CISA en de FBI hebben een adviserende waarschuwing uitgegeven voor mogelijke cyberaanvallen die kunnen plaatsvinden in het komende Labor Day-weekend, waarbij wordt opgemerkt dat hackers de afgelopen jaren tientallen verwoestende aanvallen hebben uitgevoerd in lange weekenden.
Ze drongen er bij organisaties op aan om stappen te ondernemen om hun systemen te beveiligen, hun blootstelling te verminderen en mogelijk “preventief op jacht te gaan naar bedreigingen op hun netwerken om te zoeken naar tekenen van bedreigingsactoren.”
Eric Goldstein, uitvoerend assistent-directeur voor Cybersecurity bij CISA, zei dat ransomware “nog steeds een bedreiging voor de nationale veiligheid vormt”, maar merkte op dat de uitdagingen van mogelijke aanvallen “niet onoverkomelijk” zijn.
“Met onze FBI-partners blijven we dagelijks samenwerken om ervoor te zorgen dat we tijdige, nuttige en bruikbare adviezen verstrekken die industrie- en overheidspartners van elke omvang helpen om verdedigbare netwerkstrategieën toe te passen en hun veerkracht te versterken”, aldus Goldstein. “Alle organisaties moeten waakzaam blijven tegen deze voortdurende dreiging.”
Kaseya-aanval
Kaseya ransomware supply chain-aanval: wat u moet weten 1.500 getroffen bedrijven, bevestigt Kaseya VS start onderzoek omdat bende een gigantische betaling van $ 70 miljoen eist Kaseya dringt er bij klanten op aan de VSA-server onmiddellijk af te sluiten
Hij drong er bij organisaties op aan geen losgeld te betalen in het geval van een ransomware-aanval en zei dat contact moet worden opgenomen met CISA of lokale FBI-veldkantoren voordat er beslissingen worden genomen gemaakt.
CISA merkte op dat er over het algemeen een toename is van “zeer impactvolle ransomware-aanvallen” die plaatsvinden op feestdagen en in het weekend, en wijst op de verwoestende Kaseya-aanval die op 4 juli plaatsvond.
CISA zei dat het geen specifieke dreigingsinformatie heeft geeft aan dat aanvallen op handen zijn, maar legde uit dat bedreigingsactoren weten dat IT-teams tijdens vakantieweekenden beperkt zijn en noemde een aantal aanvallen die dit jaar op vakanties plaatsvonden.
Ze noemden de Moederdag-weekendaanval in mei door de DarkSide-ransomwaregroep op Colonial Pipeline en de Memorial Day-weekendaanval op grote vleesverwerker JBS door de Sodinokibi/REvil-ransomwaregroep. REvil trof vervolgens Kaseya op 4 juli en zette de trend van vakantieaanvallen voort.
meer berichtgeving
Alles wat u moet weten over de aanval op de koloniale pijplijn Ransomware is zojuist heel echt geworden. En het wordt waarschijnlijk erger waarschuwing voor aanhoudende bedrijfsinertie over beveiliging
“Het Internet Crime Complaint Center van de FBI, dat het publiek een betrouwbare bron biedt voor het rapporteren van informatie over cyberincidenten, ontving in 2020 791.790 klachten voor alle soorten internetcriminaliteit — een recordaantal — van het Amerikaanse publiek, met gerapporteerde verliezen van meer dan $ 4,1 miljard”, aldus het adviesbureau.
“Dit vertegenwoordigt een stijging van 69 procent van het totale aantal klachten vanaf 2019. Het aantal ransomware-incidenten blijft ook stijgen, met 2.474 incidenten gemeld in 2020, wat neerkomt op een toename van 20 procent van het aantal incidenten en een toename van 225 procent van de vraag om losgeld. Van januari tot 31 juli 2021 heeft de IC3 2.084 ransomware-klachten ontvangen met meer dan $ 16,8 miljoen aan verliezen, 62 procent meer rapportages en 20 procent meer gerapporteerde verliezen in vergelijking met dezelfde periode in 2020.”
