Ransomware er en form for ondsindet software, der overtager kontrollen over et offers data eller enhed og stiller dem over for et dystert ultimatum: enten betale en løsesum eller tage konsekvenserne i øjnene. Uanset om dette er langvarig lockdown eller et udbredt datalæk, er truslen næsten altid høj nok til at overbevise ofrene til at betale.
IBM Security X-Force Threat Intelligence Index af 2023 afslører, at sidste år udgjorde ransomware-angreb næsten en fjerdedel af alle cyberangreb. Ransomwares popularitet er et resultat af vidtrækkende globale socioøkonomiske faktorer – som hver for sig skaber en altid tilstedeværende trussel mod din organisation.
Stadierne af et Ransomware-angreb
Fra hyper-komplekse angreb til en udnyttelse af simple forglemmelser, næsten hvert ransomware-angreb udfolder sig over fire til fem afgørende faser.
Trin 1: Udnyttelse af en sårbarhed
Uanset om det er en sårbarhed i et stykke af din tech-stack – eller et enkelt tilsyn fra en medarbejder – er den primære fase af ethvert ransomware-angreb en adgangsvektor af en slags. Ofte kan det svage led være dine egne kolleger (eller endda dig selv!). Phishing er en af de mest almindelige måder, hvorpå ellers sikre organisationer kan blive brudt ind i; det er det, der tillod angribere at udløse et ransomware-angreb på den britiske avis the Guardian i begyndelsen af 2023.
Andre infiltrationsforsøg drager fordel af ondsindede websteder eller angriber softwaresårbarheder direkte.
Trin 2: Slip RATTEN løs
Fjernadgang ses oftest i forbindelse med teknisk support – med dette aktiveret er dit it-team i stand til at hjælpe kolleger med deres daglige computeropgaver. Fjernsupport gør det muligt for andre brugere at påtage sig fuldstændige administrative privilegier, hvilket giver dem fuld kontrol over hver proces på din pc. En RAT fordrejer dette ved at blive installeret på en computer uden brugerens viden.
Det er almindeligt, at angribere bruger RAT'er som en vej rundt om etablerede sikkerhedsforanstaltninger – hvorimod antivirusløsninger kan identificere ransomware via simpel filsignaturdetektion, er en fjernadgangstrojaner sværere at opdage præimplantation. Piggybacking på legitimt udseende filer såsom softwarepakker og videospil tilbyder RAT en række forskellige veje til enhver indtrængende angriber, hvilket baner vejen til den følgende fase af angrebet.
Etape 3: Rekognoscering
Med fodfæste på ofrets system bliver det så muligt for angriberen at begynde at snuse rundt. Der er primært fokus på at forstå de lokale systemer, sammen med det domæne, de i øjeblikket har adgang til. Derfra er de frie til at begynde at bevæge sig sideværts. Det er her den store svaghed med perimeter-lignende sikkerhed ligger; hvis den er afhængig af blot en enkelt forsvarslinje, gøres lateral bevægelse meget lettere - og det eventuelle angreb mere vidtrækkende. På dette tidspunkt udvider angriberen imidlertid aktivt sit greb over systemet og kompromitterer stadig mere privilegerede konti, mens han forbliver så snigende som muligt.
Trin 4: Eksfiltration
Angriberen har på dette tidspunkt bragt sin rækkevidde ind i så mange områder af organisationen som muligt. Først nu er der imidlertid truffet nogen handling, som direkte gavner den angribende gruppe. Fokus skifter til at identificere og eksfiltrere data – jo mere følsomme, jo bedre. Stigningen af kombineret afpresning og ransomware-angreb er takket være konteksten af nutidens trusselshåndteringslandskab. Databrud kommer med store bøder og et brag af dårlig PR; fra angriberens perspektiv kan disse data også sælges til andre områder af cyberkriminalitetsmaskinen. På dette tidspunkt har angriberne krævet endnu et offer. Uanset den efterfølgende sidste fase, er de sandsynligvis i stand til at tjene de penge, de leder efter.
Trin 5: Kryptering
Endelig, efter at de i det skjulte har fjernet TB'er af virksomhedsdata – på tværs af login-legitimationsoplysninger, kundernes personlige oplysninger og intellektuel ejendom – er cyberkriminelle i stand til at lande et sidste slag. Kryptografisk ransomware arbejder sig gennem hver fil, den kan få adgang til via berørte netværk, og krypterer undervejs. Avancerede former for nogle ransomware-stammer går endnu længere og deaktiverer funktioner, der ville give mulighed for en sidste-grøft systemgendannelse og sletter eventuelle sikkerhedskopier på det inficerede netværk. Ikke al ransomware krypterer dog: nogle vil låse enhedens skærm eller endda oversvømme brugeren med en uendelig byge af pop-ups.
Endelig, når enheden og dens tilknyttede filer er utilgængelige, informeres offeret om deres dårlige skæbne via en løsesumseddel. Dette materialiserer sig ofte som en .txt-fil, der deponeres på computerens skrivebord, og indeholder instruktioner om, hvordan løsesummen betales.
Hvem er et mål for Ransomware?
Med hvert vellykket angreb bliver ransomware-angriberen dristigere og målretter industrier på måder, der forårsager mest mulig smerte. I de senere år er ét område blevet målrettet med særlig hensynsløshed: kritisk infrastruktur.
Et angreb på en energiudbyder kan resultere i netsvigt eller inkonsistent energiproduktion til boliger, kommercielle bygninger eller andre kritiske tjenesteudbydere. Kraftværker, vandbehandlingsanlæg, transportsystemer og kommunikationsnetværk har alle været områder med særligt fokus i de sidste par år. Dette er hovedsageligt et resultat af store fejl gemt dybt i industrielle kontrolsystemer, som bruges til at overvåge og kontrollere disse kritiske infrastrukturkomponenter.
Schneider Electric og Siemens er to industrielle kontrolløsninger, der allerede har tilbudt angribere angrebsveje med flere kæder. Et nyligt eksempel er en fejl, der påvirker Schneider Electrics ION- og PowerLogic-effektmålere. Disse leverer energiovervågning til organisationer på tværs af fremstillings-, energi- og vandsektorerne; tagget som CVE-2022-46680, har denne udnyttelse fået en alvorlig CVSS-score på 8.8 ud af 10, og giver trusselsaktører adgang til legitimationsoplysninger, der vil hjælpe dem med at ændre konfigurationsindstillinger og ændre firmware.
Hvorfor spredes Ransomware-angreb?
Antallet af ransomware-angreb fortsætter med at skyde i vejret – til dels på grund af en skiftende global økonomi. Da ransomware er et angreb, der ofte er stærkt økonomisk motiveret, spiller socioøkonomiske spørgsmål som fattigdom og ulighed i rigdom en stor rolle i dets popularitet. Dette er også accelereret inden for de sidste par år – delvist fordi ransomware nu er den mest tilgængelige, den nogensinde har været. Aspirerende cyberkriminelle kræver ikke længere en dybdegående forståelse af netværkssikkerhed. I stedet vælger visse ransomware-udviklere at dele deres malware-kode gennem ransomware-as-a-service (RaaS) arrangementer. I denne opsætning fungerer den cyberkriminelle som en affiliate, der udnytter forudskrevet kode og deler en del af ofrets løsesumsbetaling med den oprindelige udvikler. Dette symbiotiske forhold viser sig at være gensidigt fordelagtigt: tilknyttede virksomheder kan høste fordelene ved afpresning uden behov for at udvikle deres egen malware, mens udviklere kan øge deres overskud uden at placere sig selv i frontlinjen.
Den sidste årsag til en stigning i ransomware-sager er geopolitiske spændinger. Det er drivkraften bag sådanne massive kampagner mod infrastrukturelle sværvægtere. Ideen om en statsstøttet hacker plejede at være isoleret for at angribe aktører, der var direkte finansieret af ondsindede stater. Nu har tiderne ændret sig. Med Ruslands invasion af Ukraine – og den stigende tilgængelighed af ransomware – er ikke-tilknyttede trusselsaktører blevet involveret med inderlig entusiasme. Kritisk infrastruktur såsom jernbaner er stolt blevet standset – såsom cyberpartisanernes hack af hviderussiske jernbaner, som blev orkestreret i et forsøg på at forhindre russiske soldaters bevægelse.
Historien om Ransomware-angreb
Startende med en eksperimentel Floppy-disk har ransomware taget lang tid at udvikle sig til de hyperaggressive angreb, som organisationer står over for i dag.
