Ison-Britannian, Yhdysvaltojen ja Australian turvallisuusvirastot paljastivat pahamaineisen kiristysohjelmajoukon LockBitin takana olevan miehen, mikä saattoi tarjota kipeästi kaivattua hengähdystaukoa monille kyberturvallisuuden kiristystapauksia kohdanneille uhreille.
Vaikka nämä uutiset lähettivät shokkiaaltoja eri aliasten taakse piiloutuneiden muiden kiristyshaittaohjelmien parissa työskentelevien jengien selkärangan läpi ja tarjoavat kyberpuolustusviranomaisille hyvän tutkintalinjan, se kertoo myös siitä, että kyberhyökkäykset ovat olleet jatkuva uhka vuosien ajan. Eivätkä ne edelleenkään näytä pienintäkään suostumusta häipyä kuvioista parhaimmista torjuntayrityksistä huolimatta.
Monet raportit viittaavat kyberhyökkäysten huolestuttavaan lisääntymiseen siihen pisteeseen asti, että tietyt kiristysohjelmaryhmät ovat muuttaneet brändiään liikekumppaneina.
Mutta kuinka pahaksi kyberrikollisuus ja sen ulottuvuudet ovat menneet – ja mitä uusia strategioita tarvitaan tänä vuonna?
Techopedia tarkastelee viimeaikaisia tietoja asiaan liittyen ja keskustelee kyberturvallisuuden äänistä.
Kiristyshaittaohjelmat iskevät edelleen kovemmin kuin koskaan vuonna 2024
Vuonna 2024 tehdyn Thalesin tutkimuksen, johon osallistui 3 000 IT- ja tietoturva-ammattilaista 18 maassa ja 37 toimialalla, mukaan kiristysohjelmahyökkäykset lisääntyivät 27% enemmän kuin viime vuonna. Tutkimus osoittaa myös, että kasvavasta uhasta huolimatta noin puolella kyselyn kohteena olevista organisaatioista ei ollut kattavaa kiristysohjelmien torjuntasuunnitelmaa turvallisuuden parhaiden käytäntöjen joukossa.
Yllä olevia kyberturvallisuuden kiristystapauksia ja niistä tehtyjä havaintoja vahvistaa Verizonin vuoden 2024 Data Breach Investigations Report (DBIR), joka paljasti merkittävän nousun hyökkäysten määrässä. Erityisesti sellaisten hyökkäysten määrässä, joissa hyödynnetään haavoittuvuuksia, joiden kautta saadaan jalansijaa ja voidaan suorittaa tietomurtoja.
Raportissa korostetaan tällaisten hyökkäysten lisääntymistä 180 prosenttia edelliseen vuoteen verrattuna. Nämä rikkomukset sisältävät myös kumppanien infrastruktuuriin ja ohjelmistojen toimitusketjuun liittyviä ongelmia sekä suoraan että epäsuorasti.
Verizonin mukaan tämä eskaloituminen johtuu suurelta osin MOVEitin ja vastaavien nollapäivän haavoittuvuuksien hyväksikäytöstä. Raportti tunnistaa lisäksi verkkosovellukset ensisijaisiksi vektoreiksi näille aloituspisteille.
Näiden uusien löydösten lisäksi Techopedia raportoi äskettäin uudesta mallista kiristyshaittaohjelmien vakoilukäytännöissä. Tässä mallissa ransomware-jengit työskentelevät nyt yhdessä organisoidakseen kyberhyökkäyksiä yhdeltä ja samalta rintamalta.
Tämä lähestymistapa tekee näistä ryhmistä vaikeampia saada kiinni. Tämä taas lisää paineita turvallisuusjoukoille, jotka saattavat joutua venymään yli kykyjensä havaitakseen ja saadakseen nämä rikolliset kiinni.
Ransomware-loukkaukset sisältävät nyt kiristystaktiikoita
Perinteisten ransomware-toimijoiden strategioissa on myös tapahtunut huomattava muutos kohti kaksoiskiristystekniikoita. Verizon DBIR -raportin mukaan kiristyshyökkäykset ovat lisääntyneet viimeisen vuoden aikana ja niiden osuus on nyt 9% kaikista rikkomuksista.
Vaikka vakoiluohjelmien määrä laski hieman 23%:iin yhdistettynä kiristyksiin, ne muodostavat merkittävän osan kyberturvallisuuden kiristystapauksia, jopa 32%, mikä tekee kiristysohjelmista suuren uhan 92%:lla toimialoista.
Äskettäinen Flashpoint Global Threat Intelligence -raportti toistaa näitä huolenaiheita, ja se valaisi kyberrikollisten kehittyviä taktiikoita, jotka eivät nyt vain salaa tietoja ja vaadi lunnaita, vaan myös uhkaavat vuotaa tai myydä varastettuja tietoja, jos heidän vaatimuksiaan ei täytetä. Tämä “kaksinkertainen kiristys” -taktiikka Flashpointin mukaan asettaa uhreille entistä enemmän painetta suojata tietojaan paremmin.
