Varför ransomware är ett stort cybersäkerhetsproblem och vad som behöver göras för att stoppa det Se nu
Det plötsliga försvinnandet av en av de mest produktiva ransomware -tjänsterna har tvingat skurkar att byta till andra former av ransomware, och i synnerhet har man sett en stor tillväxt i popularitet.
REvil – även känt som Sodinokibi – ransomware -gänget blev mörkt i juli, strax efter att ha funnit uppmärksamhet från Vita huset efter den massiva ransomware -attacken, som drabbade 1500 organisationer runt om i världen.
Det är fortfarande osäkert om REvil har slutat för gott eller om de kommer att återvända under olika varumärken – men dotterbolag till ransomware -systemet väntar inte på att få reda på det; de byter till att använda andra märken av ransomware och, enligt analys av cybersäkerhetsforskare på Symantec, har LockBit ransomware blivit det valda vapnet.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
LockBit dök upp första gången i september 2019 och de som stod bakom lade till ett ransomware-as-a-service-system i januari 2020, så att cyberkriminella kunde hyra ut LockBit för att starta ransomware-attacker-i utbyte mot en minskning av vinsten.
< p> LockBit är inte lika hög profil som vissa andra former av ransomware, men de som använder det har tjänat pengar på sig själva genom lösenbetalningar som betalats i Bitcoin.
Nu har det uppenbara försvinnandet av REvil lett till en ökning av cyberkriminella som vänder sig till LockBit för att genomföra ransomware -attacker – med hjälp av författarna till LockBit som försöker erbjuda en uppdaterad version.
“LockBit har aggressivt annonserat för nya medlemsförbund de senaste veckorna. För det andra hävdar de att de har en ny version av deras nyttolast med mycket högre krypteringshastigheter. För en angripare, desto snabbare kan du kryptera datorer innan din attack avslöjas, desto mer skada du kommer att orsaka, säger Dick O'Brien, senior forskningsredaktör på Symantec, till ZDNet.
Forskare noterar att många av dem som nu använder LockBit använder samma taktik, verktyg och procedurer som de tidigare använde för att försöka leverera REvil till offren – de har precis bytt nyttolast.
Dessa metoder inkluderar utnyttjande av olästad brandvägg och VPN -sårbarheter eller brute force -attacker mot fjärrskrivbordsprotokoll (RPD) -tjänster som lämnas exponerade för internet, samt användning av verktyg inklusive Mimikatz och Netscan för att hjälpa till att etablera åtkomsten till nätverket som krävs för att installera ransomware.
Och liksom andra ransomware -grupper använder LockBit -angripare också dubbla utpressningsattacker, stjäl data från offret och hotar att publicera det om lösen inte betalas.
Även om det har flög något under radarn fram till nu, använde angripare som använder LockBit det i ett försök till ransomware -attack mot Accenture – även om företaget sa att det inte hade någon effekt eftersom de kunde återställa filer från säkerhetskopiering.
LockBit har också uppmärksammats av nationella säkerhetstjänster; Australian Cyber Security Center (ACSC) släppte en varning om LockBit 2.0 i veckan och varnade för ökade attacker.
SE: Denna nya nätfiskeattack är “smygigare än vanligt”, varnar Microsoft
Ransomware utgör ett hot för organisationer oavsett vilket märke som används. Bara för att en uppmärksammad grupp till synes har försvunnit – för tillfället – betyder det inte att ransomware är ett mindre hot.
“Vi anser att LockBit är ett jämförbart hot. Det är inte bara ransomware i sig, det är skickligheten hos angriparna som använder den. I båda fallen är angriparna bakom hoten ganska skickliga”, säger O'Brien.
“På kort sikt förväntar vi oss att Lockbit fortsätter att vara en av de mest använda ransomware-familjerna i riktade attacker. De långsiktiga utsikterna beror på om några av de nyligen avgickna ransomware-utvecklarna-t.ex. som REvil och Darkside – återvänd “, tillade han.
För att skydda mot att bli offer för ransomware -attacker bör organisationer se till att programvara och tjänster är uppdaterade med de senaste patcharna, så att cyberkriminella inte kan utnyttja kända sårbarheter för att få åtkomst till nätverk. Det rekommenderas också att flerfaktorautentisering tillämpas på alla användarkonton för att förhindra att angripare enkelt kan använda läckta eller stulna lösenord.
Organisationer bör också regelbundet säkerhetskopiera nätverket, så om du blir offer för en ransomware -attack kan nätverket återställas utan att betala lösen.
MER OM CYBERSÄKERHET
Denna stora ransomware attack attackerades i sista minuten. Så här upptäckte de det Ransomware: Det här är de två vanligaste sätten hackare kommer in i ditt nätverk Med ransomware -attacker ökar, lanserar USA en ny webbplats för att bekämpa hotet Har vi nått toppen av ransomware? Hur internetets största säkerhetsproblem har vuxit och vad som händer sedan Detta företag drabbades av ransomware. Här är vad de gjorde härnäst och varför de inte betalade upp
Relaterade ämnen:
Säkerhet TV Datahantering CXO Datacenter < p class = "meta"> Av Danny Palmer | 13 augusti 2021 – 09:00 GMT (10:00 BST) | Ämne: Säkerhet