Avsløringen av mannen bak den beryktede ransomware-banden LockBit av britiske, amerikanske og australske sikkerhetsmyndigheter kan ha gitt et sårt tiltrengt pusterom for mange ofre for ransomware-angrep.
Nyheten vil trolig sende sjokkbølger gjennom andre gjenger som driver med løspengevirus og gi cyberforsvarsbyråer ledetråder som kan etterforskes videre. Det bekrefter også faktumet at løsepengevirusangrep har vært en stor trussel i årevis. Et problem som nekter å forsvinne til tross for den store innsatsen som er lagt ned for å bekjempe trusselen.
Mange rapporter tyder på en urovekkende økning i angrepene. Nå har det kommet til det punktet der enkelte ransomware-grupper omprofilerer seg som forretningspartnere.
Men hvor ille har det blitt – og hvilke nye strategier står klare i 2024?
Techopedia ser på ferske rapporter og setter seg ned med eksperter innen cybersikkerhet for å se nærmere på problemet..
Nøkkelpunkter
- I 2024 ser vi et markant skifte cybersikkerhetsbrudd med utpressing eller “dobbel utpressing”, der løsepengevirusaktører ikke bare krypterer data, men også truer med å lekke eller selge stjålne data hvis kravet om løsepenger ikke blir innfridd.
- Webapplikasjoner har blitt det primære inngangspunktet for dataangrep. Slike applikasjoner er ofte er laget av ingeniører som ikke primært tenker sikkerhet og må være offentlig tilgjengelige.
- Eksperter anbefaler en flerlagstilnærming som kombinerer endepunktsikkerhet. Kontroller for dataekfiltrering, planlegging av hendelsesrespons og kontinuerlig trusselovervåking.
- Simuleringer av egne angrep og øvelser mot organisasjonens egen infrastruktur anbefales. Det bidrar til å finne svakheter som kan utnyttes før angriperne gjør det.
- Det er avgjørende å vurdere tredjeparters praksis for cybersikkerhet og risiko i leverandørkjeden. Årsaken til dette er fordi et økende antall sikkerhetsbrudd stammer fra partnere og leverandører.
Løsepengevirus rammer fortsatt hardere enn noensinne i 2024
Ifølge en Thales-undersøkelse fra 2024 blant 3000 IT- og sikkerhetseksperter i 18 land og 37 bransjer, økte angrepene med løsepengevirus med 27% sammenlignet med i fjor. Undersøkelsen viser også at til tross for den økende trusselen, hadde omtrent halvparten av organisasjonene i undersøkelsen ingen omfattende plan for å motvirke løsepengevirus som en av sine sikkerhetsrutiner.
Verizons 2024 Data Breach Investigations Report (DBIR) bekrefter de ovennevnte observasjonene, og avdekket en betydelig økning i angrep som utnytter sårbarheter for å få et første fotfeste og forårsake datainnbrudd.
Rapporten fremhever en økning på 180% i slike angrep sammenlignet med året før. Disse bruddene omfatter også de som er knyttet til partnerinfrastruktur og problemer i leverandørkjeden for programvare, både direkte og indirekte.
Ifølge Verizon skyldes denne eskaleringen i stor grad utnyttelsen av MOVEit og lignende nulldagssårbarheter. Rapporten identifiserer videre webapplikasjoner som den primære vektoren for disse første inngangspunktene.
I tillegg til disse nye funnene rapporterte Techopedia nylig om et nytt mønster i løsepengevirusspionasje. Ransomware-bander går nå sammen for å orkestrere cyberangrep fra én front. Denne tilnærmingen gjør det vanskeligere å få tak i disse gjengene. Det legger ytterligere press på sikkerhetsstyrkene, som kanskje må strekke seg lenger enn de har kapasitet til for å fange dem opp.
Løsepengevirus involverer nå utpressingstaktikker
Det er også et markant skifte i strategiene til tradisjonelle ransomware-aktører mot doble utpressingsteknikker. Ifølge Verizon DBIR-rapporten har utpressingsangrep økt det siste året, og står for 9% av alle innbrudd.