Puhuessaan Techopedialle yllä olevaan liittyen, eSentiren uhkatiedon johtaja Ryan Westman huomautti, että keskittyminen kaksinkertaiseen kiristykseen alkoi, kun yritykset tehostivat tietosuoja- ja palautusohjelmiaan.
Westman selitti:
”Kun yrityksillä oli käytössä tietosuoja- ja palautusohjelmat, kyberrikolliset lisäsivät tietovarkaus- ja vuotomenetelmiä lähestymistapoihinsa. Tämä tarkoittaa tietojen varastamista ennen salausta ja sitten uhkaamista tietojen luovuttamisella verkossa sekä salauspuolella. Tämä on lisäriski, joka yritysten on otettava huomioon turvallisuus- ja häiriötilanteiden suunnittelussaan.”
Ransomware-toimijat kehittävät taktiikkaansa hyödyntäen monien organisaatioiden heikkoa tietojen suodattamisen valvontaa, kuten Elisha Riedlinger, NeuShieldin COO, kertoi Techopedialle.
Riedlinger sanoi:
”Turvallisuuden lisääntyessä hyökkääjien on yhä vaikeampaa lunastaa tietoja salaamalla ne. Ulossuodatuksen valvonta on kuitenkin edelleen heikkoa monissa organisaatioissa. Lisäksi siitä huolimatta, että monet yritykset eivät ehkä maksakaan salattujen tietojen palauttamisesta, ne saattavat maksaa pitääkseen tietonsa poissa Internetistä. Lisäksi tietojen varastaminen voidaan tehdä ilman haittaohjelmia tai haitallista koodia, mikä tekee sen havaitsemisesta paljon vaikeampaa.”
Verkkosovellukset ovat tärkeimmät sisääntulokohdat
Verizon DBIR:ssä korostetaan, että verkkosovelluksista on tullut ensisijainen kyberhyökkäysten aloituspiste vuonna 2024. Tämä Riedlingerin mukaan suuntaus ei ole yllättävää, koska nämä sovellukset ovat usein turvallisuuteen uskovien insinöörien luomia.
Hän kertoi Techopedialle:
“Web-sovelluksilla on taipumus olla Internetiin päin kallellaan, monimutkaisia ja tietoturvaan keskittymättömien suunnittelutiimien luomia. Kaikki tämä tekee niistä hyvän hyökkäyksen kohteen.”
Verkkosovellusten laaja käyttö on syyllinen tähän uuteen kyberturvallisuuden kiristystapauksia aaltoon, Adam Maruyama, Garrison Technologyn kenttäteknologiajohtaja, sanoi Techopedialle.
Maruyama huomautti:
“Web-sovellukset ovat helppo kohde hakkereille, koska ne ovat lähtökohtaisesti kaikkien sellaisten käytettävissä, joilla on pääsy avoimeen Internetiin. Vaikka tämä helpottaa työntekijöiden pääsyä sovelluksiin, se tarkoittaa myös sitä, että esimerkiksi haavoittuva kirjautumisliittymä olisi kaikkien Internet-yhteyden omaavien käytettävissä.”
Hän lisäsi: “Tämä tekee hyökkäyksen tiedustelemisesta paljon helpompaa ja alentaa esteitä, joten “spray and pray” -hyökkäykset, jotka kohdistuvat mihin tahansa haavoittuvaan palveluun tiettyjen yritysten sijaan, ovat melko yksinkertaisia toteuttaa.”
Matt Middleton-Lealin – kyberturvallisuusyritys Qualysista – mukaan verkkosovellusten ja pilviresurssien heikko pääsynhallinta on IT-tiimien suuri uhka, sillä hakkerit kohdistavat tavallisesti valtuustietoja saadakseen pääsyn niihin.
“On yleinen käytäntö, että hakkerit etsivät tunnistetietoja osana hyökkäyspolkujaan – tämä voi tapahtua etsimällä valtuustietoja julkisista ohjelmistovarastoista tai toisena vaiheena haetaan pääsy yrityksen pilvitapahtumiin saadakseen enemmän käyttöoikeuksia, jonka jälkeen voidaan siirtyä sivusuunnassa sinne, missä on arvokasta tietoa.”
Middleton-Leal lisäsi, että verkkosovellukset ovat haavoittuvia, koska monien niistä on oltava julkisesti saatavilla. “Joidenkin mielestä niiden on oltava julkisessa Internetissä. Kumppanisi tai asiakkaasi voivat käyttää apuohjelmia, kuten tiedostonsiirtosovelluksia, tiedostojen siirtämiseen sekä sisäinen henkilökuntasi, joten niiden lukitseminen pois näkyvistä ei ole vaihtoehto.”
