Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.
Fullständig biografi publicerad i Zero Day den 1 februari 2022 | Ämne: Säkerhet
En av sju läckor av ransomware-utpressningsdata avslöjar affärskritisk operativ teknikdata, säger forskare.
Ransomware har utvecklats från barebone-kryptering och grundläggande krav på betalning till något potentiellt mycket allvarligare de senaste åren.
En gång användes ransomware i massor för att infektera system och pressa ut utpressningsbetalningar från allmänheten – vanligtvis i kryptovaluta som Bitcoin (BTC) – men nu siktar operatörer på högvärdiga mål för större utdelning.
I det som vissa cybersäkerhetsexperter kallar “big game hunting”, går ransomware-grupper till stora företag, verktyg, sjukhus och nyckelaktörer i leveranskedjan.
Även om det kan ta längre tid att utföra den spaning som krävs för att komma in i nätverk som ägs av stora företag, är det möjligt att en attack kan landa miljontals dollar när inträde har erhållits.
Colonial Pipeline är ett exempel på hur försvagande en ransomware-attack kan vara. Bränsleleverantörens system kapades av ransomware 2021 av DarkSide, och medan en lösensumma på 4,4 miljoner dollar betalades ut för att återställa Colonial Pipelines nätverk, var skadan redan skedd – attacken ledde till panikköp och bränslebrist över hela USA.
Men ransomware-attacker mot företaget går nu längre. Cisco Secure myntade termen “one-two-punch” utpressning, där ransomware-operatörer kommer att stjäla konfidentiell data innan kryptering börjar och kommer att hota att läcka denna information om ett offer vägrar att betala.
Många ransomware-operatörer hanterar läckagesidor online som publicerar stulna datadumpar, och enligt Mandiant Threat Intelligence, under 2021, befann sig tusentals offer för dessa utpressningstaktik.
På bara en 12-månadersperiod drabbades över 1 300 organisationer från kritiska tjänster, infrastruktur och industrisektorn.
Mandiant samlade in prover från offer som utnyttjar operativ teknologi (OT) för sin produktion. Efter att ha hällt igenom datadumparna som läckt ut på namn-och-skam-webbplatserna hittade forskarna allt från nätverks- och teknikdiagram till information om partnerleverantörer och operatörspaneler.
Bland de prover som undersöktes var stulna anställdsuppgifter, tillgångstaggar, avtal från tredje part och juridiska dokument, projektfiler, produktdiagram, processdokument, kalkylblad, visualiseringar och i ett fall den proprietära källkoden av en satellitfordonsspårares GPS-plattform.
“Baserat på vår analys, kommer sannolikt en av sju läckor från industriorganisationer som publiceras på utpressningswebbplatser för ransomware att avslöja känslig OT-dokumentation”, säger forskarna. “Tillgång till denna typ av data kan göra det möjligt för hotaktörer att lära sig om en industriell miljö, identifiera vägar med minsta motstånd och konstruera cyberfysiska attacker.”
För att göra saken värre kan läckta OT-poster också ge cyberattackare – oavsett om den ursprungliga gruppen eller ett copycat-team vill slå samma offer – en bild av ett företags kultur, personal, ekonomi, produktionsprocesser, forskning, immateriella rättigheter och mer.
“Vi rekommenderar att organisationer inom dessa sektorer tillämpar robusta datahanteringspolicyer för anställda och underleverantörer för att säkerställa att intern teknisk dokumentation är skyddad”, kommenterade Daniel Kapellmann Zafra, senior teknisk analyschef på Mandiant. “Detta är särskilt viktigt för kritisk infrastruktur som järnväg, som tillhandahåller tjänster till tusentals passagerare varje dag.”
“Om du upptäcker att din data har avslöjats på en webbplats för utpressning av ransomware, är det viktigt att bedöma värdet av denna läckta data och avgöra om några ytterligare kontroller bör införas för att minska risken för en motståndare använda dessa uppgifter i framtiden.”
Förra månaden släppte Trellix (McAfee Enterprise/FireEye) resultaten av en analys av ransomware-attacker mellan juli och september 2021. Företaget sa att organisationer inom finans- och detaljhandelssektorerna, vid sidan av verktyg, var de mest gemensamma mål, som utgör 58 % av rapporterade ransomware-incidenter.
Tidigare och relaterad täckning
Ransomware: Över hälften av attackerna är inriktade på dessa tre branscher
Ransomware 2022: Vi är alla skruvade
Det här är det perfekta offret för ransomware, enligt cyberkriminella
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter