BLACK HAT USA: Vedtagelsen af dobbelt-afpresningsangreb mod virksomheder i ransomware-kampagner er en stigende tendens i rummet, advarer forskere.
Ransomware -varianter er typisk programmer, der har til formål at forhindre brugere i at få adgang til systemer og alle data, der er gemt på inficerede enheder eller netværk. Efter at have låst ofre ude, vil filer og drev ofte blive krypteret – og i nogle tilfælde også sikkerhedskopier – for at afpresse en betaling fra brugeren.
I dag omfatter velkendte ransomware-familier WannaCry, Cryptolocker, NotPetya, Gandcrab og Locky.
Ransomware ser nu ud til at gøre overskrifterne måned-til-måned. For nylig fremhævede sagerne om Colonial Pipeline og Kaseya, hvor forstyrrende et vellykket angreb kan være for en virksomhed såvel som dens kunder – og ifølge Cisco Talos vil det sandsynligvis kun blive værre i fremtiden.
I 1989 blev AIDS Trojan – uden tvivl en af de tidligste former for ransomware – spredt gennem disketter. Nu bruges automatiserede værktøjer til at brute-tvinge internetvendte systemer og indlæse ransomware; ransomware indsættes i forsyningskæde-angreb, og kryptokurver gør det muligt for kriminelle lettere at afpresse betalinger uden et pålideligt papirspor.
Som et globalt problem, som retshåndhævende kæmper for at kæmpe med, er ransomware -operatører mindre tilbøjelige til at blive pågrebet end i mere traditionelle former for kriminalitet – og som store virksomheder går disse cyberkriminelle nu efter store virksomheder i jagten på at finde størst mulig økonomisk gevinst.
I Black Hat USA sagde Edmund Brumaghin, forskningsingeniør hos Cisco Secure, at den såkaldte trend med “big game hunting” har videreudviklet den taktik, der anvendes af ransomware-operatører.
Nu er jagt på storvildt gået “mainstream”, siger Brumaghin, at cyberangreb ikke umiddelbart implementerer ransomware på et målsystem. I stedet, som i eksemplet med typiske SamSam -angreb, vil trusselsaktører nu oftere få et indledende adgangspunkt gennem et slutpunkt og derefter bevæge sig lateralt på tværs af et netværk og dreje for at få adgang til så mange systemer som muligt.
Cisco Talos
“Når de havde maksimeret procentdelen af miljøet, der var under deres kontrol, så ville de implementere ransomware samtidigt,” kommenterede Brumaghin. “Det er en af de typer angreb, hvor de ved, at organisationer kan blive tvunget til at betale ud på grund af, at i stedet for at et enkelt endepunkt bliver inficeret, bliver 70 eller 80 procent af infrastrukturen på serversiden påvirket operationelt på samme tid.”
Efter at et offer har mistet kontrollen over deres systemer, står de så over for et andet problem: den nye tendens til dobbelt-afpresning. Mens en angriber lurer på et netværk, kan de også rive gennem filer og eksfiltrere følsomme virksomhedsdata – herunder kunde- eller klientoplysninger og intellektuel ejendomsret – og de vil derefter true deres ofre med salg eller offentlig lækage.
“Ikke bare siger du, at du kun har X tid til at betale løsepenge -efterspørgslen og genvinde adgang til din server, hvis du ikke betaler inden et bestemt tidspunkt, begynder vi at frigive alle disse følsomme oplysninger på internettet til offentligheden, “bemærkede Brumaghin.
Denne taktik, som forskeren siger “tilføjer endnu et niveau af afpresning i ransomware -angreb”, er blevet så populær i de seneste år, at ransomware -operatører ofte opretter 'lækage' websteder, i både det mørke og klare web, som portaler til datadumpinger og i for at kommunikere med ofre.
Ifølge forskeren er dette en “one-two-punch” -metode, der bliver værre, nu hvor ransomware-grupper også vil anvende Initial Access Brokers (IAB'er) til at afskære nogle af de kræfter, der kræves ved lancering et cyberangreb.
IAB'er kan findes på mørke webfora og kontaktes privat. Disse forhandlere sælger indledende adgang til et kompromitteret system – f.eks. Gennem en VPN -sårbarhed eller stjålne legitimationsoplysninger – og så kan angriberne omgå de første stadier af infektion, hvis de er villige til at betale for adgang til et målnetværk, hvilket sparer både tid og kræfter .
“Det giver meget mening fra en trusselsaktørs perspektiv,” sagde Brumaghin. “Når du overvejer nogle af de løsesumskrav, vi ser, giver det i mange tilfælde mening for dem i stedet for at forsøge at gennemgå al den indsats [..] de kan simpelthen stole på initial access -mæglere for at give dem adgang det er allerede opnået. “
Endelig har Ciscos sikkerhedsteam også bemærket en stigning i ransomware 'karteller': grupper, der deler oplysninger og arbejder sammen om at identificere de teknikker og taktikker, der sandsynligvis vil resultere i indtægtsgenerering.
Brumaghin kommenterede:
“Vi ser masser af nye trusselsaktører begynde at vedtage denne forretningsmodel, og vi fortsætter med at se nye dukke op, så det er noget, organisationer virkelig skal være opmærksomme på.”
Tidligere og relateret dækning
Ransomware som en service: Forhandlere er nu i høj efterspørgsel
Dette store ransomware -angreb blev afværget i sidste øjeblik. Sådan opdagede de det – Hvad er ransomware? Alt hvad du behøver at vide om en af de største trusler på nettet
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 