Avslöjandet av mannen bakom den ökända ransomware-gänget, LockBit, av brittiska, amerikanska och australiska säkerhetsorgan kan ha gett en välbehövlig andrum för många offer av ransomware, även känt som utpressningsprogram.
Även om nyheterna kommer att sprida skräck bland andra ransomware-gäng som gömmer sig under olika alias och ge cyberförsvarsorgan en bra utredningsledning, talar det också för det faktum att ransomware-attacker har varit ett ihållande hot i flera år och vägrar att blekna i bakgrunden trots våra bästa ansträngningar.
Många rapporter tyder på en oroande ökning av attackerna, till den grad att vissa ransomware-grupper byter namn till affärspartners.
Men hur illa har det blivit – och vilka nya strategier finns det år 2024?
Techopedia tittar på aktuella data och sätter sig ner med cybersäkerhetsröster för att diskutera frågan.
Viktiga slutsatser om dagens ransomware-attacker
- Det finns ett märkbart skifte mot “dubbel utpressning” 2024 där ransomware-aktörer inte bara krypterar data utan också hotar att läcka eller sälja stulen data om lösenkraven inte uppfylls.
- Webbapplikationer har blivit den primära ingångspunkten för cyberattacker, eftersom de ofta skapas av icke-säkerhetsfokuserade ingenjörer och måste vara allmänt tillgängliga.
- Experter rekommenderar en flerskiktad strategi som kombinerar endpoint-säkerhet, kontroller av dataexfiltrering, planering av incidenthantering och kontinuerlig hotövervakning.
- Simuleringar av egna attacker och övningar med motståndare mot organisationens egen infrastruktur rekommenderas för att hitta svagheter som kan utnyttjas innan angriparna gör det.
- Att granska tredjeparts cybersäkerhetsrutiner och risker i leverantörskedjan är avgörande, eftersom ett växande antal intrång härrör från partners och leverantörer.
- Visa fullständig lista
Ransomware slår fortfarande hårdare än någonsin under 2024
Enligt en Thales-undersökning från 2024 med 3 000 IT- och säkerhetsexperter i 18 länder och 37 branscher ökade ransomware-attackerna med 27% jämfört med förra året. Undersökningen visar också att trots det växande hotet hade ungefär hälften av de undersökta organisationerna inte någon omfattande plan för att motverka ransomware bland sina bästa säkerhetsmetoder.
Verizons rapport 2024 Data Breach Investigations Report (DBIR) bekräftar ovanstående observationer och visar på en betydande ökning av attacker som utnyttjar sårbarheter för att få ett första fotfäste och starta dataintrång.
Rapporten visar på en ökning med 180% av sådana attacker jämfört med föregående år. Dessa intrång inkluderar även de som är förknippade med problem i leverantörskedjan för partnerinfrastruktur och programvara, både direkt och indirekt.
Enligt Verizon beror denna upptrappning till stor del på utnyttjandet av MOVEit och liknande zero-day-sårbarheter. Rapporten identifierar vidare webbapplikationer som den primära vektorn för dessa initiala ingångspunkter.
Utöver dessa nya rön rapporterade Techopedia nyligen ett nytt mönster i ransomware-spionage där ransomware-gäng nu samarbetar för att orkestrera cyberattacker från en front. Detta tillvägagångssätt gör dessa gäng svårare att fastställa, vilket ytterligare sätter en belastning på säkerhetsstyrkor som kan behöva sträcka sig utöver sin kapacitet för att fiska ut dem.
Ransomware-intrång involverar nu utpressningstaktik
Det finns också en anmärkningsvärd förändring i strategierna för traditionella ransomware-aktörer mot dubbla utpressningstekniker. Enligt Verizons DBIR-rapport har utpressningsattackerna ökat under det senaste året och står för 9% av alla intrång. Även om det fanns en liten minskning av ransomware till 23%, i kombination med utpressning, står de för en betydande 32% av överträdelserna, vilket gör ransomware till ett stort hot i 92% av branscherna.
En färsk rapport från Flashpoint Global Threat Intelligence belyser cyberbrottslingarnas förändrade taktik, som nu inte bara krypterar data och kräver lösensummor utan också hotar att läcka eller sälja stulen information om deras krav inte uppfylls. Denna taktik med “dubbel utpressning” sätter enligt Flashpoint ännu mer press på offren att hosta upp pengarna.
I en kommentar till Techopedia påpekade Ryan Westman, Director of Threat Intelligence på eSentire, att fokus på dubbel utpressning började när företagen ökade sina program för dataskydd och återställning.
Westman förklarade:
“När företagen hade program för dataskydd och återställning på plats lade cyberbrottslingarna till metoder för datastöld och dataläckage i sin strategi. Det handlar om att stjäla data före kryptering och sedan hota med att släppa data på nätet och även på krypteringssidan. Det här är en ytterligare risk som företagen måste ta med i sin planering av säkerhet och incidenthantering.”
Ransomware-aktörer utvecklar sin taktik och utnyttjar svaga kontroller för dataexfiltrering hos många organisationer, säger Elisha Riedlinger, COO på NeuShield, till Techopedia.
Riedlinger sa:
“I takt med att säkerheten höjs blir det allt svårare för angripare att kräva lösensummor genom att kryptera data. Kontrollerna för exfiltrering är dock fortfarande svaga i många organisationer. Även om många företag inte betalar för att återfå krypterad data kan de betala för att hålla sin data borta från internet. Dessutom kan stöld av data göras utan att använda någon form av skadlig kod, vilket gör det mycket svårare att upptäcka.”