Selv om det var en liten nedgang i løsepengevirus til 23%, står de i kombinasjon cybersikkerhetsbrudd med utpressing hele 32% av alle sikkerhetsbrudd. Det gjør løsepengevirus til en stor trussel i 92% av bransjene.
En fersk rapport fra Flashpoint Global Threat Intelligence belyser disse bekymringene. Den viser en utvikling i taktikken til nettkriminelle. Nå krypterer de ikke kun data og krever løsepenger, men de truer også med å lekke eller selge stjålet informasjon dersom kravene ikke blir innfridd.
Denne “dobbel utpressingstaktikken” som betegnes som cybersikkerhetsbrudd med utpressing legger ifølge Flashpoint enda mer press på ofrene for å få dem til å betale.
Ryan Westman, direktør for Threat Intelligence hos eSentire, påpekte overfor Techopedia at fokuset på dobbel utpressing begynte da selskaper økte sine databeskyttelses- og gjenopprettingsprogrammer.
Westman forklarte:
“Da bedriftene hadde programmer for databeskyttelse og -gjenoppretting på plass, la nettkriminelle til metoder for datatyveri og – lekkasje. Dette innebærer å stjele data før kryptering, og deretter true med å frigjøre data på nettet i tillegg til krypteringssiden. Dette er en ekstra risiko som bedriftene må ta høyde for i planleggingen av sikkerhet og hendelsesrespons.”
Aktører bak løsepengevirus utvikler taktikken sin og utnytter svake kontroller for dataekfiltrering i mange organisasjoner, sier Elisha Riedlinger, COO i NeuShield, til Techopedia.
Riedlinger sa:
“Etter hvert som sikkerheten øker, blir det stadig vanskeligere for angripere å kreve løsepenger for data ved å kryptere dem. Kontrollene for eksfiltrering er imidlertid fortsatt svake i mange organisasjoner.
Selv om mange selskaper kanskje ikke betaler for å gjenopprette krypterte data, kan de betale for å holde dataene sine borte fra Internett. I tillegg kan data stjeles uten bruk av noen form for skadelig programvare eller ondsinnet kode, noe som gjør det mye vanskeligere å oppdage.”
Webapplikasjoner er de viktigste inngangspunktene
Webapplikasjoner har blitt de viktigste innfallsportene for dataangrep i 2024, noe som fremheves i Verizons DBIR. Ifølge Riedlinger er denne trenden ikke overraskende. Disse applikasjonene er ofte laget av ingeniører som ikke er opptatt av sikkerhet.
Det sier han til Techopedia:
“Webapplikasjoner har en tendens til å være rettet mot Internett. De er kompliserte og laget av ikke-sikkerhetsorienterte ingeniørteam. Alt dette gjør dem til et godt mål for angrep.”
Den utbredte bruken av webapplikasjoner er skyld i denne nye bølgen av cybersikkerhetsrisikoer, sier Adam Maruyama, Field CTO hos Garrison Technology, til Techopedia.
Maruyama bemerket:
“Webapplikasjoner er et enkelt mål for hackere fordi de per definisjon er tilgjengelige for alle med tilgang til det åpne Internett. Selv om dette gjør det enkelt for de ansatte å få tilgang, betyr det også at for eksempel et sårbart innloggingsgrensesnitt vil være tilgjengelig for alle med en Internett-tilkobling.”
Han legger til: “Dette gjør det mye enklere å rekognosere angrep og senker barrierene, slik at “spray and pray”-angrep. Disse angrepene retter seg mot en hvilken som helst sårbar tjeneste, i stedet for spesifikke selskaper, er ganske enkle å utføre.”
Matt Middleton-Leal i cybersikkerhetsfirmaet Qualys mener at dårlig tilgangskontroll for nettapper og nettskyressurser er en stor trussel IT-teamene står overfor, ettersom hackere ofte går etter legitimasjon for å få tilgang.
“Det er vanlig praksis for hackere å se etter legitimasjon som en del av angrepsveiene sine. Dette gjøres ved å finne legitimasjon begravd i offentlige programvarelagre, eller som andre trinn for å få tilgang til en bedrifts skyinstanser for å få mer tilgang og deretter bevege seg sideveis til der verdifulle data finnes.”
