Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 1. februar 2022 | Emne: Sikkerhed
En ud af syv læk af ransomware-afpresningsdata afslører forretningskritiske operationelle teknologidata, siger forskere.
Ransomware har udviklet sig fra barebone-kryptering og basale krav om betaling til noget potentielt langt mere alvorligt i de senere år.
Engang blev ransomware brugt i massevis til at inficere systemer og afpresse afpresningsbetalinger fra offentligheden – normalt i kryptovaluta som Bitcoin (BTC) – men nu retter operatørerne sig efter mål af høj værdi for større udbytte.
I det, nogle cybersikkerhedseksperter kalder “big game jagt”, går ransomware-grupper efter store virksomhedsvirksomheder, forsyningsselskaber, hospitaler og vigtige leverandørkædespillere.
Selvom det kan tage længere tid at udføre den rekognoscering, der kræves for at komme ind i netværk, der ejes af store virksomheder, er det muligt, at et angreb kan give dem millioner af dollars, når først adgang er opnået.
Colonial Pipeline er et eksempel på, hvor invaliderende et ransomware-angreb kan være. Brændstofleverandørens systemer blev kapret af ransomware i 2021 af DarkSide, og mens en løsesum på $4,4 millioner blev betalt for at genoprette Colonial Pipelines netværk, var skaden allerede sket – angrebet førte til panikkøb og brændstofmangel i hele USA.
Men ransomware-angreb mod virksomheden går nu længere. Cisco Secure opfandt udtrykket “one-to-punch” afpresning, hvor ransomware-operatører vil stjæle fortrolige data, før kryptering begynder og vil true med at lække disse oplysninger, hvis et offer nægter at betale.
Mange ransomware-operatører administrerer lækagesider online, der offentliggør stjålne datadumps, og ifølge Mandiant Threat Intelligence, i løbet af 2021, var tusindvis af ofre udsat for disse afpresningstaktikker.
På kun en 12-måneders periode blev over 1.300 organisationer fra kritiske tjenester, infrastruktur og industrisektoren berørt.
Mandiant indsamlede prøver fra ofre, der udnytter operationelle teknologier (OT) til deres produktion. Efter at have strømmet gennem datadumperne, der blev lækket på navn-og-skam-webstederne, fandt forskerne alt fra netværks- og tekniske diagrammer til information om partnerleverandører og operatørpaneler.
Blandt de undersøgte prøver var stjålne medarbejderlegitimationsoplysninger, aktivmærker, tredjepartsleverandøraftaler og juridiske dokumenter, projektfiler, produktdiagrammer, procesdokumenter, regneark, visualiseringer og i ét tilfælde den proprietære kildekode af en satellit-køretøjssporers GPS-platform.
“Baseret på vores analyse er det sandsynligt, at en ud af hver syv lækage fra industriorganisationer, der er opslået på ransomware-afpresningssteder, vil afsløre følsom OT-dokumentation,” siger forskerne. “Adgang til denne type data kan gøre det muligt for trusselsaktører at lære om et industrielt miljø, identificere stier med mindst modstand og udvikle cyberfysiske angreb.”
For at gøre tingene værre, kan lækkede OT-registre også give cyberangribere – uanset om den oprindelige gruppe eller et copycat-team ønsker at ramme det samme offer – et billede af en virksomheds kultur, personale, økonomi, produktionsprocesser, forskning, intellektuel ejendomsret og mere.
“Vi anbefaler, at organisationer i disse sektorer håndhæver robuste datahåndteringspolitikker for medarbejdere og underleverandører for at sikre, at intern teknisk dokumentation er beskyttet,” kommenterede Daniel Kapellmann Zafra, Mandiant senior teknisk analysechef. “Dette er især vigtigt for kritisk infrastruktur såsom jernbane, der leverer tjenester til tusindvis af passagerer hver dag.”
“Hvis du opdager, at dine data er blevet afsløret på et ransomware-afpresningssted, er det vigtigt at vurdere værdien af disse lækkede data og afgøre, om der skal indføres yderligere kontroller for at mindske risikoen for en modstander bruge disse data i fremtiden.”
Sidste måned offentliggjorde Trellix (McAfee Enterprise/FireEye) resultaterne af en analyse af ransomware-angreb mellem juli og september 2021. Virksomheden sagde, at organisationer i finans- og detailsektoren ud over forsyningsselskaber var de mest fælles mål, der udgør 58 % af rapporterede ransomware-hændelser.
Tidligere og relateret dækning
Ransomware: Mere end halvdelen af angrebene er rettet mod disse tre industrier
Ransomware i 2022: Vi er alle sammen forskruede
Dette er det perfekte ransomware-offer, ifølge cyberkriminelle
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre