Ransomware er den viktigste cybersikkerhetstrusselen organisasjoner står overfor i dag. Men nylig har både ledere fra National Security Agency og FBI indikerte at angrepene avtok i løpet av første halvdel av 2022. Kombinasjonen av sanksjoner mot Russland, hvor mange nettkriminelle gjenger har sitt opphav, og krasjende kryptovalutamarkeder kan ha hatt en effekt som gjør det vanskelig for gjenger med løsepenger å hente ut midler og få utbetalingene deres.
Men vi er ikke ute av skogen ennå. Til tross for et midlertidig fall, blomstrer løsepengevare ikke bare, men utvikler seg også. I dag har ransomware-as-a-service (RaaS) utviklet seg fra en kommodifisert, automatisert modell som er avhengig av ferdigpakkede utnyttelsessett, til en menneskelig drevet, svært målrettet og sofistikert forretningsdrift. Det er grunnen til at bedrifter uansett størrelse er bekymret.
Blir RaaS
Det er allment kjent at dagens nettkriminelle er godt utstyrt, svært motiverte og svært effektive. De ble ikke slik ved et uhell, og de har ikke holdt seg så effektive uten kontinuerlig utvikle deres teknologier og metoder. Motivasjonen for massiv økonomisk gevinst har vært den eneste konstante.
Tidlige ransomware-angrep var enkle, teknologidrevne angrep. Angrepene førte til økt fokus på sikkerhetskopierings- og gjenopprettingsfunksjoner, noe som førte til at motstandere oppsøkte sikkerhetskopier på nettet og krypterte dem også under et angrep. Angripers suksess førte til større løsepenger, og de større løsepengekravene gjorde det mindre sannsynlig at offeret ville betale, og mer sannsynlig at rettshåndhevelse ville bli involvert. Ransomware-gjenger svarte med utpressing. De gikk over til ikke bare å kryptere data, men å eksfiltrere og true med å offentliggjøre de ofte sensitive dataene til offerets kunder eller partnere, noe som introduserte en mer kompleks risiko for merkevare- og omdømmeskade. I dag er det ikke uvanlig at ransomware-angripere oppsøker et offers nettforsikringspolise for å hjelpe med å sette løsepengekravet og gjøre hele prosessen (inkludert betaling) så effektiv som mulig.
Vi har også sett mindre disiplinerte (men like skadelige) ransomware-angrep. For eksempel, ved å velge å betale løsepenger identifiserer det også et offer som en pålitelig egnethet for et fremtidig angrep, noe som øker sannsynligheten for at det vil bli truffet igjen, av samme eller en annen løsepengevaregjeng. Forskningsanslag mellom 50% til 80% (PDF) av organisasjoner som betalte løsepenger, fikk et gjentatt angrep.
Ettersom løsepengevare-angrep har utviklet seg, har sikkerhetsteknologier også utviklet seg, spesielt i områder med trusselidentifikasjon og blokkering. Anti-phishing, spamfiltre, antivirus- og malware-deteksjonsteknologier er alle finjustert for å møte moderne trusler for å minimere trusselen om et kompromiss via e-post, ondsinnede nettsteder eller andre populære angrepsvektorer.
Dette velkjente «katt og mus»-spillet mellom motstandere og sikkerhetsleverandører som leverer bedre forsvar og sofistikerte tilnærminger for å stoppe løsepengevare-angrep har ført til mer samarbeid innen globale nettkriminelle ringer. På samme måte som safecrackere og alarmspesialister som brukes i tradisjonelle ran, driver eksperter innen utvikling av skadevare, nettverkstilgang og utnyttelse dagens angrep og skapte forhold for den neste evolusjonen innen løsepengevare.
RaaS-modellen i dag
RaaS har utviklet seg til å bli en sofistikert, menneskelig ledet virksomhet med en kompleks forretningsmodell for profittdeling. En RaaS-operatør som kan ha jobbet selvstendig tidligere, inngår nå kontrakter med spesialister for å øke sjansene for suksess.