Kyberturvallisuuden paras väylä eteenpäin
Parhaista ransomware-suojauksen käytännöistä voidaan sanoa paljon, mutta organisaatioiden on ensin ryhdyttävä ennaltaehkäiseviin toimiin estääkseen kyberturvallisuuden kiristystapauksia, kuten Riedlinger NeuShieldistä huomauttaa.
Hän neuvoi:
“Organisaatioiden on otettava käyttöön päätepisteiden suojaus, joka pystyy havaitsemaan, tallentamaan ja estämään haitallisen toiminnan. Heidän ei kuitenkaan pitäisi olettaa, että pelkkä ennaltaehkäisy ratkaisee ongelman. On elintärkeää, että he pystyvät suojaamaan kriittisimmät tiedot suodattamista vastaan ja pystymään nopeasti palauttamaan kaikki laitteet, jos ne vaarantuvat.”
“Ensimmäinen vaihe on reunalaitteiden turvaaminen, nopea korjaus ja resurssien käytön rajoittaminen minimiin”, sanoi Westman eSentirestä.
Hän suosittelee myös suunnittelua ja valmistelua ja totesi, että “sinun tulee myös valmistella häiriötilanteiden reagointistrategia, jotta voit olla ennakoiva sen suhteen, miten voit minimoida hyökkäyksen vaikutukset. Muita tärkeitä toimenpiteitä ovat uhkien tiedustelutavan parantaminen käyttämällä pimeän verkon valvontaa vuotaneiden tunnistetietojen tai muilla tavoilla päästä käsiksi järjestelmiisi.”
Horizon3.ai:n tietoturvavastaava Stephen Gates korostaa, että organisaatioiden on ryhdyttävä hyökkäykseen lunnasohjelmauhkia vastaan.
Gates kertoi Techopedialle:
“Organisaatioiden on löydettävä kaikki hyödynnettävät heikkoutensa ennen hyökkääjiä ja hyökättävä itseään vastaan samalla taktiikalla.”
Hän viittasi Yhdysvaltain merivoimien ja Joint Force Headquarters-Department of Defense Information Networkin kannanottoon, jonka mukaan “organisaatioiden on siirryttävä vaatimustenmukaisuuteen perustuvasta turvallisuudesta operatiiviseen valmiuspohjaiseen turvallisuuteen. Paras tapa mitata toimintavalmiutta on suorittaa manuaalisia ja automatisoituja vastustusharjoituksia omia ulkoisia, sisäisiä ja pilvi-infrastruktuureja vastaan.”
Koska tietoturvaloukkausten kasvava trendi on peräisin kolmansilta osapuolilta tai organisaation toimitusketjussa olevilta kumppaneilta, Kiran Chinnagangannagari, yksi Securinin perustajista, sekä firman tuote- ja teknologiajohtaja, kehottaa organisaatioita suorittamaan asianmukaista huolellisuutta kunkin kumppanin kyberturvallisuuskäytäntöjen suhteen.
“Tämä huomioon ottaen organisaatioiden tulee priorisoida kumppaneidensa kyberturvallisuuskäytäntöjen tarkistamista. Yksi tehokas tapa on pyytää kumppaneita täyttämään standardoitu turvallisuuskysely, joka perustuu kehyksiin, kuten NIST Cybersecurity Framework (CSF) tai ISO 27001. Nämä viitekehykset määrittelevät kyberturvallisuuden parhaat käytännöt ja helpottavat itsearviointia.”
Yhteenveto
Ransomware-hyökkäykset ovat olleet olemassa useita vuosia, eikä mikään viittaa siihen, että ne olisivat poistumassa. Tätä silmällä pitäen organisaatioiden on valmistauduttava riittävän hyvin vastustamaan tällaisia hyökkäyksiä niin vahvasti kuin ne vain pystyvät. Lisäksi niillä on oltava tapauksen jälkeinen toimintasuunnitelma siltä varalta, että ne joutuvat uhriksi.
Jotkut keskustelemistamme kyberturvallisuuden asiantuntijoista korostivat jo ensimmäisiä askeleita kyberturvallisuuden kiristystapauksia ja niiden estämistä tukevissa toimissa ja muita lähestymistapoja, jotka voisivat auttaa saattamaan yritykset parhaaseen mahdolliseen kuntoon kiristyshyökkäyksiä vastaan.
Vaikka yllä esitetyt parhaat käytännöt eivät välttämättä sovi jokaisen organisaation kyberturvallisuuden asenteisiin ja käytäntöihin, organisaatioita kehotetaan etsimään toimialakohtaisempia strategioita, koska tekemättä jättämisen kustannukset ovat erittäin suuria.