Middleton-Leal legger til at webapper er sårbare, ettersom mange av dem må være offentlig tilgjengelige.”For noen må de være på det offentlige Internett. Verktøy som filoverføringsprogrammer kan brukes av partnere eller kunder til å overføre filer, så vel som av interne ansatte, og da er det ikke noe alternativ å låse dem ute av syne.”
Den beste veien videre for cybersikkerhet
Det kan sies mye om beste praksis for å sikre seg mot løsepengevirus, men organisasjoner må først ta forebyggende skritt, påpeker Riedlinger fra NeuShield.
Dette er hans råd:
“Organisasjoner må få på plass endepunktsikkerhet som kan oppdage, registrere og blokkere ondsinnet aktivitet. De bør imidlertid ikke anta at forebygging alene vil løse problemet. Det er avgjørende å kunne sikre de mest kritiske dataene mot eksfiltrering og ha muligheten til raskt å gjenopprette alle enheter hvis de skulle bli kompromittert.”
“Det første trinnet er å sikre edge-enheter, patche raskt og begrense tilgangen til ressurser til det minimum som kreves”, sier Westman i eSentire.
Han anbefaler også planlegging og forberedelser: “Du bør også utarbeide en strategi for hendelsesrespons, slik at du kan være proaktiv i forhold til hvordan du kan minimere konsekvensene av et angrep. Andre viktige tiltak er å forbedre tilnærmingen til trusseletterretning ved å bruke dark web-overvåking for å finne lekket legitimasjon eller andre måter å få tilgang til systemene dine på.”
Stephen Gates, Principal Security SME hos Horizon3.ai, understreker behovet for at organisasjoner går på offensiven mot trusler fra løsepengevirus.
Det sier Gates til Techopedia:
“Organisasjoner må finne sine utnyttbare svakheter før angriperne gjør det, og angripe seg selv med samme taktikk.”
Han siterte det amerikanske marinedepartementet og Joint Force Headquarters-Department of Defense Information Network. De tar til orde for at “organisasjoner må gå fra samsvarsbasert sikkerhet til sikkerhet basert på operativ beredskap. Den beste måten å måle den operative beredskapen på, er å utføre manuelle og automatiserte øvelser mot egne eksterne, interne og skybaserte infrastrukturer.”
Med tanke på at en økende andel av sikkerhetsbruddene kommer fra tredjeparter eller partnere i en organisasjons leverandørkjede, oppfordrer Kiran Chinnagangannagari, medgrunnlegger og Chief Product & Technology Officer i Securin, organisasjoner til å foreta en grundig gjennomgang av hver enkelt partners praksis for cybersikkerhet.
“Med tanke på dette må organisasjoner prioritere å undersøke partnernes cybersikkerhetspraksis. En effektiv tilnærming er å be partnerne om å fylle ut et standardisert sikkerhetsspørreskjema basert på rammeverk som NIST Cybersecurity Framework (CSF) eller ISO 27001. Disse rammeverkene beskriver beste praksis innen cybersikkerhet og legger til rette for egenevaluering.”
Konkludert
Løsepengevirusangrep og cybersikkerhetsbrudd med utpressing har eksistert i mange år. Det er ingenting som tyder på at de kommer til å forsvinne. Med dette i bakhodet må organisasjoner forberede seg godt nok til å motvirke slike angrep så godt de kan. Samtidig må bedrifter ha en konkret responsplan i tilfelle de skulle bli offer for dem.
Noen av cybersikkerhetsekspertene vi har snakket med, har allerede fremhevet de første trinnene i å styrke forsvaret. I tillegg til andre tilnærminger som kan bidra til å sette selskaper i best mulig form mot løsepengevirusangrep.
De beste fremgangsmåtene som er nevnt ovenfor, passer kanskje ikke inn i alle organisasjoners sikkerhetstiltak og retningslinjer. Likevel anbefales det at organisasjoner søker etter mer bransjetilpassede strategier for å redusere risikoen for cybersikkerhetsbrudd med utpressing.