1989: Low-Tech Beginnings. Den allerførste dokumenterede ransomware var AIDS-trojaneren. Distribueret via disketter har fødslen af ransomware forbløffende lavteknologiske rødder. Filmapper på offerets computer blev skjult, før ransomware-pop-up'et krævede $189 for at afsløre dem. Men da det krypterede filnavnene i stedet for de faktiske filer, var brugerne i sidste ende i stand til selv at vende skaden.
2005: Nye krypteringsstile dukker op. Efter et relativt lille antal ransomware-angreb i begyndelsen af 2000'erne begyndte en stigning i infektioner, hovedsageligt koncentreret i Rusland og Østeuropa. De første variationer, der brugte asymmetrisk kryptering, dukkede op. Da nyere ransomware tilbød mere effektive metoder til at afpresse penge, begyndte et stigende antal cyberkriminelle at sprede ransomware over hele verden.
2009: Usporbare betalinger Deltag i kampen. Fremkomsten af cryptocurrency, især Bitcoin, gav cyberkriminelle mulighed for at modtage usporbare løsepengebetalinger, hvilket resulterede i den næste bølge af ransomware-aktivitet.
2013: CryptoLocker beviser sig selv. Den moderne æra af ransomware begynder med introduktionen af CryptoLocker, der markerer starten på krypteringsbaserede ransomware-scripts, der, når de er installeret, kræver, at offeret skal betale i kryptovaluta.
2015: RaaS er født. Tox ransomware-varianten er banebrydende for ransomware-as-a-service (RaaS)-modellen, der tillader andre cyberkriminelle nemt at få adgang til og implementere ransomware til deres egne ondsindede formål.
2017: WannaCry rammer NHS. Fremkomsten af WannaCry betegner de første udbredte selvreplikerende kryptoorme, der muliggør hurtig udbredelse af ransomwaren på tværs af netværk og systemer.
2018: Ryuk sigter mod Wall Street Journal og LA Times. Ryuk vinder popularitet og etablerer konceptet med storvildtsjagt i ransomware-angreb, målrettet mod organisationer af høj værdi for større løsesumsudbetalinger.
2019: Dobbelt afpresning bliver normen. Dobbelte ransomware-angreb begynder at stige. Størstedelen af ransomware-hændelser, der håndteres af IBM Security Incident Response-teamet, involverer nu både kryptering af data og en trussel om at afsløre dem, hvis løsesummen ikke bliver betalt.
2023: Trådkapring er nu populær. Trådkapring fremstår som en fremtrædende vektor for ransomware, hvor cyberkriminelle indsætter sig selv i onlinesamtaler om deres mål for at lette spredningen af ransomware og øge deres chancer for vellykket afpresning.
Hvorfor du ikke bare skal betale løsesum
I 2019 endte de fleste ransomware-ofre med at betale deres angribere. I første kvartal af 2022 var det dog faldet. Dette er delvist takket være det overvældende antal grunde, der er stablet imod at foretage den afgørende løsesumsudbetaling.
Du får muligvis ikke en dekrypteringsnøgle
I gennemsnit hentede organisationer, der betalte løsesummen, i 2021 kun 61 % af deres data. Antallet af organisationer, der betalte og efterfølgende modtog alle deres data, var små 4 %. Når hackere har modtaget løsesummen, er dine data stadig penge værd for dem – salg og lækage giver dem et endnu større afkast af investeringen.
Du kan få løsepengekrav gentagne gange
Et overvældende flertal af ofrene, der betaler op, bliver ramt af flere løsesumsangreb længere nede. En førende rapport fra 2022 analyseret, hvad der sker, efter at en organisation blot har betalt sine angribere, og opdaget frygtelig høje forekomster af genangreb. Af alle ofre, der indrømmede at have betalt løsesummen, blev 80 % af dem senere ramt en anden gang – 68 % af dem så angreb selv samme måned med et højere krav om løsesum. En af grundene til dette er, at de, der vælger at betale op, bliver set som sårbare mål. 9 % betalte tredje gang.
Du kan snart bryde loven
Det amerikanske finansministerium har allerede udgivet en rådgivende advarsel om fremtidige juridiske problemer. At være involveret i ransomware-betalinger - hvad enten det er offer, et cyberforsikringsfirma eller finansiel institution - kan potentielt overtræde love vedrørende international sikkerhed. Dette er i høj grad takket være det sidste punkt, der understreger ransomwares økonomiske realiteter.
