Ransomware on merkittävin kyberturvallisuusuhka, jota organisaatiot kohtaavat nykyään. Mutta viime aikoina kansallisen turvallisuusviraston ja FBI:n johtajat molemmat ilmoitti, että hyökkäykset vähenivät vuoden 2022 ensimmäisellä puoliskolla. Venäjää, jolta monet kyberrikollisjengit ovat lähtöisin, sanktioiden ja kaatuvien kryptovaluuttamarkkinoiden yhdistelmä on saattanut vaikuttaa, mikä vaikeuttaa kiristyshaittaohjelmien jengien varojen keräämistä ja maksujen saamista.
Mutta emme ole vielä poissa metsästä. Väliaikaisesta laskusta huolimatta ransomware ei vain kukoistaa vaan myös kehittyy. Tänä päivänä ransomware-as-a-service (RaaS) on kehittynyt kaupallisista, automatisoidusta mallista, joka perustuu valmiiksi pakattuihin hyödyntämissarjoihin, ihmisen ohjaamaan, tarkasti kohdistettuun ja hienostuneeseen liiketoimintaan. Tästä syystä kaikenkokoisille yrityksille on syytä olla huolissaan.
Tulee RaaS
On laajalti tiedossa, että nykypäivän kyberrikolliset ovat hyvin varustettuja, erittäin motivoituneita ja erittäin tehokkaita. He eivät päässeet sellaiseen tapaan vahingossa, eivätkä ne ole pysyneet niin tehokkaina ilman jatkuvasti tekniikoita ja menetelmiä. Massiivisen taloudellisen voiton motivaatio on ollut ainoa pysyvä.
Varhaiset lunnasohjelmahyökkäykset olivat yksinkertaisia, teknologiavetoisia hyökkäyksiä. Hyökkäykset lisäsivät keskittymistä varmuuskopiointi- ja palautusominaisuuksiin, mikä sai vastustajat etsimään online-varmuuskopioita ja salaamaan ne myös hyökkäyksen aikana. Hyökkääjien menestys johti suurempiin lunnaisiin, ja suuremmat lunastusvaatimukset tekivät epätodennäköisyydestä, että uhri maksaisi, ja todennäköisemmin lainvalvontaviranomaisten puuttuminen asiaan. Ransomware-jengit vastasivat kiristämällä. He siirtyivät paitsi salaamaan tietoja myös suodattamaan ja uhkaamaan julkistamaan uhrin asiakkaiden tai kumppaneiden usein arkaluontoiset tiedot, mikä toi käyttöön monimutkaisemman riskin brändi- ja mainevaurioista. Nykyään ei ole epätavallista, että lunnasohjelmien hyökkääjät etsivät uhrin kybervakuutuspolitiikkaa auttaakseen lunnaiden vaatimuksen asettamisessa ja tekemään koko prosessista (mukaan lukien maksun) mahdollisimman tehokkaan.
Olemme myös nähneet vähemmän kurinalaisia (mutta yhtä vahingollisia) kiristysohjelmahyökkäyksiä. Esimerkiksi lunnaiden maksaminen vuorotellen tunnistaa myös uhrin sopivaksi tulevaan hyökkäykseen, mikä lisää todennäköisyyttä, että sama tai eri lunnasohjelmajoukko joutuu siihen uudelleen. Tutkimusarviot välillä 50%: sta 80% (PDF) lunnaita maksaneista organisaatioista joutui toistuvaan hyökkäykseen.
Samalla kun kiristysohjelmahyökkäykset ovat kehittyneet, ovat kehittyneet myös tietoturvatekniikat, erityisesti uhkien tunnistamisen ja estämisen aloilla. Tietojenkalastelun esto, roskapostisuodattimet, virustentorjunta ja haittaohjelmien tunnistusteknologiat on kaikki hienosäädetty vastaamaan nykyaikaisiin uhkiin sähköpostin, haitallisten verkkosivustojen tai muiden suosittujen hyökkäysvektorien kautta tapahtuvan kompromissin uhkan minimoimiseksi.
Tämä sananmukainen "kissa ja hiiri" -peli vihollisten ja tietoturvan tarjoajien välillä, joka tarjoaa parempia puolustuskeinoja ja kehittyneitä lähestymistapoja lunnasohjelmahyökkäysten estämiseen, on johtanut entistä enemmän yhteistyöhön maailmanlaajuisten kyberrikollisryhmien sisällä. Kuten perinteisissä ryöstöissä käytetyt kassakaapit ja hälytysasiantuntijat, haittaohjelmien kehittämisen, verkkoon pääsyn ja hyväksikäytön asiantuntijat ohjaavat tämän päivän hyökkäyksiä ja loi olosuhteet kiristysohjelmien seuraavalle kehitykselle.
