Ransomware er en form for ondsinnet programvare som tar kontroll over et offers data eller enhet og gir dem et alvorlig ultimatum: enten betale løsepenger eller ta konsekvensene. Enten dette er langvarig låsing eller en omfattende datalekkasje, er trusselen nesten alltid høy nok til å overbevise ofrene om å betale.
Ocuco IBM Security X-Force Threat Intelligence Index av 2023 avslører at i fjor utgjorde løsepengevareangrep nesten en fjerdedel av alle nettangrep. Ransomwares popularitet er et resultat av vidtrekkende globale sosioøkonomiske faktorer – som hver for seg skaper en alltid tilstedeværende trussel mot organisasjonen din.
Stadiene av et ransomware-angrep
Fra hyperkomplekse angrep til utnyttelse av enkle forglemmelser, nesten hvert løsepengevareangrep utspiller seg over fire til fem avgjørende stadier.
Trinn 1: Utnyttelse av en sårbarhet
Enten det er en sårbarhet i en del av teknologistabelen din – eller en enkelt tilsyn av en medarbeider – det primære stadiet i hvert løsepengevareangrep er en tilgangsvektor av noe slag. Ofte kan det svake leddet være dine egne kolleger (eller til og med deg selv!). Phishing er en av de vanligste måtene ellers sikre organisasjoner kan brytes inn på; det er det som tillot angripere å slippe løs et løsepenge-angrep på den britiske avisen The Guardian i begynnelsen av 2023.
Andre infiltrasjonsforsøk drar fordel av ondsinnede nettsteder eller angriper programvaresårbarheter direkte.
Trinn 2: Slipp løs RATTEN
Fjerntilgang ses oftest i sammenheng med teknisk støtte – med dette aktivert kan IT-teamet ditt hjelpe kolleger med deres daglige databehandlingsoppgaver. Fjernstøtte gjør det mulig for andre brukere å påta seg fullstendige administrative rettigheter, og gir dem full kontroll over hver prosess på PC-en din. En RAT deformerer dette ved å bli installert på en datamaskin uten brukerens viten.
Det er vanlig at angripere bruker RAT-er som en vei rundt etablerte sikkerhetstiltak – mens antivirusløsninger kan identifisere løsepengeprogramvare via enkel filsignaturdeteksjon, er en fjerntilgangstrojaner vanskeligere å oppdage pre-implantasjon. Piggybacking på filer som ser legitimt ut som programvarepakker og videospill, tilbyr RAT en rekke veier til enhver innspillende angriper, og baner vei til neste stadium av angrepet.
Trinn 3: Rekognosering
Med fotfeste på offerets system blir det da mulig for angriperen å begynne å snoke rundt. Et primært fokus legges på å forstå de lokale systemene, sammen med domenet de har tilgang til i dag. Derfra står de fritt til å begynne å bevege seg sideveis. Det er her den store svakheten med perimeter-lignende sikkerhet ligger; hvis den er avhengig av bare en enkelt forsvarslinje, gjøres sidebevegelser mye enklere – og det eventuelle angrepet blir mer vidtrekkende. På dette tidspunktet utvider angriperen imidlertid aktivt grepet over systemet og kompromitterer stadig mer privilegerte kontoer mens han forblir så snikende som mulig.
Trinn 4: Eksfiltrering
Angriperen har på dette stadiet fått sin rekkevidde inn i så mange områder av organisasjonen som mulig. Først nå er det imidlertid iverksatt tiltak som direkte kommer den angripende gruppen til gode. Fokuset går over til å identifisere og eksfiltrere data – jo mer sensitiv, jo bedre. Fremveksten av forenet utpressing og løsepengevareangrep er takket være konteksten til dagens trusselhåndteringslandskap. Datainnbrudd kommer med store bøter og en eksplosjon av dårlig PR; fra angriperens perspektiv kan disse dataene også selges til andre områder av cyberkriminalitetsmaskinen. På dette tidspunktet har angriperne hevdet et annet offer. Uavhengig av den påfølgende siste fasen, er de sannsynligvis i stand til å tjene pengene de leter etter.
