Cyberkriminelle gehen strategischer und professioneller vor Ransomware. Sie ahmen zunehmend die Arbeitsweise legitimer Unternehmen nach, einschließlich der Nutzung einer wachsenden Lieferkette für Cyberkriminalität als Dienstleistung.
Dieser Artikel beschreibt vier wichtige Ransomware-Trends und gibt Ratschläge, wie Sie vermeiden können, Opfer dieser neuen Angriffe zu werden.
1. IABs auf dem Vormarsch
Cyberkriminalität wird immer profitabler, wie das Wachstum von Initial Access Brokers (IABs) zeigt, die sich darauf spezialisiert haben, in Unternehmen einzudringen, Zugangsdaten zu stehlen und diesen Zugang an andere Angreifer zu verkaufen. IABs sind das erste Glied in der „Cybercrime-as-a-Service“-Tötungskette, einer Schattenwirtschaft von Standarddiensten, die jeder Möchtegern-Kriminelle erwerben kann, um hochentwickelte Werkzeugketten zur Ausführung fast aller erdenklichen digitalen Straftaten aufzubauen.
Die wichtigsten Kunden von IABs sind Ransomware-Betreiber, die bereit sind, für den Zugang zu vorgefertigten Opfern zu zahlen, während sie ihre eigenen Anstrengungen auf Erpressung und die Verbesserung ihrer Malware konzentrieren.
2021 waren es mehr als 1,300 IAB-Einträge in großen Foren zur Cyberkriminalität, die vom KELA Cyber Intelligence Center überwacht werden, wobei fast die Hälfte von 10 IABs stammt. In den meisten Fällen lag der Preis für den Zugang zwischen 1,000 und 10,000 US-Dollar, mit einem durchschnittlichen Verkaufspreis von 4,600 US-Dollar. Zu den verfügbaren Angeboten gehörten VPN-Anmeldeinformationen und Domänenadministratorzugriff das wertvollste.
2. Dateilose Angriffe bleiben unter dem Radar
Cyberkriminelle orientieren sich an Advanced Persistent Threat (APT) und nationalstaatlichen Angreifern, indem sie „Living-off-the-Land“ (LotL) und dateilose Techniken einsetzen, um ihre Chancen zu verbessern, der Entdeckung zu entgehen und Ransomware erfolgreich einzusetzen.
Diese Angriffe nutzen legitime, öffentlich verfügbare Softwaretools, die häufig in der Umgebung eines Ziels zu finden sind. Zum Beispiel 91 % von DarkSide Ransomware Den Angaben zufolge handelte es sich bei den Angriffen um legitime Tools, wobei nur 9 % Malware verwendeten ein Bericht von Picus Security. Es wurden weitere Angriffe entdeckt, die zu 100 % dateilos waren.
Auf diese Weise entziehen sich Bedrohungsakteure der Entdeckung, indem sie „bekanntermaßen schädliche“ Indikatoren wie Prozessnamen oder Datei-Hashes vermeiden. Anwendungszulassungslisten, die die Verwendung vertrauenswürdiger Anwendungen zulassen, schränken böswillige Benutzer ebenfalls nicht ein, insbesondere bei allgegenwärtigen Apps.
3. Ransomware-Gruppen, die es auf unauffällige Ziele abgesehen haben
Das hochkarätige Koloniale Pipeline Der Ransomware-Angriff im Mai 2021 beeinträchtigte kritische Infrastrukturen so stark, dass er eine internationale und Top-Reaktion der Regierung.
Solche schlagzeilenträchtigen Angriffe führen zu einer genauen Prüfung und konzertierten Bemühungen der Strafverfolgungs- und Verteidigungsbehörden, gegen Ransomware-Betreiber vorzugehen, was zur Unterbrechung krimineller Aktivitäten sowie zu Verhaftungen und Strafverfolgungen führt. Die meisten Kriminellen möchten ihre Aktivitäten lieber geheim halten. Angesichts der Anzahl potenzieller Ziele können es sich die Betreiber leisten, opportunistisch vorzugehen und gleichzeitig das Risiko für ihren eigenen Betrieb zu minimieren. Ransomware-Akteure sind bei der gezielten Bekämpfung ihrer Opfer weitaus selektiver geworden, was durch die detaillierten und granularen firmografischen Daten der IABs ermöglicht wird.
4. Insider werden mit einem Stück vom Kuchen in Versuchung geführt
Ransomware-Betreiber haben außerdem herausgefunden, dass sie betrügerische Mitarbeiter engagieren können, die ihnen beim Zugriff helfen. Die Conversion-Rate mag niedrig sein, aber der Aufwand kann sich lohnen.
A Umfrage von Hitachi ID Eine Umfrage zwischen dem 7. Dezember 2021 und dem 4. Januar 2022 ergab, dass 65 % der Befragten angaben, dass ihre Mitarbeiter von Bedrohungsakteuren angesprochen worden seien, um ihnen bei der Gewährung eines ersten Zugangs zu helfen. Insider, die den Köder schlucken, haben unterschiedliche Gründe dafür, bereit zu sein, ihre Unternehmen zu verraten, wobei die Unzufriedenheit mit ihrem Arbeitgeber der häufigste Motivator ist.
Was auch immer der Grund sein mag, die Angebote von Ransomware-Gruppen können verlockend sein. In der Hitachi-ID-Umfrage wurde 57 % der kontaktierten Mitarbeiter weniger als 500,000 US-Dollar geboten, 28 % erhielten Angebote zwischen 500,000 und 1 Million US-Dollar und 11 % erhielten mehr als 1 Million US-Dollar.
Praktische Schritte zur Verbesserung des Schutzes
Die hier diskutierten sich entwickelnden Taktiken erhöhen die Bedrohung durch Ransomware-Betreiber, aber es gibt Maßnahmen, die Unternehmen ergreifen können, um sich zu schützen:
- Befolgen Sie die Zero-Trust-Best Practices, B. Multifaktor-Authentifizierung (MFA) und Zugriff mit den geringsten Privilegien, um die Auswirkungen kompromittierter Anmeldeinformationen zu begrenzen und die Wahrscheinlichkeit der Erkennung anomaler Aktivitäten zu erhöhen.
- Konzentrieren Sie sich auf die Eindämmung von Insider-Bedrohungen, Eine Vorgehensweise, die dazu beitragen kann, böswillige Handlungen nicht nur von Mitarbeitern, sondern auch von externen Akteuren einzudämmen (die schließlich als Insider erscheinen, sobald sie Zugriff erhalten haben).
- Führen Sie eine regelmäßige Bedrohungssuche durch, Dies kann dazu beitragen, dateilose Angriffe und Bedrohungsakteure, die versuchen, Ihren Abwehrmaßnahmen zu entgehen, frühzeitig zu erkennen.
Angreifer sind immer auf der Suche nach neuen Wegen, um in die Systeme von Organisationen einzudringen, und die neuen Tricks, die wir sehen, tragen zweifellos zu den Vorteilen bei, die Cyberkriminelle gegenüber Organisationen haben, die auf Angriffe nicht vorbereitet sind. Allerdings sind Organisationen alles andere als hilflos. Indem Unternehmen die in diesem Artikel beschriebenen praktischen und bewährten Schritte unternehmen, können sie IABs und Ransomware-Gruppen das Leben trotz ihrer neuen Taktiken sehr schwer machen.
