Hvordan kan din organisation forblive sikker, når ransomware rammer om natten?
Indholdsfortegnelse:
Ransomware er cybersikkerhedshistorien fra det seneste årti. Men i løbet af den tid er modstandernes taktikker, teknikker og procedurer (TTP'er) fortsat med at skifte i overensstemmelse med det konstant udviklende våbenkapløb mellem angribere og netværksforsvarere. Med et historisk lavt antal af ofrevirksomheder, der vælger at betale deres afpressere, fokuserer ransomware-tilknyttede virksomheder på hastighed, timing og camouflage.
Spørgsmålet er: Da de fleste angreb nu kommer i weekenden og i de tidlige timer om morgenen, har netværksforsvarere stadig de rigtige værktøjer og processer på plads til at afbøde truslen? Organisationer for finansielle tjenesteydelser vil især have brug for et hurtigt svar på sådanne spørgsmål forud for overholdelse af EU's Digital Operational Resilience Act (DORA).
Fra styrke til styrke
Ved én foranstaltning fortsætter ransomware med at trives. Dette år er sat til at blive det mest indbringende nogensinde, ifølge analyse af kryptobetalinger til adresser forbundet med kriminalitet. Ifølge en rapport fra august fra blockchain-efterforsker Chainalysis, ransomware "tilstrømning" år-til-dato (YTD) står på $460 mio., en stigning på omkring 2% fra samme tidspunkt sidste år ($449 mio.). Firmaet hævder, at denne stigning i høj grad skyldes "big-game jagt" - taktikken med at gå efter færre store virksomheders ofre, som måske er mere i stand til og villige til at betale større løsesummer. Teorien bekræftes i en betaling på 75 millioner dollars fra et unavngivet firma, til Dark Angels ransomware-gruppen tidligere på året - den største nogensinde registreret.
Samlet set er den gennemsnitlige løsesumsbetaling til de mest almindelige ransomware-stammer også steget - fra lige under $200,000 i begyndelsen af 2023 til $1.5 mio. i midten af juni 2024. Chainalysis hævder, at dette tyder på, "at disse stammer prioriterer målrettet mod større virksomheder og kritiske infrastrukturudbydere, som kan være mere tilbøjelige til at betale høje løsesummer på grund af deres dybe lommer og systemiske betydning. ”
Den tilsyneladende styrke af ransomware-økosystemet er mere imponerende i betragtning af de retshåndhævende sejre fra tidligere i år, som så ud til at forstyrre to store grupper: LockBit og ALPHV/BlackCat. Chainalysis hævder, at disse bestræbelser har fragmenteret cyberkriminalitet under jorden noget, hvor tilknyttede selskaber flyttede til "mindre effektive stammer" eller lancerede deres egne. Dette lyder med en Q2 2024-analyse fra ransomware-specialisten Coveware, som hævder at have observeret en stigning i antallet af "lone wolf"-grupper, der ikke er tilknyttet noget større ransomware-"brand". Mange har taget denne beslutning "på grund af den stigende trussel om eksponering, afbrydelse og tab af fortjeneste forbundet med 'giftige' ransomware-mærker," står der.
Men bundlinjen er, at disse trusselsaktører stadig er aktive. Og da betalingsraterne falder fra et maksimum på omkring 85 % af ofrene i 2019 til omkring en tredjedel af det i dag, leder de altid efter måder at gøre deres indsats mere effektiv.
Timing er alt
En ny rapport fra Malwarebytes' ThreatDown-gruppe afslører præcis, hvordan de håber at gøre det. Den hævder, at flere ransomware-grupper i løbet af det seneste år har angrebet ofre i weekenden og i de tidlige morgentimer. Trusselsholdet håndterede de fleste angreb mellem kl. 1 og 5 lokal tid.
Årsagen er indlysende: trusselsaktørerne håber at fange en organisation, når dens it-team sover hurtigt eller lader batterierne op i weekenden.
Endvidere hævder rapporten, at angrebene bliver hurtigere. Tilbage i 2022, en Splunk studie testede 10 top ransomware-varianter og fandt, at medianhastigheden for kryptering af 100,000 filer kun var 43 minutter, med LockBit den hurtigste af alle på kun fire minutter. Men det, Malwarebytes ser, er en acceleration af hele angrebskæden – fra indledende adgang til lateral bevægelse, dataeksfiltrering og endelig kryptering. Det giver gråøjede netværksforsvarere endnu mindre tid til at reagere og begrænse en trussel, før det er for sent.
Rapporten hævder også, at flere ondsindede aktører bruger Living Off the Land (LOTL) teknikker, som bruger legitime værktøjer og processer til at forblive skjult inde i netværk, mens de opnår disse mål. "Seneste kundehændelser fra topbander som LockBit, Akira og Medusa afslører, at det meste af den moderne ransomware-angrebskæde nu er sammensat af LOTL-teknikker," står der.
Sådan mindskes Ransomware-risikoen i 2024
Storvildtsjagtangreb kan samle de fleste overskrifter, men sandheden er, at de fleste ransomware-ofre teknisk set er SMB'er. Coveware hævder, at medianstørrelsen i 2. kvartal 2024 kun var 200 ansatte. Så hvordan kan disse organisationer håbe på at forsvare sig mod snigende angreb om natten og i weekenden?
"Den eneste løsning er at sikre, at disse aktiver overvåges med samme omhu kl. 1, som de er kl. 1," siger Malwarebytes senior trusselsefterretningsforsker Mark Stockley til ISMS.online.
"Det kan opnås ved at bemande et internt Security Operations Center (SOC), der opererer 24/7. Men for de fleste organisationer er det mere praktisk og omkostningseffektivt at bruge en tredjepartstjeneste, såsom Managed Detection and Response (MDR), eller at få en Managed Service Provider (MSP) til at gøre det."
Efterhånden som DORA-æraen nærmer sig, bliver sådanne foranstaltninger i stigende grad nødvendige for finansielle serviceorganisationer og deres leverandører. Kontinuerlig overvågning, 24/7-hændelsesberedskab, robust forretningskontinuitetsplanlægning og regelmæssige tests vil alt sammen være påkrævet for at tilfredsstille regulatorer, at modstandskraften er på et passende niveau.
Stockley mener, at best practice standarder og rammer som ISO 27001 kan hjælpe med at få organisationer til dette punkt.
"Som enhver standard eller rammeværk er ISO 27001 et middel til at nå et mål. Organisationer kan nå frem til det niveau af informationssikkerhed, de har brug for, uden det, men standarder og rammer kan fungere som nyttige kort, der hjælper dem med at komme dertil og blive der,” tilføjer han. ”Det rigtige valg af rammer afhænger af organisationens niveau af sikkerhedsmodenhed. I sidste ende er cyberkriminelle ligeglade med, hvilke certificeringer du har; de er kun ligeglade, hvis de bliver stoppet.”
