Stor økning i ransomware angrep – alle kan rammes når som helst

Ifølge eksperter har to høyprofilerte cyberangrep mot kritiske infrastrukturbedrifter den siste måneden kastet et sårt tiltrengt søkelys på den økende trusselen fra ransomware.

Et angrep på Colonial Pipeline i mai tvang selskapet til å midlertidig stenge en rørledning på 5 500 mil som sies å gi nesten 45 prosent av østkysten drivstoff. Colonial endte opp med å betale utpressere en gruppe kjent som DarkSide – nesten $ 5 millioner i Bitcoin. FBI har nå sikret omtrent halvparten av løsepenger. Colonial bekreftet angrepet og utstedte en uttalelse som takket FBI for innsatsen.

Bare noen uker senere traff et nytt ransomware-angrep tilskrevet REvil-gruppen JBS, verdens største kjøttleverandør, og tvang selskapet til å stenge fabrikker i USA og Australia og betale rundt 11 millioner dollar i løsepenger.

(Verdiene til løsepenger som det er omtalt i denne historien har endret seg i løpet av mediedekningen av hendelsene, ettersom de ble betalt i Bitcoin, en veldig volatil kryptovaluta.)

Ransomware er en type skadelig programvare eller skadelig programvare som krypterer filer på en datamaskin eller et nettverk og holder dem som gisler til eieren betaler angriperen det nødvendige gebyret. Det er en gammel racket – det som antas å være det første eksemplet på løsepenger kom i 1989 da skadelig programvare ble levert på disketter til deltakere på en AIDS-konferanse fra Verdens helseorganisasjon.

Så på noen måter er angrepene mot Colonial Pipeline og JBS ikke noe nytt. Tusenvis av selskaper blir angrepet av ransomware hvert år, og mange ender med å betale for å få dataene sine gjenopprettet. Imidlertid sier cybersikkerhetsforskere at disse to angrepene er indikative for hvordan trusselen om løsepenger utvikler seg – drevet av en kombinasjon av økonomiske faktorer og mange års hemmelighold og passivitet.

“Amerikanere, tror jeg, så effekten av disse ransomware-angrepene på det faktiske forbrukernivået for første gang,” sa Adam Meyers, visepresident for etterretning for cybersikkerhetsselskapet CrowdStrike. “Organisasjoner kan ikke begrave hodet i sanden og håpe at dette vil passere. Du må investere og begynne å ta dette på alvor. “

Er ransomware økende?

Gjerne rapporterer selskapene som tjener penger på å selge cybersikkerhetstjenester en økning i løsepenger.

Cybersecurity-firmaet SonicWall oppdaget mer enn 304 millioner forsøk på ransomware-angrep i 2020, opp 62 prosent fra 2019. I løpet av de første fem månedene i år så selskapet at ransomware-forsøk økte 116 prosent i løpet av samme periode i år 2020. De 62,3 millioner angrepene oppdaget. i mai i år var det mest det noensinne har sett på en enkelt måned, sa Dmitriy Ayrapetov, visepresident for plattformarkitektur i SonicWall.

De fleste av disse angrepene er sannsynligvis rettet mot skadelidte – gjerningsmannen kan tilfeldig sende ut en bølge av phishing-e-poster i håp om at bare ett eller to ofre vil ta agnet. Men målrettede angrep mot selskaper og offentlige etater øker også, sa Meyers og andre cybersikkerhetsforskere.

CrowdStrike overvåker organiserte kriminelle grupper som er mer selektive med hensyn til sine mål i det selskapet kaller “storviltjegere”. I 2020 registrerte selskapet minst 1337 infeksjoner med storviltjeger. I 2021 har CrowdStrike sett 1.024 slike angrep så langt, sa Meyers, med et gjennomsnittlig løsepenger på 5,6 millioner dollar.

Men det er vanskelig å virkelig kvantifisere antall angrep, hvilke typer mål og skaden som er gjort. Det er ingen omfattende datakilde for ransomware-angrep. Dataene vi har er enten selvrapporterte (og mange selskaper og enkeltpersoner rapporterer ikke) eller kommer fra cybersikkerhetsselskaper som har nytte av å selge anti-angrepssikring, og offentliggjør derfor gjerne rapporter som viser alvoret i situasjonen.

FBI ber ransomware-berørte organisasjoner om å rapportere hendelser slik at byrået bedre kan samle trender. Faktisk viser byråets tall en nedgang i hendelser, men en rask økning i skade. I 2016 var det 2 673 egenrapporterte hendelser som resulterte i justerte tap på 2,4 millioner dollar, ifølge FBIs årlige data. Antallet falt til 1783 hendelser med 2,3 millioner tap.

FBIs tall er nesten helt sikkert for lave ettersom mange selskaper velger å ikke offentliggjøre vellykkede ransomware-angrep for å beskytte sitt omdømme hos aksjonærer og kunder.

Hvorfor øker ransomware?