De FBI voegde eraan toe dat de afgelopen maand de meest gemelde aanvallen betrekking hadden op ransomware-groepen zoals Conti, PYSA, LockBit, RansomEXX/Defray777, Zeppelin en Crysis/Dharma/Phobos.
Volgens het bericht koppelen meer ransomware-groepen ook de versleuteling van IT-middelen aan de secundaire afpersing van organisaties met gestolen gevoelige of eigendomsgegevens. CISA voegde eraan toe dat ransomware-groepen steeds vaker back-ups verwijderen en andere tactieken toevoegen om aanvallen verwoestender te maken.
De meest voorkomende initiële toegangsvectoren zijn phishing en brute forcering van onbeveiligde remote desktop-protocoleindpunten, volgens CISA. Ransomware-bendes gebruiken ook dropper-malware, misbruiken kwetsbaarheden en profiteren van gestolen inloggegevens.
Soms brengen ransomware-actoren weken door in een systeem voordat ze een aanval lanceren – meestal in het weekend of op feestdagen – dus drong CISA er bij IT-leiders op aan om hun systemen proactief te doorzoeken op mogelijke toegangspunten. Verdachte verkeerspatronen en vreemde toegangslocaties kunnen IT-teams helpen op de hoogte te stellen van het potentieel voor een aanval, merkte CISA op.
IT-leiders, zoals ThycoticCentrify vice-president Bill O'Neill, zeiden dat kwaadwillende actoren vaak weten dat lange weekenden betekenen dat er een vertraagde reactie zal zijn of een onvoorbereide 'skeletploeg' die simpelweg niet over de middelen beschikt om tegelijkertijd snel genoeg dreigingen controleren en afschrikken.
“Of bedreigingen zullen worden gecontroleerd, automatische waarschuwingen activeren en bepaalde lockdowns afdwingen, maar vaak vereisen die nog steeds menselijke actie voor mitigatie en aanvullende beveiligingscontroles”, zei O'Neill.
“En omdat de meeste organisaties er de voorkeur aan geven dat hun gegevens onmiddellijk worden vrijgegeven in plaats van de duur van een vakantieweekend te wachten (en blijvende reputatieschade oplopen), zullen ze ook eerder onderhandelen met aanvallers en betalen het gevraagde losgeld om de risico's op de lange termijn verbonden aan deze aanvallen te minimaliseren.”
Senior manager Hank Schless van Lookout voegde eraan toe dat hackers weten dat mensen mogelijk op reis zijn en geen toegang hebben tot hun werkcomputer of mobiele apparaat om een aanval te helpen stoppen zodra ze een melding van verdachte activiteit ontvangen.
Aanvallers zijn al veel geavanceerder geworden in hoe ze toegang krijgen tot de infrastructuur van een organisatie – zelfs wanneer teams volledig bemand zijn en werken, vertelde Schless aan ZDNet.
Jake Williams, CTO bij BreachQuest, legde uit dat de meeste ransomware-aanvallen die tegenwoordig worden gezien, gemakkelijk kunnen worden ontdekt vóór versleuteling door de richtlijnen van CISA te volgen.
“Dit geldt met name voor het beoordelen van logboeken. Bedreigingsactoren kunnen zeker zijdelingse bewegingen uitvoeren terwijl ze uit logboeken blijven, maar met de overvloed aan potentiële slachtoffers met vreselijke cyberhygiëne is dat momenteel niet nodig,” Williams zei, eraan toevoegend dat extreem basale niveaus van hygiëne en monitoring van cyberbeveiliging voldoende zijn om de huidige ransomware-aanvallers vroegtijdig te detecteren.
Tripwire vice-president Tim Erlin zei het kort: “Aanvallers nemen de weekenden niet vrij, en uw cyberbeveiliging ook niet.”
Beveiliging
T-Mobile hack: alles wat u moet Surfshark VPN-review weten: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Gegevensbeheer Beveiliging TV CXO-datacenters 