Hvorfor ransomware er et stort cybersikkerhedsproblem, og hvad der skal gøres for at stoppe det Se nu
Den pludselige forsvinden af en af de mest produktive ransomware -tjenester har tvunget skurke til at skifte til andre former for ransomware, og især har man oplevet en stor vækst i popularitet.
REvil – også kendt som Sodinokibi – ransomware -banden gik mørkt i juli, kort efter at have fundet sig selv opmærksom på Det Hvide Hus efter det massive ransomware -angreb, der ramte 1.500 organisationer rundt om i verden.
Det er stadig usikkert, om REvil er stoppet for godt, eller om de vender tilbage under forskellige mærker – men datterselskaber til ransomware -ordningen venter ikke på at finde ud af det; de skifter til at bruge andre mærker af ransomware, og ifølge analyse foretaget af cybersikkerhedsforskere hos Symantec er LockBit ransomware blevet det foretrukne våben.
SE: En vindende strategi for cybersikkerhed (ZDNet specialrapport)
LockBit dukkede først op i september 2019, og de bagved tilføjede en ransomware-as-a-service-ordning i januar 2020, så cyberkriminelle kunne leje LockBit ud for at starte ransomware-angreb-i bytte for et fald i overskuddet.
< p> LockBit er ikke så høj profil som nogle andre former for ransomware, men de, der bruger det, har tjent penge på sig selv med løsepenge, der er betalt i Bitcoin.
Nu har den tilsyneladende forsvinden af REvil ført til en stigning i cyberkriminelle, der henvender sig til LockBit for at udføre ransomware -angreb – hjulpet af forfatterne af LockBit, der har lagt kræfter i at tilbyde en opdateret version.
“LockBit har i de seneste uger aggressivt annonceret for nye datterselskaber. For det andet hævder de at have en ny version af deres nyttelast med meget højere krypteringshastigheder. For en hacker, jo hurtigere kan du kryptere computere, før dit angreb bliver afdækket, jo mere skade du vil forårsage, “sagde Dick O'Brien, senior forskningsredaktør hos Symantec, til ZDNet.
Forskere bemærker, at mange af dem, der nu bruger LockBit, bruger de samme taktikker, værktøjer og procedurer, som de tidligere brugte i forsøg på at levere REvil til ofre – de har lige skiftet nyttelasten.
Disse metoder omfatter udnyttelse af upatchede firewall- og VPN -sårbarheder eller brute force -angreb mod fjerndesktop -protokol (RPD) -tjenester, der er udsat for internettet, samt brug af værktøjer, herunder Mimikatz og Netscan, til at hjælpe med at etablere adgangen til det netværk, der kræves for at installere ransomware.
Og ligesom andre ransomware -grupper bruger LockBit -angribere også dobbelt afpresningsangreb, stjæler data fra offeret og truer med at offentliggøre det, hvis der ikke betales en løsesum.
Selvom det har fløjet noget under radaren indtil nu, indsatte angribere, der brugte LockBit, det i et forsøg på ransomware -angreb mod Accenture – selvom virksomheden sagde, at det ikke havde nogen effekt, da de var i stand til at gendanne filer fra backup.
LockBit har også tiltrukket sig opmærksomhed fra nationale sikkerhedstjenester; Australian Cyber Security Center (ACSC) offentliggjorde i denne uge en advarsel om LockBit 2.0, der advarede om en stigning i angreb.
SE: Dette nye phishing -angreb er 'sneakier end normalt', advarer Microsoft
Ransomware udgør en trussel for organisationer, uanset hvilket mærke der bruges. Bare fordi en højt profileret gruppe tilsyneladende er forsvundet – for nu – betyder det ikke, at ransomware er en mindre trussel.
“Vi betragter LockBit som en sammenlignelig trussel. Det er ikke kun ransomware i sig selv, det er angribernes dygtighed, der anvender den. I begge tilfælde er angriberne bag truslerne ganske dygtige,” sagde O'Brien.
“På kort sigt forventer vi at se Lockbit fortsat være en af de mest anvendte ransomware-familier i målrettede angreb. De langsigtede udsigter afhænger af, om nogle af de nyligt afgåede ransomware-udviklere-f.eks. som REvil og Darkside – vende tilbage, “tilføjede han.
For at hjælpe med at beskytte mod at blive offer for ransomware -angreb bør organisationer sikre, at software og tjenester er opdateret med de nyeste patches, så cyberkriminelle ikke kan udnytte kendte sårbarheder for at få adgang til netværk. Det anbefales også, at flerfaktorautentificering anvendes på alle brugerkonti for at forhindre, at angribere let kan bruge lækage eller stjålne adgangskoder.
Organisationer bør også regelmæssigt sikkerhedskopiere netværket, så i tilfælde af at blive offer for et ransomware -angreb kan netværket gendannes uden at betale en løsesum.
MERE OM CYBERSIKKERHED
Dette store ransomware -angreb blev afværget i sidste øjeblik. Sådan opdagede de det Ransomware: Dette er de to mest almindelige måder, hvorpå hackere kommer ind i dit netværk Med ransomware -angreb i stigning lancerer USA et nyt websted for at bekæmpe truslen Har vi nået top -ransomware? Hvordan internettets største sikkerhedsproblem er vokset, og hvad der derefter sker Denne virksomhed blev ramt af ransomware. Her er, hvad de gjorde derefter, og hvorfor de ikke betalte op
Relaterede emner:
Sikkerhed TV Datahåndtering CXO Datacentre < p class = "meta"> Af Danny Palmer | 13. august 2021 – 09:00 GMT (10:00 BST) | Emne: Sikkerhed