En RaaS-operatør – som vedlikeholder spesifikke løsepengevareverktøy, kommuniserer med offeret og sikrer betalinger – vil nå ofte jobbe sammen med en hacker på høyt nivå, som vil utføre inntrengningen selv. Å ha en interaktiv angriper inne i målmiljøet muliggjør live beslutningstaking under angrepet. Sammen identifiserer de spesifikke svakheter i nettverket, eskalerer privilegier og krypterer de mest sensitive dataene for å sikre utbetalinger. I tillegg utfører de rekognosering for å finne og slette sikkerhetskopier på nettet og deaktivere sikkerhetsverktøy. Den kontraherte hackeren vil ofte jobbe sammen med en tilgangsmegler, som er ansvarlig for å gi tilgang til nettverket gjennom stjålne legitimasjon eller utholdenhetsmekanismer som allerede er på plass.
Angrepene som er et resultat av dette ekspertisesamarbeidet har følelsen og utseendet til «gammeldagse», statlig sponsede avanserte angrep i vedvarende trusselstil, men er mye mer utbredt.
Hvordan organisasjoner kan forsvare seg
Den nye, menneskelig opererte RaaS-modellen er mye mer sofistikert, målrettet og destruktiv enn RaaS-modellene fra fortiden, men det er fortsatt beste praksis organisasjoner kan følge for å forsvare seg.
Organisasjoner må være disiplinert når det gjelder sikkerhetshygiene. IT er alltid i endring, og hver gang et nytt endepunkt legges til, eller et system oppdateres, har det potensial til å introdusere en ny sårbarhet eller risiko. Sikkerhetsteam må forbli fokusert på beste praksis for sikkerhet: patching, bruk av multifaktorautentisering, håndheving av sterk legitimasjon, skanning av Dark Web for kompromittert legitimasjon, opplæring av ansatte i hvordan de oppdager phishing-forsøk og mer. Disse beste praksis bidrar til å redusere angrepsoverflaten og minimere risikoen for at en tilgangsmegler vil kunne utnytte en sårbarhet for å komme inn. I tillegg, jo sterkere sikkerhetshygiene en organisasjon har, jo mindre "støy" vil det være for analytikere å sortere gjennom i sikkerhetsoperasjonssenteret (SOC), slik at de kan fokusere på den virkelige trusselen når en blir identifisert.
Utover beste praksis for sikkerhet, må organisasjoner også sikre at de har avanserte trusseldeteksjons- og responsevner. Fordi tilgangsmeglere bruker tid på å utføre rekognosering i organisasjonens infrastruktur, har sikkerhetsanalytikere en mulighet til å oppdage dem og stoppe angrepet i de tidlige stadiene – men bare hvis de har de riktige verktøyene. Organisasjoner bør se på utvidede deteksjons- og responsløsninger som kan oppdage og krysskorrelere telemetri fra sikkerhetshendelser på tvers av endepunkter, nettverk, servere, e-post- og skysystemer og applikasjoner. De trenger også evnen til å svare uansett hvor angrepet er identifisert for å slå det av raskt. Store bedrifter kan ha disse egenskapene innebygd i sin SOC, mens mellomstore organisasjoner kanskje vil vurdere den administrerte deteksjons- og responsmodellen for 24/7 trusselovervåking og respons.
Til tross for den nylige nedgangen i løsepenge-angrep, bør ikke sikkerhetseksperter forvente at trusselen vil utslette når som helst snart. RaaS vil fortsette å utvikle seg, med de siste tilpasningene erstattet av nye tilnærminger som svar på cybersikkerhetsinnovasjoner. Men med fokus på beste praksis for sikkerhet kombinert med viktige trusselforebyggings-, deteksjons- og responsteknologier, vil organisasjoner bli mer motstandsdyktige mot angrep.
