Eksperter opfordrer til Ransomware-resiliens, efterhånden som krisen eskalerer
Det har været nogle travle måneder for ransomware. I slutningen af august advarede flere amerikanske cybersikkerhedsorganisationer om en skadelig ransomware-as-a-service-gruppe kaldet RansomHub. Dette kriminelle tøj, tidligere kendt som Cyclops og Knight, har været aktivt siden februar i år og har samlet tilknyttede selskaber fra andre grupper såsom LockBit.
RansomHub har krypteret og stjålet data fra mindst 210 ofre, ifølge en rådgivende fra US Federal Bureau of Investigation, Cybersecurity and Infrastructure Security Agency, Multi-State Information Sharing and Analysis Center og Department of Health and Human Services. De spændte over mange sektorer, som den amerikanske regering betragter som en del af sin kritiske nationale infrastruktur, herunder vand og spildevand, IT, offentlige tjenester, sundhedspleje, nødtjenester, fødevarer og landbrug og finansielle tjenester.
En trussel i udvikling
RansomHub er under udvikling. Det for nylig integreret et værktøj kaldet EDRKillShifter, der deaktiverer software til registrering af endepunkter, hvilket gør det muligt at inficere systemer mere vellykket. Ransomware-tilknyttede virksomheder, der bruger værktøjet, spredes derefter sideværts gennem målnetværket, inficerer systemer og både eksfiltrerer og krypterer malware i et dobbelt-afpresningsangreb.
Med trusler som denne, der fortsætter med at plage kritisk national infrastruktur, er det ikke underligt, at den amerikanske regering larmer mere end nogensinde om ransomware-truslen. I denne måned advarede den nationale cyberdirektør Harry Coker om den stigende trussel om ransomware-angreb. Det Hvide Hus var også vært for sit fjerde internationale Counter Ransomware Initiative-topmøde, hvor 68 lande (inklusive 18 nye tilføjelser) deltog for at forsøge at udrydde ransomware.
Det seneste topmøde etablerede en anti-ransomware-fond for at hjælpe medlemsorganisationer med at styrke deres kapacitet mod ransomware, sammen med vejledning til ofre om, hvordan de skal håndtere et ransomware-angreb. Anne Neuberger, vicenational sikkerhedsrådgiver for cyber og ny teknologi, advarede endnu en gang forsikringsselskaber mod at finansiere løsepengebetalinger.
Laura Payne, administrerende direktør for det canadiske cybersikkerhedskonsulentfirma White Tuque, siger, at det er en solid politik at undgå betalinger. "Du ved ikke, hvem de penge går til, og højst sandsynligt går de til noget, der vil have en forbindelse til terroraktivitet. Det sætter dig i et farligt sted ud fra et juridisk perspektiv,” siger hun.
Neuberger holdt op med at anbefale politikker såsom et direkte forbud mod finansiering af løsesum. Det kan dog være unødvendigt, da forsikringsselskaber står over for øget økonomisk pres fra ransomware-krav. EN indberette af cyberforsikringsselskabet Coalition fandt ud af, at mens skadetallene var faldet i første halvdel af dette år sammenlignet med 1. halvår 2023, steg tabene med 14 % samlet. Det sagde, at det gennemsnitlige tab af ransomware steg med 68 % til $353,000.
"I Canada for et par år siden hørte jeg en af forsikringsselskaberne tale om det, og de sagde, at det eneste, der var en mindre rentabel forsikringsvirksomhed, var haglskader, som fortæller dig, hvor slemt det står til," sagde Payne.
Forebyggelse er bedre end helbredelse
Selvfølgelig er forebyggelse bedre end helbredelse. Hvordan kan organisationer beskytte sig mod ransomware-angreb? RansomHub-rådgivningen anbefaler flere trin, begyndende med en genopretningsplan og multi-faktor-godkendelse. Det tilføjer, at det også er vigtigt at holde al software og firmware opdateret, hvilket vil hjælpe med at blokere ransomware, der er afhængig af kendte sårbarheder.
Fordi ubudne ransomware opererer ved at sprede sig sideværts i en organisation, anbefaler rådgivningen også at segmentere netværk for at forhindre angribere i let at få adgang til andre dele af infrastrukturen.
Rådgivningen anbefaler også adgangskoder på mellem otte og 64 tegn, hvilket stemmer overens med NIST-anbefalinger. "Lang er stærk," er enig Payne. Hun har også flere andre råd om cyberhygiejne.
"Har god grundlæggende beskyttelse og en højkvalitets anti-malware service," tilføjer hun. Sørg for, at dine netværk er sat op med den aktuelle trådløse standard, som ville være WPA2 eller WPA3 med en adgangskode. Brug ikke offentlig Wi-Fi, og sikkerhedskopier dine ting."
De rådgivende forfattere anbefaler, at disse sikkerhedskopier er krypteret og uforanderlige, så angribere ikke kan manipulere med dem. At vedligeholde offline backups er en god strategi her, men flere lagersystemer på markedet gør backupdata uforanderlige på operativsystemniveau. Organisationer kan også bruge WORM-hardware (write-once-read-many) til sådanne sikkerhedskopier til beskyttelse på hardwareniveau.
Den rådgivende anbefaler andre beskyttelser, herunder omhyggelig håndtering af interne tilladelser. For eksempel kan deaktivering af mange kommandolinjescriptværktøjer hjælpe med at forhindre angribere i at 'leve af landet' ved at tillade dem at bevæge sig sideværts og stjæle data uden at slå alarm.
Dokumentet anbefaler også revision af konti for at sikre mindst privilegeret adgang og tidsbegrænsende adgang for administrative konti for at lukke angrebsvinduet. Det advarer også administratorer om at deaktivere ubrugte porte og bruge netværksovervågningsværktøjer til at spotte og spore usædvanlig aktivitet.
Organisationerne bag rådgivningen anbefaler også at beskytte e-mail – et fælles leveringssystem for ransomware – ved at sætte bannere på e-mails, der kommer uden for organisationen, og deaktivere hyperlinks i alle modtagede e-mails.
Disse anbefalinger afspejler grundlæggende cybersikkerhedshygiejne, og ligesom selve ransomware-diskussionen har de cirkuleret i årevis. "Jeg har ikke noget imod at gentage dem," siger Payne. Det er hun nødt til, ligesom offentlige myndigheder, fordi så mange virksomheder ikke lytter. Indtil de gør det, vil krisen fortsætte.