Du finansierer kriminel aktivitet
Med hvert offer, der betaler, er hackergrupper i stand til at udvikle endnu mere avancerede metoder til at bruge malware til at infiltrere mere sårbare virksomheder. At betale løsesummen gør ikke kun selve løsesumwaren værre – men finansierer direkte aggressive nationalstater, der ofte finansierer sådanne offentlige og forstyrrende angreb.
På den anden side, jo flere forhindringer, hackere møder i deres kriminelle aktiviteter, falder chancerne for, at de kan fortsætte med at skade andre virksomheder.
De forskellige typer af ransomware
Ransomware antager ofte en række forskellige former, og mens krypteringsbaseret ransomware er en af de mere almindelige typer, er kryptering af følsomme data ikke den eneste måde, hvorpå organisationers data kan opbevares ved knivspids.
scareware
Scareware er ransomwares lavteknologiske fætter. Ofte vil disse se en ondsindet nyttelast starte en besked op, der hævder at være fra retshåndhævelse eller endda fra en legitim virusinfektion. Det kan pege brugeren mod en falsk antivirus-software - få ofre til at betale for privilegiet at downloade deres egen ransomware.
Skærmlåse
Denne form for ransomware blokerer brugeradgang ikke med kryptering, men ved blot at forhindre brugeren i at interagere med nogen af deres filer i første omgang. Låsning af hele offerets enhed opnås normalt ved at spærre adgangen til operativsystemet. I stedet for at starte op som normalt, viser enheden blot kravet om løsesum.
Aftørringspapir
Mens krypteringsbaseret ransomware ofte lokker ofre til at betale med løftet om, at alt vender tilbage til det normale, tager viskere en mere aggressiv tilgang. Løsesedlen vil true med at ødelægge alle data, hvis den ikke bliver betalt. Selv i tilfælde, hvor ofrene ponyer op, slettes dataene ofte uanset. Det rene destruktive potentiale i vinduesviskerne gør dem til et særligt veludnyttet værktøj for nationalstatsaktører og hacktivister.
Populære Ransomware-varianter
I den mudrede, stadigt udviklende verden af ransomware, kan varianter være her det ene øjeblik og væk i det næste. Fire store aktører er kommet ind på scenen i det sidste årti, som hver især har spillet en unik rolle i at skubbe den ulovlige industri ind i nyt terræn.
WannaCry
WannaCry var det første fremtrædende eksempel på en kryptoorm – den type ransomware, der er i stand til at sprede sig til andre enheder inden for et netværk. Den var rettet mod over 200,000 computere i 150 lande og udnyttede EternalBlue-sårbarheden i Microsoft Windows, som administratorer ikke havde rettet. Ud over at kryptere værdifulde data, udgjorde WannaCry ransomware også en trussel mod at slette filer, hvis betalingen ikke blev modtaget inden for en periode på syv dage.
WannaCry-angrebet står som en af de største ransomware-hændelser, der er registreret til dato, med estimerede omkostninger når op på 4 mia. USD. Dens omfattende indvirkning og hurtige udbredelse fremhævede de betydelige konsekvenser, som uoprettede sårbarheder og systemadministratorers forsømmelighed kan have i lyset af sådanne cybertrusler.
SKYLDELSE
REvil, også omtalt som Sodin eller Sodinokibi, spillede en væsentlig rolle i populariseringen af Ransomware-as-a-Service (RaaS) modellen til distribution af ransomware. Denne tilgang tillader andre cyberkriminelle at få adgang til og bruge REvil ransomware til deres egne ondsindede aktiviteter. REvil vandt berømthed for sit engagement i storvildts jagtangreb og dobbeltafpresningstaktik.
I 2021 var REvil ansvarlig for bemærkelsesværdige angreb på JBS USA og Kaseya Limited. JBS, en fremtrædende forarbejdningsvirksomhed for oksekød i USA, oplevede en forstyrrelse, der førte til betaling af en løsesum på 11 millioner USD. Angrebet påvirkede JBS' forarbejdning af oksekød i hele USA. Kaseya Limited, en softwareudbyder, så over tusinde kunder berørt takket være den betydelige nedetid forårsaget af angrebet.