Trinn 5: Kryptering
Til slutt, etter å ha slukt av TB-er med bedriftsdata – på tvers av påloggingsinformasjon, kundenes personlige opplysninger og åndsverk – kan nettkriminelle få et siste slag. Kryptografisk løsepengevare går gjennom hver fil den kan få tilgang til via berørte nettverk, og krypterer mens den går. Avanserte former for noen løsepengevare-stammer går enda lenger, deaktiverer funksjoner som vil tillate en siste gjenoppretting av systemet, og sletter eventuelle sikkerhetskopier på det infiserte nettverket. Ikke all løsepengevare krypterer imidlertid: noen vil låse enhetens skjerm eller til og med oversvømme brukeren med en uendelig byrde av popup-vinduer.
Til slutt, når enheten og dens tilknyttede filer er utilgjengelige, blir offeret informert om sin dårlige skjebne via en løsepenge. Dette materialiserer seg ofte som en .txt-fil som settes inn på datamaskinens skrivebord, og inneholder instruksjoner om hvordan du betaler løsepenger.
Hvem er et mål for ransomware?
Med hvert vellykket angrep blir løsepengevareangriperen dristigere, og retter seg mot industrier på måter som forårsaker mest mulig smerte. De siste årene har ett område vært målrettet med særlig hensynsløshet: kritisk infrastruktur.
Et angrep på en energileverandør kan resultere i nettsvikt eller inkonsekvent energiproduksjon til boliger, kommersielle bygninger eller andre kritiske tjenesteleverandører. Kraftverk, vannbehandlingsanlegg, transportsystemer og kommunikasjonsnettverk har alle vært fokusområder de siste årene. Dette er i stor grad et resultat av store feil skjult dypt inne i industrielle kontrollsystemer, som brukes til å overvåke og kontrollere disse kritiske infrastrukturkomponentene.
Schneider Electric og Siemens er to industrielle kontrollløsninger som allerede har tilbudt angripere multikjede angrepsveier. Et nylig eksempel er en feil som påvirker Schneider Electrics ION- og PowerLogic-effektmålere. Disse gir energiovervåking til organisasjoner på tvers av produksjons-, energi- og vannsektorene; merket som CVE-2022-46680, har denne utnyttelsen fått en alvorlig CVSS-score på 8.8 av 10, og lar trusselaktører få tilgang til legitimasjon som vil hjelpe dem med å endre konfigurasjonsinnstillinger og modifisere fastvare.
Hvorfor sprer ransomware-angrep seg?
Antall ransomware-angrep fortsetter å skyte i været – delvis på grunn av en skiftende global økonomi. Siden løsepengevare er et angrep som ofte er sterkt økonomisk motivert, spiller sosioøkonomiske problemer som fattigdom og formuesulikhet en stor rolle i populariteten. Dette har også akselerert de siste årene – delvis fordi løsepengevare nå er den mest tilgjengelige den noensinne har vært. Aspirerende nettkriminelle krever ikke lenger en grundig forståelse av nettverkssikkerhet. I stedet velger visse løsepengevareutviklere å dele sin skadevarekode gjennom ransomware-as-a-service (RaaS)-ordninger. I dette oppsettet fungerer den nettkriminelle som en tilknyttet, utnytter forhåndsskrevet kode og deler en del av offerets løsepenger med den opprinnelige utvikleren. Dette symbiotiske forholdet viser seg å være gjensidig fordelaktig: tilknyttede selskaper kan høste fordelene av utpressing uten å måtte utvikle sin egen skadevare, mens utviklere kan øke fortjenesten uten å plassere seg i frontlinjen.
Den siste årsaken til en økning i løsepengevaresaker er geopolitisk spenning. Det er drivkraften bak slike massive kampanjer mot infrastrukturelle tungvektere. Ideen om en statsstøttet hacker pleide å være isolert for å angripe aktører som var direkte finansiert av ondsinnede stater. Nå har tidene endret seg. Med Russlands invasjon av Ukraina – og den økende tilgjengeligheten av løsepengevare – har ikke-tilknyttede trusselaktører blitt involvert med inderlig entusiasme. Kritisk infrastruktur som jernbaner er stolt stanset – slik som Cyber Partisans hack av hviterussiske jernbaner, som ble orkestrert i et forsøk på å forhindre bevegelse av russiske soldater.
