Ransomware är det största hotet mot cybersäkerhet som organisationer står inför idag. Men nyligen, båda ledare från National Security Agency och FBI indikerade att attackerna minskade under första halvåret 2022. Kombinationen av sanktioner mot Ryssland, där många cyberkriminella gäng har sitt ursprung, och kraschande kryptovalutamarknader kan ha haft en effekt, vilket gör det svårt för ransomware-gäng att utvinna pengar och få sina utbetalningar.
Men vi är inte ute ur skogen än. Trots en tillfällig nedgång blomstrar ransomware inte bara utan utvecklas också. Idag har ransomware-as-a-service (RaaS) utvecklats från en kommodifierad, automatiserad modell som bygger på färdigförpackade exploateringssatser, till en människostyrd, mycket riktad och sofistikerad affärsverksamhet. Det är anledningen till att företag av alla storlekar oroar sig.
Blir RaaS
Det är allmänt känt att dagens cyberkriminella är välutrustade, mycket motiverade och mycket effektiva. De blev inte så av misstag, och de har inte varit så effektiva utan kontinuerligt utveckla sin teknologi och sina metoder. Motivationen till massiv ekonomisk vinst har varit den enda konstanta.
Tidiga ransomware-attacker var enkla, teknikdrivna attacker. Attackerna ledde till ökat fokus på säkerhetskopierings- och återställningsmöjligheter, vilket ledde till att motståndare sökte upp online-säkerhetskopior och krypterade dem också under en attack. Angriparens framgång ledde till större lösensummor, och de större kraven på lösen gjorde det mindre sannolikt att offret skulle betala, och mer sannolikt att brottsbekämpande myndigheter skulle bli inblandade. Ransomware-gäng svarade med utpressning. De övergick till att inte bara kryptera data, utan även att exfiltrera och hota att offentliggöra den ofta känsliga informationen från offrets kunder eller partners, vilket introducerade en mer komplex risk för varumärkes- och rykteskador. Idag är det inte ovanligt att angripare med ransomware söker efter ett offers cyberförsäkring för att hjälpa till att ställa krav på lösen och göra hela processen (inklusive betalning) så effektiv som möjligt.
Vi har också sett mindre disciplinerade (men lika skadliga) ransomware-attacker. Att till exempel välja att betala en lösensumma identifierar i sin tur också ett offer som en tillförlitlig passform för en framtida attack, vilket ökar sannolikheten att det kommer att drabbas igen, av samma eller ett annat ransomware-gäng. Forskningsuppskattningar mellan 50% till 80% (PDF) av organisationer som betalade en lösensumma drabbades av en upprepad attack.
I takt med att ransomware-attacker har utvecklats har säkerhetstekniker också utvecklats, särskilt inom områden med identifiering och blockering av hot. Anti-phishing, skräppostfilter, antivirus och detektering av skadlig kod har alla finjusterats för att hantera moderna hot för att minimera hotet om en kompromiss via e-post, skadliga webbplatser eller andra populära attackvektorer.
Detta ökända "katt och råtta"-spel mellan motståndare och säkerhetsleverantörer som levererar bättre försvar och sofistikerade metoder för att stoppa ransomware-attacker har lett till mer samarbete inom globala cyberkriminella ringar. Ungefär som safecrackers och larmspecialister som används vid traditionella rån, driver experter på utveckling av skadlig programvara, nätverksåtkomst och exploatering dagens attacker och skapade förutsättningar för nästa utveckling inom ransomware.
RaaS-modellen idag
RaaS har utvecklats till att bli en sofistikerad, mänskligt ledd verksamhet med en komplex affärsmodell för vinstdelning. En RaaS-operatör som kan ha arbetat självständigt tidigare har nu kontrakt med specialister för att öka chanserna till framgång.
En RaaS-operatör – som underhåller specifika ransomware-verktyg, kommunicerar med offret och säkrar betalningar – kommer nu ofta att arbeta tillsammans med en hackare på hög nivå, som kommer att utföra intrånget själv. Att ha en interaktiv angripare inne i målmiljön möjliggör livebeslut under attacken. Tillsammans identifierar de specifika svagheter i nätverket, eskalerar privilegier och krypterar de mest känsliga uppgifterna för att säkerställa utbetalningar. Dessutom genomför de spaning för att hitta och ta bort säkerhetskopior online och inaktivera säkerhetsverktyg. Den kontrakterade hackaren kommer ofta att arbeta tillsammans med en åtkomstmäklare, som är ansvarig för att ge tillgång till nätverket genom stulna referenser eller beständighetsmekanismer som redan finns på plats.
Attackerna som härrör från detta expertsamarbete har känslan och utseendet av "gammaldags", statligt sponsrade avancerade attacker av ihållande hotstil, men är mycket vanligare.
Hur organisationer kan försvara sig
Den nya, mänskligt drivna RaaS-modellen är mycket mer sofistikerad, målinriktad och destruktiv än tidigare RaaS-modeller, men det finns fortfarande bästa praxis som organisationer kan följa för att försvara sig själva.
Organisationer måste vara disciplinerade när det gäller sin säkerhetshygien. IT förändras hela tiden, och varje gång en ny slutpunkt läggs till, eller ett system uppdateras, har det potential att introducera en ny sårbarhet eller risk. Säkerhetsteam måste förbli fokuserade på bästa metoder för säkerhet: patcha, använda multifaktorautentisering, upprätthålla starka referenser, skanna Dark Web efter komprometterade autentiseringsuppgifter, utbildning av anställda i hur man upptäcker nätfiskeförsök och mer. Dessa bästa praxis hjälper till att minska attackytan och minimera risken att en åtkomstmäklare kommer att kunna utnyttja en sårbarhet för att komma in. Dessutom, ju starkare säkerhetshygien en organisation har, desto mindre "buller" blir det för analytiker att sortera igenom i säkerhetsoperationscentret (SOC), vilket gör det möjligt för dem att fokusera på det verkliga hotet när en identifieras.
Utöver bästa säkerhetspraxis måste organisationer också se till att de har avancerade hotdetektions- och svarsmöjligheter. Eftersom accessmäklare lägger ner tid på att utföra spaning i organisationens infrastruktur, har säkerhetsanalytiker en möjlighet att upptäcka dem och stoppa attacken i dess tidiga skeden – men bara om de har rätt verktyg. Organisationer bör se till utökade detekterings- och svarslösningar som kan upptäcka och korskorrelera telemetri från säkerhetshändelser över deras slutpunkter, nätverk, servrar, e-post- och molnsystem och applikationer. De behöver också förmågan att svara varhelst attacken identifieras för att snabbt stänga av den. Stora företag kan ha dessa funktioner inbyggda i sin SOC, medan medelstora organisationer kanske vill överväga den hanterade detektions- och svarsmodellen för 24/7 hotövervakning och respons.
Trots den senaste tidens nedgång i ransomware-attacker, bör säkerhetspersonal inte förvänta sig att hotet kommer att försvinna när som helst snart. RaaS kommer att fortsätta att utvecklas, med de senaste anpassningarna ersatta av nya tillvägagångssätt som svar på cybersäkerhetsinnovationer. Men med fokus på bästa säkerhetspraxis i kombination med viktiga hotförebyggande, upptäckts- och svarstekniker kommer organisationer att bli mer motståndskraftiga mot attacker.