I begyndelsen af 2022 erklærede den russiske føderale sikkerhedstjeneste, at de havde demonteret REvil og var begyndt at sigte flere af dens medlemmer for deres tidligere forbrydelser.
Ryuk
Først observeret i 2018 stod Ryuk ransomware i spidsen for "big-game ransomware"-angrebene, der specifikt retter sig mod enheder af høj værdi; deres krav om løsesum oversteg regelmæssigt en million dollars. Ryuk er udstyret til at målrette mod sådanne succesfulde organisationer takket være dens aggressive evne til at identificere og deaktivere backup-filer og systemgendannelsesfunktioner. I 2021 blev en ny stamme af Ryuk med cryptorm-kapacitet identificeret, hvilket yderligere forbedrede dens kapacitet til hurtig og omfattende infektion.
Mørk side
DarkSide er en ransomware-variant, der menes at blive drevet af en gruppe, der mistænkes for at være baseret i Rusland. Den 7. maj 2021 udførte DarkSide et betydeligt cyberangreb på den amerikanske kolonialrørledning, som anses for at være det hidtil mest alvorlige cyberangreb på kritisk infrastruktur i USA. Som en konsekvens af angrebet blev rørledningen, der var ansvarlig for at levere cirka 45 procent af brændstoffet til den amerikanske østkyst, midlertidigt lukket ned.
DarkSide-gruppen udfører ikke kun direkte ransomware-angreb, men licenserer også sin ransomware til andre cyberkriminelle tilknyttede selskaber, hvilket giver gruppen mulighed for at udvide sin rækkevidde og overskud.
Sådan beskytter du mod ransomware
Det er afgørende at grundigt undersøge kilden til et ransomware-angreb og træffe passende foranstaltninger for at løse problemet. Hvis angrebet stammer fra en medarbejder, der har klikket på et risikabelt link, er det vigtigt at forbedre medarbejderuddannelsen i identificere phishing-angreb og understrege vigtigheden af at opretholde sikre, unikke adgangskoder, såsom adgangssætninger. Implementering af to-faktor autentificeringssoftware til alle enheder og medarbejdere kan give et ekstra lag af beskyttelse.
Regelmæssig opdatering af software og hardware er afgørende for at afbøde potentielle sårbarheder. Det er nødvendigt at styrke din cybersikkerhedsinfrastruktur for at holde trit med den stadigt udviklende taktik, der anvendes af angribere. Regelmæssig konfiguration af dit netværk kan hjælpe med at opsnappe ondsindet trafik og gøre det mere udfordrende for kriminelle at målrette mod din organisation.
Det er afgørende at identificere eventuelle sikkerhedshuller og omgående afhjælpe dem. Hver sikkerhedshændelse bør ses som en mulighed for at få indsigt i infrastruktursårbarheder og forbedre den overordnede sikkerhedsposition. Sikkerhed er en løbende proces, der kræver konstant test og forbedring for at være på forkant med potentielle trusler.
Hvordan LayerX beskytter mod Ransomware
Efterhånden som ransomware-taktik er vokset fra styrke til styrke, har de sårbarheder, der baner vejen for angribere, ændret sig. Samtidig er browseren blevet en kernekomponent i det moderne arbejdsområde, ligesom applikationer, der spænder fra administrerede til helt usanktionerede apps. At sidde mellem det sikre miljø for et beskyttet slutpunkt og world wide web er det unikke skæringspunkt mellem disse applikationer – og mange organisationers svage punkt.
LayerX beskytter de aktiver, der er uden for virksomhedens sikkerhedsteams kontrol, ved at indføre dyb granularitet. Dette fremhæver alle aktiviteter, der kan medføre risiko for ransomware eller RAT-download. Et fokus på beskyttelse på jorden gør det muligt for LayerX at implementere med en browserudvidelse med hurtig installation på brugerprofilniveau. Bruger-først synlighed kombineres med brancheførende analyse på forkant med LayerX's trussel-intel-sky. Efter den proaktive identifikation af højrisikoelementer handler LayerX's håndhæverelementer afgørende - neutraliserer enhver trussel om udbredt kryptering uden truslen om brugerafbrydelse. Med LayerX kan organisationer implementere fuld beskyttelse til hvor som helst brugere har adgang til internettet.