BLACK HAT USA: Antagandet av dubbel-utpressningsattacker mot företag i ransomware-kampanjer är en stigande trend i rymden, varnar forskare.
Ransomware -varianter är vanligtvis program som syftar till att hindra användare från att komma åt system och all data som lagras på infekterade enheter eller nätverk. Efter att ha låst offren kommer filer och enheter ofta att krypteras – och i vissa fall även säkerhetskopior – för att pressa en betalning från användaren.
Idag inkluderar välkända ransomware-familjer WannaCry, Cryptolocker, NotPetya, Gandcrab och Locky.
Ransomware verkar nu göra rubrikerna från månad till månad. Nyligen belyste fallen med Colonial Pipeline och Kaseya hur störande en framgångsrik attack kan vara för ett företag, såväl som för sina kunder – och enligt Cisco Talos kommer det sannolikt bara att bli värre i framtiden.
År 1989 spreds AIDS -trojanen – utan tvekan en av de tidigaste formerna av ransomware – genom disketter. Nu används automatiska verktyg för att brute-tvinga internet-vända system och ladda ransomware; ransomware används i attack-supply chain-attacker, och kryptovalutor gör det möjligt för kriminella att lättare säkra utpressningar utan ett tillförlitligt pappersspår.
Som en global fråga och en som brottsbekämpande kämpar med att kämpa med kan ransomware -operatörer vara mindre benägna att gripas än i mer traditionella former av brottslighet – och som stora företag går dessa cyberkriminella nu efter stora företag i jakten på högsta möjliga ekonomiska vinst.
I Black Hat USA sa Edmund Brumaghin, forskningsingenjör på Cisco Secure, att den så kallade trenden med “jakt på stora vilt” har ytterligare utvecklat den taktik som används av ransomware-operatörer.
Nu har jakten på storvilt blivit “mainstream”, säger Brumaghin att cyberattacker inte använder ransomware direkt på ett målsystem. I stället, som i exemplet med typiska SamSam -attacker, kommer hotaktörer nu, oftare, att få en initial åtkomstpunkt genom en slutpunkt och sedan flytta i sidled över ett nätverk, svänga för att få åtkomst till så många system som möjligt.
Cisco Talos
“När de hade maximerat procentandelen av miljön som var under deras kontroll, då skulle de distribuera ransomware samtidigt”, kommenterade Brumaghin. “Det är en av de typerna av attacker där de vet att organisationer kan tvingas betala ut på grund av att istället för att en enda slutpunkt blir infekterad påverkas nu 70 eller 80 procent av infrastrukturen på serversidan samtidigt.”
Efter att ett offer har tappat kontrollen över sina system står de sedan inför ett annat problem: den framväxande trenden med dubbelpressning. Medan en angripare lurar på ett nätverk kan de också skjuta igenom filer och exfiltrera känslig företagsdata – inklusive kund- eller klientinformation och immateriell egendom – och de hotar sedan sina offer med försäljning eller offentlig läcka.
“Inte bara säger du att du bara har X tid på dig att betala lösenkravet och återfå åtkomst till din server, om du inte betalar vid en viss tid kommer vi att börja släppa all denna känsliga information på internet till allmänheten “, konstaterade Brumaghin.
Denna taktik, som forskaren säger “lägger till ytterligare en nivå av utpressning i ransomware -attacker”, har blivit så populär de senaste åren att ransomware -operatörer ofta skapar “läckage” -sajter, i både det mörka och tydliga nätet, som portaler för datadumpar och i för att kommunicera med offren.
Enligt forskaren är detta en “en-två-slag” -metod som förvärras nu när ransomware-grupper också kommer att anställa Initial Access Brokers (IAB) för att skära bort en del av det arbete som krävs vid lansering en cyberattack.
IAB kan hittas på mörka webbforum och kontaktas privat. Dessa handlare säljer initial tillgång till ett komprometterat system – till exempel genom en VPN -sårbarhet eller stulna referenser – och så kan angripare kringgå de första stadierna av infektion om de är villiga att betala för åtkomst till ett målnätverk, vilket sparar både tid och ansträngning .
“Det är mycket meningsfullt från en hotaktörs perspektiv,” sa Brumaghin. “När du överväger några av de lösenkrav vi ser, är det i många fall förnuftigt för dem istället för att försöka gå igenom alla ansträngningar [..] de kan helt enkelt förlita sig på initialåtkomstmäklare för att ge dem tillgång som redan har uppnåtts. “
Slutligen har Ciscos säkerhetsteam också noterat en ökning av ransomware 'karteller': grupper som delar information och arbetar tillsammans för att identifiera de tekniker och taktiker som sannolikt kommer att resultera i intäktsgenerering.
Brumaghin kommenterade:
“Vi ser massor av nya hotaktörer börja anta denna affärsmodell och vi fortsätter att se nya växa fram, så det är något organisationer verkligen måste vara medvetna om.”
Tidigare och relaterad täckning
Ransomware som en tjänst: Förhandlare är nu mycket efterfrågade
Den här stora ransomware -attacken förhindrades i sista minuten. Så här upptäckte de det – Vad är ransomware? Allt du behöver veta om en av de största hoten på webben
Har du ett tips? Kontakta oss säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Datahantering CXO Datacenter 