Hvorfor ransomware er et stort cybersikkerhetsproblem og hva som må gjøres for å stoppe det Se nå
Den plutselige forsvinningen av en av de mest produktive ransomware -tjenestene har tvunget skurkene til å bytte til andre former for ransomware, og spesielt en har sett en stor vekst i popularitet.
REvil – også kjent som Sodinokibi – ransomware -gjengen ble mørk i juli, kort tid etter at de fant seg oppmerksomhet fra Det hvite hus etter det massive ransomware -angrepet, som berørte 1500 organisasjoner rundt om i verden.
Det er fortsatt usikkert om REvil har sluttet for godt eller om de kommer tilbake under annen merkevarebygging – men tilknyttede selskaper til ransomware -ordningen venter ikke på å finne ut; de går over til å bruke andre merker av ransomware, og ifølge analyse av cybersikkerhetsforskere ved Symantec har LockBit ransomware blitt et valgfritt våpen.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
LockBit dukket opp først i september 2019, og de som sto bak, la til en ransomware-as-a-service-ordning i januar 2020, slik at cyberkriminelle kunne leie ut LockBit for å starte ransomware-angrep-i bytte mot et kutt i overskuddet.
< p> LockBit er ikke like høy profil som noen andre former for ransomware, men de som bruker det har tjent penger på seg selv med løsepenger som er betalt i Bitcoin.
Nå har den tilsynelatende forsvinningen av REvil ført til en økning i cyberkriminelle som henvender seg til LockBit for å utføre ransomware -angrep – hjulpet av forfatterne av LockBit som satser på å tilby en oppdatert versjon.
“LockBit har aggressivt annonsert for nye tilknyttede selskaper de siste ukene. For det andre hevder de å ha en ny versjon av nyttelasten med mye høyere krypteringshastigheter. For en angriper, jo raskere kan du kryptere datamaskiner før angrepet ditt blir avdekket, jo mer skade du vil forårsake, sier Dick O'Brien, senior forskningsredaktør i Symantec, til ZDNet.
Forskere merker at mange av de som nå bruker LockBit bruker samme taktikk, verktøy og prosedyrer som de tidligere brukte i forsøk på å levere REvil til ofre – de har nettopp byttet nyttelast.
Disse metodene inkluderer utnyttelse av upatchede brannmur- og VPN -sårbarheter eller brute force -angrep mot eksterne skrivebordsprotokolltjenester (RPD) som er utsatt for internett, samt bruk av verktøy inkludert Mimikatz og Netscan for å hjelpe til med å etablere tilgangen til nettverket som kreves for å installere ransomware.
Og som andre ransomware -grupper, bruker LockBit -angriperne også dobbelt utpressingsangrep, stjeler data fra offeret og truer med å publisere dem hvis løsepenger ikke betales.
Selv om det har fløyet litt under radaren til nå, distribuerte angripere som brukte LockBit det i et forsøk på ransomware -angrep mot Accenture – selv om selskapet sa at det ikke hadde noen effekt da de klarte å gjenopprette filer fra sikkerhetskopi.
LockBit har også fanget oppmerksomheten til nasjonale sikkerhetstjenester; Australian Cyber Security Center (ACSC) ga ut et varsel om LockBit 2.0 denne uken, og advarte om en økning i angrep.
SE: Dette nye phishing -angrepet er “lurere enn vanlig”, advarer Microsoft
Ransomware utgjør en trussel for organisasjoner uansett hvilket merke som brukes. Bare fordi en høyprofilert gruppe tilsynelatende har forsvunnet – foreløpig – betyr det ikke at ransomware er en mindre trussel.
“Vi anser LockBit som en lignende trussel. Det er ikke bare ransomware i seg selv, det er dyktigheten til angriperne som bruker den. I begge tilfeller er angriperne bak truslene ganske dyktige,” sa O'Brien.
“På kort sikt forventer vi å se Lockbit fortsette å være en av de mest brukte ransomware-familiene i målrettede angrep. De langsiktige utsiktene avhenger av om noen av de nylig avdøde ransomware-utviklerne-f.eks. som REvil og Darkside – kom tilbake, “la han til.
For å beskytte mot å bli offer for ransomware -angrep, bør organisasjoner sørge for at programvare og tjenester er oppdaterte med de siste oppdateringene, slik at cyberkriminelle ikke kan utnytte kjente sårbarheter for å få tilgang til nettverk. Det anbefales også at flerfaktorautentisering brukes på alle brukerkontoer, for å forhindre at angriperne enkelt kan bruke passord som er lekket eller stjålet.
Organisasjoner bør også regelmessig sikkerhetskopiere nettverket, så hvis du blir offer for et ransomware -angrep, kan nettverket gjenopprettes uten å betale løsepenger.
MER OM CYBERSIKKERHET
Dette store ransomware -angrepet ble ødelagt i siste øyeblikk. Slik oppdaget de det Ransomware: Dette er de to vanligste måtene hackere kommer inn i nettverket på Med ransomware -angrep som øker, lanserer USA et nytt nettsted for å bekjempe trusselen Har vi nådd topp ransomware? Hvordan internettets største sikkerhetsproblem har vokst og hva som skjer neste Dette selskapet ble rammet av ransomware. Her er hva de gjorde videre, og hvorfor de ikke betalte opp
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre < p class = "meta"> Av Danny Palmer | 13. august 2021 – 09:00 GMT (10:00 BST) | Tema: Sikkerhet