et midlertidigt fald trives ransomware ikke kun, men udvikler sig også. I dag har ransomware-as-a-service (RaaS) udviklet sig fra en kommodificeret, automatiseret model, der er afhængig af færdigpakkede udnyttelsessæt, til en menneskelig drevet, meget målrettet og sofistikeret forretningsdrift. Det er grunden til, at virksomheder af enhver størrelse er bekymrede.
Bliver RaaS
Det er almindeligt kendt, at nutidens cyberkriminelle er veludstyrede, højt motiverede og meget effektive. Sådan kom de ikke ved et uheld, og de er ikke forblevet så effektive uden konstant udvikle deres teknologier og metoder. Motivationen for massiv økonomisk gevinst har været den eneste konstante.
Tidlige ransomware-angreb var simple, teknologidrevne angreb. Angrebene drev øget fokus på sikkerhedskopierings- og gendannelsesmuligheder, hvilket fik modstandere til at opsøge online-backups og også kryptere dem under et angreb. Angriberens succes førte til større løsesum, og de større krav om løsesum gjorde det mindre sandsynligt, at offeret ville betale, og mere sandsynligt, at retshåndhævelse ville blive involveret. Ransomware-bander reagerede med afpresning. De gik over til ikke kun at kryptere data, men også at eksfiltrere og true med at offentliggøre de ofte følsomme data fra ofrets kunder eller partnere, hvilket introducerede en mere kompleks risiko for brand- og omdømmeskade. I dag er det ikke usædvanligt, at ransomware-angribere opsøger et offers cyberforsikringspolitik for at hjælpe med at fastlægge kravet om løsesum og gøre hele processen (inklusive betaling) så effektiv som muligt.
Vi har også set mindre disciplinerede (men lige så skadelige) ransomware-angreb. For eksempel, at vælge at betale en løsesum igen identificerer også et offer som et pålideligt egnet til et fremtidigt angreb, hvilket øger sandsynligheden for, at det vil blive ramt igen, af den samme eller en anden ransomware-bande. Forskning skøn mellem 50% til 80% (PDF) af organisationer, der betalte en løsesum, blev udsat for et gentaget angreb.
Efterhånden som ransomware-angreb har udviklet sig, har sikkerhedsteknologier også udviklet sig, især inden for områder med trusselsidentifikation og -blokering. Anti-phishing, spamfiltre, antivirus og malware-detektionsteknologier er alle blevet finjusteret til at imødegå moderne trusler for at minimere truslen om et kompromis via e-mail, ondsindede websteder eller andre populære angrebsvektorer.
Dette ordsprogede "kat og mus"-spil mellem modstandere og sikkerhedsudbydere, der leverer bedre forsvar og sofistikerede tilgange til at stoppe ransomware-angreb, har ført til mere samarbejde inden for globale cyberkriminelle ringe. Ligesom pengeskabe og alarmspecialister, der bruges i traditionelle røverier, driver eksperter i malwareudvikling, netværksadgang og udnyttelse nutidens angreb og skabte betingelser for den næste udvikling inden for ransomware.
RaaS-modellen i dag
RaaS har udviklet sig til at blive en sofistikeret, menneskelig ledet virksomhed med en kompleks forretningsmodel til overskudsdeling. En RaaS-operatør, der måske tidligere har arbejdet selvstændigt, indgår nu kontrakter med specialister for at øge chancerne for en succes.
En RaaS-operatør – der vedligeholder specifikke ransomware-værktøjer, kommunikerer med offeret og sikrer betalinger – vil nu ofte arbejde sammen med en hacker på højt niveau, som selv udfører indtrængen. At have en interaktiv angriber inde i målmiljøet muliggør live beslutningstagning under angrebet. Ved at arbejde sammen identificerer de specifikke svagheder i netværket, eskalerer privilegier og krypterer de mest følsomme data for at sikre udbetalinger. Derudover udfører de rekognoscering for at finde og slette online sikkerhedskopier og deaktivere sikkerhedsværktøjer. Den kontrakterede hacker vil ofte arbejde sammen med en adgangsmægler, som er ansvarlig for at give adgang til netværket gennem stjålne legitimationsoplysninger eller persistensmekanismer, der allerede er på plads.
Angrebene, der er et resultat af dette ekspertisesamarbejde, har følelsen og udseendet af "gammeldags", statssponserede avancerede, vedvarende trusselslignende angreb, men er meget mere udbredte.
Hvordan organisationer kan forsvare sig selv
Den nye, menneskedrevne RaaS-model er meget mere sofistikeret, målrettet og destruktiv end fortidens RaaS-modeller, men der er stadig bedste praksis, organisationer kan følge for at forsvare sig selv.
Organisationer skal være disciplinerede omkring deres sikkerhedshygiejne. IT ændrer sig altid, og hver gang et nyt slutpunkt tilføjes, eller et system opdateres, har det potentiale til at introducere en ny sårbarhed eller risiko. Sikkerhedsteams skal forblive fokuserede på bedste sikkerhedspraksis: patching, brug af multifaktorautentificering, håndhævelse af stærke legitimationsoplysninger, scanning af Dark Web for kompromitterede legitimationsoplysninger, uddannelse af medarbejdere i, hvordan de opdager phishing-forsøg og mere. Disse bedste praksis hjælper med at reducere angrebsoverfladen og minimere risikoen for, at en adgangsmægler vil være i stand til at udnytte en sårbarhed til at få adgang. Derudover, jo stærkere sikkerhedshygiejne en organisation har, jo mindre "støj" vil der være for analytikere at sortere igennem i sikkerhedsoperationscentret (SOC), hvilket gør dem i stand til at fokusere på den reelle trussel, når en bliver identificeret.
Ud over bedste sikkerhedspraksis skal organisationer også sikre, at de har avancerede trusselsdetektions- og reaktionskapaciteter. Fordi adgangsmæglere bruger tid på at udføre rekognoscering i organisationens infrastruktur, har sikkerhedsanalytikere mulighed for at få øje på dem og stoppe angrebet i dets tidlige stadier - men kun hvis de har de rigtige værktøjer. Organisationer bør se på udvidede detektions- og responsløsninger, der kan detektere og krydskorrelere telemetri fra sikkerhedshændelser på tværs af deres endpoints, netværk, servere, e-mail- og cloudsystemer og applikationer. De har også brug for evnen til at reagere, hvor end angrebet er identificeret, for hurtigt at lukke det ned. Store virksomheder kan have disse muligheder indbygget i deres SOC, hvorimod mellemstore organisationer måske vil overveje den administrerede detektions- og responsmodel til 24/7 trusselsovervågning og -respons.
På trods af det seneste fald i ransomware-angreb, bør sikkerhedsprofessionelle ikke forvente, at truslen forsvinder i den nærmeste fremtid. RaaS vil fortsætte med at udvikle sig, med de seneste tilpasninger erstattet af nye tilgange som svar på cybersikkerhedsinnovationer. Men med fokus på bedste sikkerhedspraksis parret med nøgleteknologier til forebyggelse af trusler, detektion og reaktion, vil organisationer blive mere modstandsdygtige over for angreb.