Pandemien har sikkert gjort mange selskaper mer sårbare for løsepenger, sa eksperter. Spesielt de første dagene av å jobbe hjemmefra, da mange ansatte ble tvunget til å bruke sine egne enheter, ble personlige datamaskiner brukt til å få tilgang til bedrifts- og myndighetssystemer, som også ble brukt til mange andre potensielt risikable aktiviteter, fra nettspill til surfing på nettet for surfing.

Den økende verdien av Bitcoin, den foretrukne betalingsmåten for nettkriminelle, har også gjort ransomware mer attraktivt det siste året.

Men det er to endringer i ransomwareindustrien – fordi det er nå – som eksperter sier har gitt næring til økningen i angrep siden pandemien.

“En av grunnene til at den nylige økningen i ransomware er at den har endret seg,” sa Darren Shou, NortonLifeLocks teknologichef. “I stedet for bare å være en trussel der de låser ut tilgangen til dataene dine, er det nå en dobbel trussel der de truer med å låse opp dataene dine hvis du ikke betaler løsepenger.”

Babuk-løsepengegruppen målrettet nylig Washington DC Metropolitan Police Department med denne typen angrep. Etter at avdelingen nektet å betale den forespurte løsepenger på $ 4 millioner (angivelig tilbudt $ 100.000), ga gruppen ut hundrevis av pinlige sider med bakgrunnsundersøkelser fra MPD-tjenestemenn. Den ekstra risikoen for forlegenhet og ansvar ved å avsløre sensitiv informasjon øker den potensielle økonomiske smerten for ofrene og øker sannsynligheten for at de betaler løsepenger. Jo mer løsepenger blir betalt, jo mer sannsynlig blir ransomware-angrep.

Den andre store endringen er adventen av “Ransomware as a Service” eller RaaS. I tillegg til sine egne angrep, tilbyr de mest sofistikerte ransomwaregruppene i økende grad å selge verktøyene sine til aspirerende kriminelle som en pakke som ikke bare gir skadelig programvare, men også phishing-operasjon, betalingsplattform og forhåndsbygd datalekkaside.

Colonial Pipeline-angrepet utført av DarkSide ser ut til å ha vært en RaaS-operasjon. Etter den umiddelbare oversvømmelsen av nyheter om nedleggelsen av rørledningen som fanget gruppens uønskede oppmerksomhet, la DarkSide ut en uttalelse på nettstedet (på det mørke nettet) om at “Fra og med i dag introduserer vi moderering og gjennomgår hvert selskap som våre partnere vil kryptere. i fremtiden for å unngå sosiale konsekvenser. “

“[RaaS] virkelig senker barrieren for å komme inn i denne virksomheten,” sa Ayrapetov. “Det er en naturlig utvikling av en forretningsmodell, og på den måten får du mer skalerbarhet. Når det skaleres, er det flere spillere som kan være mer nådeløse. “

Hva kan bli gjort

Cybersikkerhetseksperter sier at løsningene er allment kjent – de blir bare ikke mye brukt.

Bedrifter må utdanne sine ansatte om phishing og sosialtekniske angrep, men det er også noen tekniske og infrastrukturelle endringer som kan utgjøre en stor forskjell, sa eksperter.

Ikke alle trenger administrativ tilgang til sin egen datamaskin, og selskaper bør segmentere nettverkene sine for å sikre at ansatte bare har tilgang til delene de trenger for å gjøre jobben sin.

I tillegg bør selskapene beholde kopier av dataene sine – jevnlig oppdaterte sikkerhetskopier som ikke er koblet til nettverket, og som derfor er immun mot kryptering av løsepenger. Du bør også bruke multifaktorautentisering og sørge for at du implementerer programvareoppdateringer så snart oppdateringene er utgitt.

Noen av de økonomiske faktorene som fremmer frykt for ransomware – inkludert forsikringsbransjen, som drar nytte av den – har også ført til mer kontroversielle forslag.

Regjeringsansvarskontoret rapporterte at prosentandelen av bedriftene som betalte for nettforsikring nesten ble doblet fra 2016 til 2020. Og etter hvert som angrep og løsepenger krevde en økning, økte premiene for disse planene med hele 30 prosent mellom 2017 og 2020, mens beløpet som ble pantsatt av forsikringsselskaper som hadde gitt erstatning i noen sektorer, gikk ned.

Adam Wandt, professor i cyberkriminalitetsforskning ved John Jay College of Criminal Justice, sa sikkerhetsteppet til cyberforsikring har overbevist noen selskaper om at de ikke trenger å gjennomføre de menneskelige og tekniske endringene som er nødvendige for å stoppe ransomware-angrep, og at de gjør det den eneste virkelige tingen er. Det langsiktige svaret er at regjeringer skal vedta lover som forbyr selskaper å betale løsepenger for visse typer data.

FBI ber allerede organisasjoner om ikke å betale, men i noen tilfeller betyr ikke å betale å gå ut av virksomheten.

“Løsepenger skal aldri betales, og de som gjør det, bør forstå skaden de gjør for samfunnet vårt til egen fordel og gevinst,” sa Wandt og erkjente at slike lover i første omgang kan være ødeleggende for ofrene. “Å betale løsepenger vil ikke resultere i ytterligere angrep på vår kritiske infrastruktur.”