Danny Palmer Seniorreporter
Danny Palmer är seniorreporter på ZDNet. Baserad i London skriver han om frågor som cybersäkerhet, hacking och skadlig programvara.
Fullständig bio den 1 februari 2022 | Ämne: Cybersecurity: Låt oss få taktiska 
Hotet med ransomware växer: Vad behöver hända för att förhindra att attacker blir värre? Titta nu
Ransomware har blivit det största cybersäkerhetsproblemet som företag, regeringar och världen står inför idag.
Enligt Vita huset var en av de misstänkta som greps som en del av REvil-razziorna personen bakom Colonial Pipeline ransomware-attacken, händelsen som ledde till gasbrist på USA:s östkust. Attacken – som såg till att Colonial betalade en lösensumma på 5 miljoner dollar – var inte av REvil, utan DarkSide, en separat men nära associerad ransomware-grupp.
Den här situationen illustrerar en av de problem som komplicerar störande ransomware – grupperna som driver dem agerar inte som vanliga företag med tydliga jobbtitlar. Istället kan de olika grupperna överlappa varandra och enskilda cyberbrottslingar kan röra sig mellan olika outfits.
Om en grupp blir borttagen av brottsbekämpande myndigheter kan återstående ransomware-utvecklare och andra medlemmar av verksamheten ta sina färdigheter någon annanstans, hjälpa befintliga ransomware-partnerprogram eller hjälpa till att skapa ett nytt.
Ransomware-as-a-service affiliate-system gör det möjligt för cyberbrottslingar som vill utföra ransomware-attacker, utan att behöva bygga ransomware själva, att komma in i handlingen – vanligtvis med utvecklarna av produkten som tar ett stopp av vinsten från lösensummor.
Under årens lopp har personerna som driver affiliate-programmen kommit och gått, antingen efter att ha stängts ner, tagit ett tillfälligt uppehåll, ibland återvänt efter ett omprofilerat varumärke, eller i vissa fall bara gått i pension från ransomware-verksamheten. Men för dem som vill vara en del av ett ransomware-as-a-service-system finns det fortfarande gott om alternativ när nya operationer fortsätter att dyka upp.
Så även om arresteringar och nedläggningar är effektiva verktyg mot dem som utvecklar ransomware, innebär efterfrågan från de lägre i kedjan, i kombination med skickliga ransomware-författare som tar sina kunskaper till nya operationer, sannolikt att nya ransomware-operationer kommer att fortsätta dyka upp, även efter nedgångar.
SE: Ransomware: Det är en “gyllene era” för cyberbrottslingar – och det kan bli värre innan det blir bättre
Det är osannolikt att den senaste omgången av arresteringar plötsligt kommer att stoppa ransomware för gott. Men de visar ransomware-grupper och cyberbrottslingarna runt dem att de inte är immuna från att bli spårade och få sina tillgångar erhållna och lösenkrav beslagtagna, särskilt när fler och fler arresteringar äger rum.
“Det är fortfarande lukrativt, så det finns många anledningar att göra det, det är fortfarande inte särskilt riskabelt relativt sett, men när det gäller att lägga på kostnader har kostnaderna för att göra affärer ökat”, säger Ciaran Martin, professor i praktik vid University of Oxfords Blavatnik School of Government – och tidigare chef för Storbritanniens National Cyber Security Centre.
“Kanske är de inte de stora operatörerna, kanske är de bara bit-part-spelare, men det har fortfarande en inverkan, och jag tror att det fortfarande gör att känslan av straffrihet för ransomware blir lite bättre”, tillägger han.
Som demonstrerat av mörka webbdiskussioner efter arresteringarna, kan åtgärder mot ransomware-grupper också skapa tvivel hos dem som ligger bakom cyberattacker.
Inte bara kan de vara mer benägna att vara oroliga för tanken på att brottsbekämpande myndigheter slår ner deras dörr, utan det kan skapa idén att individer i ransomware-ekosystemet inte kan lita på – det kan vara så att brottsbekämpande myndigheter har infiltrerat ett forum, eller så har en framstående medlem plötsligt blivit tvingad att hjälpa myndigheterna med deras utredning.
“Förtroendet mellan de olika delarna av dessa nätverk har förmodligen urholkats”, säger Martin.
Och om det råder tvivel bland samhällen med ransomware på mörka webben, skjuter det upp ytterligare en barriär som gör kampanjer lite svårare att genomföra.
Att gripa cyberbrottslingar är välkommet, det är något som tar bort en stor cybersäkerhetsfråga som organisationer står inför idag och visar att det finns potentiella konsekvenser för att utföra cyberbrott – men frågan om ransomware kommer inte plötsligt att försvinna 2022.
“Det är inte över på något sätt”, säger Martin. “Delar av det har blivit lite bättre, men det är fortfarande vår tids främsta cybersäkerhetsfråga.”
MER OM CYBERSÄKERHET
Ransomware angripare riktade in sig på detta företag. Sedan upptäckte försvarare något konstigtBossar tror att säkerheten är uppmärksam: CISO:er är inte så säkraRansomware: Det är bara en tidsfråga innan en smart stad faller offer, och vi måste vidta åtgärder nuCrooks säljer åtkomst till hackade nätverk. Ransomware-gäng är deras största kunderDetta företag drabbades av ransomware, men behövde inte betala. Så här gjorde de Security TV | Datahantering | CXO | Datacenter