RaaS-malli tänään
RaaS on kehittynyt hienostuneeksi, ihmisvetoiseksi toiminnaksi, jolla on monimutkainen, voittoa jakava liiketoimintamalli. Aiemmin itsenäisesti työskennellyt RaaS-operaattori tekee nyt sopimuksen asiantuntijoiden kanssa parantaakseen menestymismahdollisuuksia.
RaaS-operaattori – joka ylläpitää tiettyjä kiristyshaittaohjelmia, kommunikoi uhrin kanssa ja turvaa maksut – työskentelee nyt usein korkean tason hakkerin rinnalla, joka suorittaa tunkeutumisen itse. Interaktiivisen hyökkääjän käyttö kohdeympäristössä mahdollistaa reaaliaikaisen päätöksenteon hyökkäyksen aikana. Yhdessä ne tunnistavat tietyt verkon heikkoudet, eskaloivat oikeuksia ja salaavat arkaluontoisimmat tiedot maksujen varmistamiseksi. Lisäksi he tekevät tiedusteluja löytääkseen ja poistaakseen online-varmuuskopioita ja poistaakseen suojaustyökalut käytöstä. Sopimuksen saanut hakkeri työskentelee usein pääsyvälittäjän rinnalla, joka on vastuussa verkkoon pääsyn tarjoamisesta varastettujen valtuustietojen tai jo käytössä olevien pysyvyysmekanismien avulla.
Tämän asiantuntemusyhteistyön tuloksena syntyneet hyökkäykset näyttävät ja tuntuvat "vanhanaikaisilta", valtion tukemilta kehittyneiltä, jatkuvilta uhkauksilta, mutta ne ovat paljon yleisempiä.
Miten organisaatiot voivat puolustaa itseään
Uusi, ihmiskäyttöinen RaaS-malli on paljon hienostuneempi, kohdennettu ja tuhoisampi kuin aiemmat RaaS-mallit, mutta silti on olemassa parhaita käytäntöjä, joita organisaatiot voivat puolustaa.
Organisaatioiden tulee olla kurinalaisia turvallisuushygieniassaan. IT muuttuu aina, ja aina kun uusi päätepiste lisätään tai järjestelmä päivitetään, se voi tuoda esiin uuden haavoittuvuuden tai riskin. Tietoturvatiimien on edelleen keskityttävä turvallisuuden parhaisiin käytäntöihin: korjaus, monitekijätodennus, vahvojen tunnistetietojen pakottaminen, Dark Webin tarkistaminen vaarantuneiden tunnistetietojen varalta, työntekijöiden kouluttaminen tietojenkalasteluyritysten havaitsemiseen ja paljon muuta. Nämä parhaat käytännöt auttavat vähentämään hyökkäyspintaa ja minimoi riski, että pääsyvälittäjä pystyy hyödyntämään haavoittuvuutta päästäkseen sisään. Lisäksi mitä tiukempi turvallisuushygienia organisaatiolla on, sitä vähemmän "melua" analyytikot saavat selviytyä turvallisuusoperaatiokeskuksessa (SOC), jolloin he voivat keskittyä todelliseen uhkaan, kun se tunnistetaan.
Tietoturvan parhaiden käytäntöjen lisäksi organisaatioiden on myös varmistettava, että niillä on kehittyneet uhkien havaitsemis- ja reagointiominaisuudet. Koska pääsyvälittäjät käyttävät aikaa organisaation infrastruktuurin tutkimiseen, tietoturva-analyytikoilla on mahdollisuus havaita heidät ja pysäyttää hyökkäys sen alkuvaiheessa – mutta vain, jos heillä on oikeat työkalut. Organisaatioiden tulisi etsiä laajennettuja tunnistus- ja vastausratkaisuja, jotka voivat havaita ja ristiinkorreloida tietoturvatapahtumien telemetriaa päätepisteissä, verkoissa, palvelimissa, sähköposti- ja pilvijärjestelmissä ja sovelluksissa. He tarvitsevat myös kyvyn reagoida aina, kun hyökkäys tunnistetaan, jotta se voidaan sammuttaa nopeasti. Suurilla yrityksillä voi olla nämä ominaisuudet sisäänrakennettu SOC-järjestelmään, kun taas keskisuuret organisaatiot saattavat haluta harkita hallittua havaitsemis- ja reagointimallia 24/7 uhkien seurantaan ja reagoimiseen.
Huolimatta ransomware-hyökkäysten viimeaikaisesta vähenemisestä, tietoturva-ammattilaisten ei pitäisi odottaa uhan häviävän pian. RaaS kehittyy edelleen, jossa uusimmat mukautukset on korvattu uusilla lähestymistavoilla vastauksena kyberturvallisuusinnovaatioihin. Mutta keskittymällä turvallisuuden parhaisiin käytäntöihin yhdistettynä tärkeimpiin uhkien ehkäisy-, havaitsemis- ja reagointitekniikoihin, organisaatiot tulevat entistä kestävämmiksi hyökkäyksiä vastaan.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
