Cyberkriminelle blir mer strategiske og profesjonelle når det gjelder ransomware. De etterligner i økende grad hvordan legitime virksomheter opererer, inkludert utnyttelse av en voksende forsyningskjede for nettkriminalitet som en tjeneste.
Denne artikkelen beskriver fire viktige løsepengevaretrender og gir råd om hvordan du unngår å bli offer for disse nye angrepene.
1. IABs på vei opp
Nettkriminalitet blir mer lønnsomt, noe som fremgår av veksten av innledende tilgangsmeglere (IAB) som spesialiserer seg på å bryte selskaper, stjele legitimasjon og selge den tilgangen til andre angripere. IAB-er er det første leddet i cybercrime-as-a-service kill-kjeden, en skyggeøkonomi av hyllevaretjenester som enhver mulig kriminell kan kjøpe for å konstruere sofistikerte verktøykjeder for å utføre nesten alle digitale lovbrudd man kan tenke seg.
IABs beste kunder er løsepengevareoperatører, som er villige til å betale for tilgang til ferdige ofre mens de fokuserer sin egen innsats på utpressing og forbedring av skadevare.
I 2021 var det flere enn 1,300 IAB-oppføringer på store cyberkriminalitetsfora overvåket av KELA Cyber Intelligence Center, med nesten halvparten fra 10 IABer. I de fleste tilfeller var prisen for tilgang mellom $1,000 og $10,000, med en gjennomsnittlig salgspris på $4,600. Av alle tilgjengelige tilbud var VPN-legitimasjon og domeneadministratortilgang blant dem det mest verdifulle.
2. Filløse angrep flyr under radaren
Nettkriminelle tar et stikkord fra avansert vedvarende trussel (APT) og nasjonalstatsangripere ved å bruke live-off-the-land (LotL) og filløse teknikker for å forbedre sjansene deres for å unngå oppdagelse for å kunne distribuere løsepengevare.
Disse angrepene utnytter legitime, offentlig tilgjengelige programvareverktøy som ofte finnes i et måls miljø. For eksempel, 91 % av DarkSide løsepengevare angrep involverte legitime verktøy, med bare 9% som brukte skadelig programvare, ifølge en rapport av Picus Security. Andre angrep har blitt oppdaget som var 100 % filløse.
På denne måten unngår trusselaktører oppdagelse ved å unngå "kjente dårlige" indikatorer, for eksempel prosessnavn eller filhash. Applikasjonslister, som tillater bruk av pålitelige applikasjoner, begrenser heller ikke ondsinnede brukere, spesielt for allestedsnærværende apper.
3. Ransomware-grupper som retter seg mot lavprofilmål
Den høye profilen Kolonial rørledning løsepengeangrep i mai 2021 påvirket kritisk infrastruktur så alvorlig at det utløste en internasjonal og øverste regjeringsrespons.
Slike overskriftsangrep fører til gransking og samordnet innsats fra politi- og forsvarsbyråer for å handle mot løsepengevareoperatører, noe som fører til forstyrrelse av kriminelle operasjoner, samt arrestasjoner og rettsforfølgelser. De fleste kriminelle vil heller holde aktivitetene sine under radaren. Gitt antallet potensielle mål, kan operatører tillate seg å være opportunistiske samtidig som de minimerer risikoen for sin egen virksomhet. Ransomware-aktører har blitt langt mer selektive i sin målretting mot ofre, muliggjort av den detaljerte og granulære firmografien levert av IABs.
4. Innsidere blir fristet med en del av kaken
Ransomware-operatører har også oppdaget at de kan verve useriøse ansatte for å hjelpe dem med å få tilgang. Konverteringsfrekvensen kan være lav, men gevinsten kan være verdt innsatsen.
A undersøkelse fra Hitachi ID tatt mellom 7. desember 2021 og 4. januar 2022, fant 65 % av respondentene at deres ansatte hadde blitt kontaktet av trusselaktører for å hjelpe til med å gi førstegangstilgang. Innsidere som tar agnet har forskjellige grunner til å være villige til å forråde bedriftene sine, selv om misnøye med arbeidsgiveren er den vanligste motivatoren.
Uansett årsak, kan tilbudene fra løsepengevaregrupper være fristende. I Hitachi ID-undersøkelsen ble 57 % av de kontaktet ansatte tilbudt mindre enn 500,000 28 dollar, 500,000 % ble tilbudt mellom 1 11 og 1 million dollar, og XNUMX % ble tilbudt mer enn XNUMX million dollar.
Praktiske trinn for å forbedre beskyttelsen
Den utviklende taktikken som diskuteres her øker trusselen for løsepengevareoperatører, men det er skritt organisasjoner kan ta for å beskytte seg selv:
- Følg beste praksis uten tillit, slik som multifaktorautentisering (MFA) og minst privilegert tilgang, for å begrense virkningen av kompromitterte legitimasjon og øke sjansen for å oppdage unormal aktivitet.
- Fokuser på å redusere innsidetrusler, en praksis som kan bidra til å begrense ondsinnede handlinger ikke bare av ansatte, men også fra eksterne aktører (som tross alt ser ut til å være innsidere når de først har fått tilgang).
- Gjennomføre regelmessig trusseljakt, som kan hjelpe med å oppdage filløse angrep og trusselaktører som jobber for å unndra forsvaret ditt tidlig.
Angripere leter alltid etter nye måter å infiltrere organisasjoners systemer på, og de nye triksene vi ser, øker absolutt fordelene cyberkriminelle har fremfor organisasjoner som ikke er forberedt på angrep. Organisasjoner er imidlertid langt fra hjelpeløse. Ved å ta de praktiske og velprøvde trinnene som er skissert i denne artikkelen, kan organisasjoner gjøre livet veldig tøft for IAB-er og løsepengevaregrupper, til tross for deres nye taktikk.
