BLACK HAT USA: Adopsjon av dobbelt-utpressingsangrep mot selskaper i ransomware-kampanjer er en stigende trend i verdensrommet, advarer forskere.
Ransomware -varianter er vanligvis programmer som tar sikte på å hindre brukere i å få tilgang til systemer og data lagret på infiserte enheter eller nettverk. Etter å ha låst ofre ute, blir filer og stasjoner ofte kryptert – og i noen tilfeller også sikkerhetskopier – for å presse en betaling fra brukeren.
I dag inkluderer kjente ransomware-familier WannaCry, Cryptolocker, NotPetya, Gandcrab og Locky.
Ransomware ser nå ut til å gjøre overskriftene måned for måned. Nylig belyste tilfellene av Colonial Pipeline og Kaseya hvor forstyrrende et vellykket angrep kan være for en virksomhet, så vel som for kundene – og ifølge Cisco Talos vil det sannsynligvis bare bli verre i fremtiden.
I 1989 ble AIDS -trojaneren – uten tvil en av de tidligste formene for ransomware – spredt gjennom disketter. Nå brukes automatiserte verktøy til å brute-tvinge internettvendte systemer og laste inn ransomware; ransomware blir distribuert i angrep i forsyningskjeden, og kryptokurver gjør at kriminelle lettere kan sikre utpressingsbetalinger uten en pålitelig papirspor.
Som et globalt problem og et som politimyndigheter sliter med å slite med, er det mindre sannsynlig at ransomware -operatører blir pågrepet enn i mer tradisjonelle former for kriminalitet – og som store virksomheter går disse nettkriminelle nå etter store selskaper i jakten på høyest mulig økonomisk gevinst.
I Black Hat USA sa Edmund Brumaghin, forskningsingeniør i Cisco Secure, at den såkalte trenden med “storviltjakt” har videreutviklet taktikken som brukes av ransomware-operatører.
Nå har jakten på storvilt blitt “mainstream”, sier Brumaghin at cyberangrep ikke distribuerer ransomware umiddelbart på et målsystem. I stedet, som i eksempelet med typiske SamSam -angrep, vil trusselaktører nå, oftere, få et første tilgangspunkt gjennom et endepunkt og deretter bevege seg lateralt over et nettverk, og svinge for å få tilgang til så mange systemer som mulig.
Cisco Talos
“Når de hadde maksimert prosentandelen av miljøet som var under deres kontroll, ville de distribuere ransomware samtidig,” kommenterte Brumaghin. “Det er en av de typer angrep der de vet at organisasjoner kan bli tvunget til å betale ut på grunn av at et enkelt endepunkt blir smittet, nå blir 70 eller 80 prosent av infrastrukturen på serversiden påvirket operativt samtidig.”
Etter at et offer har mistet kontrollen over systemene sine, står de deretter overfor et annet problem: den nye trenden med dobbel-utpressing. Mens en angriper lurer på et nettverk, kan de også rive gjennom filer og eksfiltrere sensitive bedriftsdata – inkludert kunde- eller klientinformasjon og immateriell eiendom – og de vil da true sine ofre med salg eller offentlig lekkasje.
“Ikke bare sier du at du bare har X tid til å betale løsepenger og få tilgang til serveren din, hvis du ikke betaler innen en viss tid, skal vi begynne å slippe all denne sensitive informasjonen på internett til allmennheten, “bemerket Brumaghin.
Denne taktikken, som forskeren sier “legger til et annet nivå av utpressing i ransomware -angrep”, har blitt så populær de siste årene at ransomware -operatører ofte oppretter “lekkasje” -sider, både i det mørke og klare nettet, som portaler for datadumper og i for å kommunisere med ofre.
Ifølge forskeren er dette en “one-two-punch” -metode som blir verre nå som ransomware-grupper også vil bruke Initial Access Brokers (IABs) for å kutte ut noen av legworkene som kreves ved lansering. en cyberangrep.
IABer kan bli funnet på mørke webfora og kontaktes privat. Disse traderne selger første tilgang til et kompromittert system – for eksempel gjennom et VPN -sårbarhet eller stjålet legitimasjon – og så kan angriperne omgå de første stadiene av infeksjon hvis de er villige til å betale for tilgang til et målnettverk, og sparer både tid og krefter .
“Det gir mye mening ut fra en trusselaktørs perspektiv,” sa Brumaghin. “Når du tenker på noen av løsesumskravene vi ser, er det i mange tilfeller fornuftig for dem i stedet for å prøve å gjøre alt de [..] de bare kan stole på førstegangsmeglere for å gi dem tilgang som allerede er oppnådd. “
Endelig har Ciscos sikkerhetsteam også merket en økning i ransomware 'karteller': grupper som deler informasjon og jobber sammen for å identifisere teknikker og taktikker som mest sannsynlig vil resultere i inntektsgenerering.
Brumaghin kommenterte:
“Vi ser massevis av nye trusselaktører begynne å adoptere denne forretningsmodellen, og vi fortsetter å se nye dukke opp, så det er noe organisasjoner virkelig må være klar over.”
Tidligere og relatert dekning
Ransomware som en tjeneste: Forhandlere er nå i høy etterspørsel
Dette store ransomware -angrepet ble avverget i siste øyeblikk. Slik oppdaget de det. Hva er ransomware? Alt du trenger å vite om en av de største truslene på nettet
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 