Webbapplikationer är de viktigaste ingångspunkterna
Webbapplikationer har blivit de primära ingångspunkterna för cyberattacker under 2024, vilket framgår av Verizon DBIR. Denna trend är enligt Riedlinger inte förvånande med tanke på att dessa applikationer ofta skapas av icke-säkerhetsinriktade ingenjörer.
Han berättade för Techopedia:
“Webbapplikationer har en tendens att vara vända mot internet, komplicerade och skapade av icke-säkerhetsfokuserade ingenjörsteam. Allt detta gör dem till ett bra mål för attacker.”
Den utbredda användningen av webbapplikationer är skyldig till denna nya våg av cybersäkerhetsrisker, säger Adam Maruyama, Field CTO på Garrison Technology, till Techopedia.
Maruyama noterade:
“Webbapplikationer är ett enkelt mål för hackare eftersom de per definition är tillgängliga för alla som har tillgång till det öppna internet. Även om detta gör det enkelt för medarbetarna att komma åt dem, innebär det också att exempelvis ett sårbart inloggningsgränssnitt skulle vara tillgängligt för alla med en internetanslutning.”
Han tillade: “Detta gör det mycket enklare att upptäcka attacker och sänker trösklarna så att “spray and pray”-attacker som riktar sig mot alla sårbara tjänster, snarare än specifika företag, är ganska enkla att genomföra.”
För Matt Middleton-Leal på cybersäkerhetsföretaget Qualys är dålig åtkomstkontroll för webbappar och molnresurser ett stort hot mot IT-team eftersom hackare ofta riktar in sig på inloggningsuppgifter för att få initial åtkomst.
“Det är vanligt att hackare letar efter referenser som en del av sina attackvägar – det kan vara genom att hitta referenser begravda i offentliga programvarulager, eller som det andra steget för att få tillgång till ett företags molninstanser för att få mer åtkomst och sedan röra sig i sidled till där värdefulla data finns.”
Middleton-Leal fortsatte med att tillägga att webbappar är sårbara eftersom många måste vara allmänt tillgängliga. “För vissa måste de finnas på det öppna nätet. Verktyg som filöverföringsapplikationer kan användas av dina partners eller kunder för att överföra filer, liksom av din interna personal, så att låsa dem utom synhåll är inte ett alternativ.”
Den bästa vägen framåt för cybersäkerhet
Det finns mycket att säga om bästa praxis för att skydda sig mot ransomware, men organisationer måste först vidta förebyggande åtgärder, säger Riedlinger från NeuShield.
Han rekommenderade:
“Organisationer måste införa endpoint-säkerhet som kan upptäcka, registrera och blockera skadlig aktivitet. De bör dock inte anta att enbart förebyggande åtgärder kommer att lösa problemet. Det är viktigt att kunna skydda sina mest kritiska data mot exfiltrering och att snabbt kunna återställa alla enheter om de skulle äventyras.”
“Det första steget är att säkra edge-enheter, patcha snabbt och begränsa åtkomsten till resurser till det minimum som krävs”, säger Westman på eSentire.
Han rekommenderar också planering och förberedelser och konstaterar: “Du bör också förbereda din responsstrategi för incidenter så att du kan vara proaktiv när det gäller hur du kan minimera effekterna av en attack. Andra viktiga åtgärder är att förbättra sin “threat intelligence”-strategi genom att använda dark web-övervakning för att hitta läckta inloggningsuppgifter eller andra sätt att komma åt systemen.”
Stephen Gates, Principal Security SME på Horizon3.ai, betonar behovet av att organisationer går på offensiven mot ransomware-hot.
Gates berättade för Techopedia:
“Organisationer måste hitta sina utnyttjbara svagheter innan angriparna gör det, och angripa sig själva med samma taktik.”
Han citerade U.S. Department of the Navy och Joint Force Headquarters-Department of Defense Information Network som förespråkar att “organisationer måste gå från efterlevnadsbaserad säkerhet till säkerhet baserad på operativ beredskap. Det bästa sättet att mäta den operativa beredskapen är att utföra manuella och automatiserade övningar mot den egna externa, interna och molnbaserade infrastrukturen.”
Med tanke på att en växande trend av säkerhetsöverträdelser härrör från tredje part eller partners inom en organisations leveranskedja uppmanar Kiran Chinnagangannagari, Co-founder, Chief Product & Technology Officer på Securin, organisationer att genomföra due diligence kring varje partners cybersäkerhetsrutiner.
“Med tanke på detta måste organisationer prioritera att granska sina partners cybersäkerhetsrutiner. Ett effektivt tillvägagångssätt är att be partner att fylla i ett standardiserat säkerhetsfrågeformulär baserat på ramverk som NIST Cybersecurity Framework (CSF) eller ISO 27001. Dessa ramverk beskriver bästa praxis inom cybersäkerhet och underlättar självutvärdering.”
Slutsatsen om att skydda sig från utpressning på nätet
Ransomware-attacker har funnits i många år, och det finns inget som tyder på att de kommer att försvinna. Med detta i åtanke måste organisationer förbereda sig tillräckligt bra för att motverka sådana attacker så mycket som möjligt samtidigt som de har en handlingsplan efter incidenten på plats om de blir offer.
Några av de cybersäkerhetsexperter vi talade med lyfte redan fram de första stegen för att få försvaret förstärkt och andra tillvägagångssätt som kan hjälpa till att sätta företag i bästa möjliga form mot ransomware-attacker.
Även om de bästa metoderna som erbjuds ovan kanske inte passar in i alla organisationers cybersäkerhetsställning och policyer, rekommenderas organisationer att söka efter mer branschanpassade strategier eftersom kostnaden för att inte göra någonting är mycket dyr.