Cyberbrottslingar blir mer strategiska och professionella när det gäller Ransomware. De efterliknar i allt högre grad hur legitima företag fungerar, inklusive utnyttjande av en växande försörjningskedja för cyberbrottslighet som en tjänst.
Den här artikeln beskriver fyra viktiga ransomware-trender och ger råd om hur man undviker att falla offer för dessa nya attacker.
1. IABs på frammarsch
Cyberbrottslighet blir mer lönsam, vilket framgår av tillväxten av initial access brokers (IAB) som är specialiserade på att bryta mot företag, stjäla referenser och sälja den åtkomsten till andra angripare. IAB:er är den första länken i dödskedjan för cyberbrottslighet som en tjänst, en skuggekonomi av off-the-shelf-tjänster som alla tänkbara brottslingar kan köpa för att konstruera sofistikerade verktygskedjor för att utföra nästan alla digitala brott man kan tänka sig.
IABs främsta kunder är ransomware-operatörer, som är villiga att betala för tillgång till färdiga offer samtidigt som de fokuserar sina egna ansträngningar på utpressning och förbättring av deras skadliga program.
År 2021 var det fler än 1,300 XNUMX IAB-listor på stora cyberbrottsforum som övervakas av KELA Cyber Intelligence Center, där nästan hälften kommer från 10 IABs. I de flesta fall låg priset för åtkomst mellan $1,000 10,000 och $4,600 XNUMX, med ett genomsnittligt försäljningspris på $XNUMX XNUMX. Av alla tillgängliga erbjudanden var VPN-referenser och domänadministratörsåtkomst bland dem det mest värdefulla.
2. Fillösa attacker flyger under radarn
Cyberbrottslingar tar ett ledtråd från avancerade ihållande hot (APT) och angripare i nationalstater genom att använda levande-off-the-land (LotL) och fillösa tekniker för att förbättra sina chanser att undvika upptäckt för att framgångsrikt distribuera ransomware.
Dessa attacker utnyttjar legitima, allmänt tillgängliga mjukvaruverktyg som ofta finns i ett måls miljö. Till exempel, 91 % av DarkSide ransomware attacker involverade legitima verktyg, med endast 9% som använde skadlig programvara, enligt en rapport av Picus Security. Andra attacker har upptäckts som var 100 % fillösa.
På så sätt undviker hotaktörer upptäckt genom att undvika "kända dåliga" indikatorer, såsom processnamn eller filhaschar. Listor med applikationstillåtelse, som tillåter användning av betrodda applikationer, misslyckas inte heller med att begränsa skadliga användare, särskilt för appar som finns överallt.
3. Ransomware-grupper som riktar in sig på lågprofilmål
Den högprofilerade Koloniala rörledningen ransomware attack i maj 2021 påverkade kritisk infrastruktur så allvarligt att den utlöste en internationell och högsta regeringens svar.
Sådana rubrikattacker föranleder granskning och samordnade ansträngningar från brottsbekämpande och försvarsmyndigheter för att agera mot operatörer av ransomware, vilket leder till avbrott i brottslig verksamhet, såväl som arresteringar och åtal. De flesta kriminella vill hellre hålla sin verksamhet under radarn. Med tanke på antalet potentiella mål har operatörer råd att vara opportunistiska samtidigt som de minimerar risken för sin egen verksamhet. Ransomware-aktörer har blivit mycket mer selektiva i sin inriktning mot offer, vilket möjliggörs av den detaljerade och detaljerade firmografin som tillhandahålls av IABs.
4. Insiders frestas med en bit av kakan
Ransomware-operatörer har också upptäckt att de kan anlita oseriösa anställda för att hjälpa dem få åtkomst. Konverteringsfrekvensen kan vara låg, men utdelningen kan vara värt ansträngningen.
A undersökning av Hitachi ID tagna mellan 7 december 2021 och 4 januari 2022, fann 65 % av de tillfrågade att deras anställda hade kontaktats av hotaktörer för att hjälpa till att ge initial åtkomst. Insiders som tar betet har olika anledningar till att vara villiga att svika sina företag, även om missnöje med sin arbetsgivare är den vanligaste drivkraften.
Oavsett orsaken kan erbjudandena från ransomware-grupper vara frestande. I Hitachi ID-undersökningen erbjöds 57 % av de kontaktade anställda mindre än 500,000 28 USD, 500,000 % erbjöds mellan 1 11 och 1 miljon USD och XNUMX % erbjöds mer än XNUMX miljon USD.
Praktiska steg för att förbättra skyddet
Den utvecklande taktiken som diskuteras här ökar hotet från ransomware-operatörer, men det finns åtgärder som organisationer kan vidta för att skydda sig själva:
- Följ bästa praxis utan förtroende, såsom multifaktorautentisering (MFA) och minsta privilegierad åtkomst, för att begränsa effekten av komprometterade autentiseringsuppgifter och öka chansen att upptäcka onormal aktivitet.
- Fokusera på att mildra insiderhot, en praxis som kan hjälpa till att begränsa skadliga handlingar inte bara av anställda utan även av externa aktörer (som trots allt verkar vara insiders när de väl har fått tillgång).
- Genomför regelbunden hotjakt, som kan hjälpa till att upptäcka fillösa attacker och hotaktörer som arbetar för att undvika ditt försvar tidigt.
Angripare letar alltid efter nya sätt att infiltrera organisationers system, och de nya knep vi ser bidrar verkligen till de fördelar som cyberbrottslingar har jämfört med organisationer som inte är förberedda på attacker. Organisationer är dock långt ifrån hjälplösa. Genom att ta de praktiska och beprövade stegen som beskrivs i den här artikeln kan organisationer göra livet väldigt tufft för IABs och ransomware-grupper, trots deras nya taktik.