Historie om ransomware-angrep
Fra og med en eksperimentell diskett, har løsepengevare tatt lang tid å utvikle seg til de hyperaggressive angrepene organisasjoner står overfor i dag.
1989: Low-Tech Beginnings. Den aller første dokumenterte løsepengevaren var AIDS-trojaneren. Distribuert via disketter, har fødselen av løsepengevare forbløffende lavteknologiske røtter. Filkataloger på offerets datamaskin ble skjult, før løsepenge-popupen krevde $189 for å avsløre dem. Men siden den krypterte filnavnene i stedet for de faktiske filene, klarte brukerne til slutt å reversere skaden selv.
2005: Nye krypteringsstiler dukker opp. Etter et relativt lite antall ransomware-angrep på begynnelsen av 2000-tallet begynte en økning i infeksjoner, hovedsakelig konsentrert i Russland og Øst-Europa. De første variantene som brukte asymmetrisk kryptering dukket opp. Ettersom nyere løsepengeprogram tilbød mer effektive metoder for å presse penger, begynte et økende antall nettkriminelle å spre løsepengevare over hele verden.
2009: Ikke sporbare betalinger Bli med i kampen. Fremkomsten av kryptovaluta, spesielt Bitcoin, ga nettkriminelle en mulighet til å motta usporbare løsepenger, noe som resulterte i den neste bølgen av løsepengevareaktivitet.
2013: CryptoLocker beviser seg selv. Den moderne æraen av løsepengevare starter med introduksjonen av CryptoLocker, og markerer starten på krypteringsbaserte løsepengevareskript som, når de er utplassert, krever at offeret betaler i kryptovaluta.
2015: RaaS er født. Tox ransomware-varianten er banebrytende for ransomware-as-a-service (RaaS)-modellen, og lar andre nettkriminelle enkelt få tilgang til og distribuere løsepengevare for sine egne ondsinnede formål.
2017: WannaCry treffer NHS. Fremveksten av WannaCry betyr de første mye brukte selvreplikerende kryptoormene, som muliggjør rask spredning av løsepengevaren på tvers av nettverk og systemer.
2018: Ryuk retter seg mot Wall Street Journal og LA Times. Ryuk vinner popularitet og etablerer konseptet med storviltjakt i løsepenge-angrep, rettet mot organisasjoner med høy verdi for større løsepengeutbetalinger.
2019: Dobbel utpressing blir normen. Doble løsepenge-angrep begynner å øke. Flertallet av løsepengevarehendelser som håndteres av IBM Security Incident Response-teamet involverer nå både kryptering av data og en trussel om å avsløre dem hvis løsepengene ikke blir betalt.
2023: Trådkapring er nå populært. Trådkapring fremstår som en fremtredende vektor for løsepengevare, der nettkriminelle setter seg inn i nettsamtaler om sine mål for å lette spredningen av løsepengevare og øke sjansene deres for vellykket utpressing.
Hvorfor du ikke bare bør betale løsepenger
I 2019 endte de fleste løsepenge-ofre opp med å betale angriperne sine. I første kvartal 2022 hadde det imidlertid gått ned. Dette er delvis takket være det overveldende antall grunner som er stablet mot å gjøre den avgjørende løsepengeutbetalingen.
Du får kanskje ikke en dekrypteringsnøkkel
I gjennomsnitt, i 2021, hentet organisasjoner som betalte løsepenger bare 61 % av dataene sine. Antall organisasjoner som betalte og deretter mottok alle dataene sine var små 4 %. Når hackere har mottatt løsepenger, er dataene dine fortsatt verdt penger for dem – salg og lekkasje gir dem en enda større avkastning på investeringen.
Du kan få løsepengekrav gjentatte ganger
Et overveldende flertall av ofrene som betaler opp blir rammet av flere løsepengeangrep lenger ned i linjen. En ledende rapport fra 2022 analysert hva som skjer etter at en organisasjon ganske enkelt betaler sine angripere, og oppdaget fryktelig høye forekomster av gjentatte lovbrudd. Av alle ofrene som innrømmet å ha betalt løsepenger, ble 80 % av dem senere truffet en gang til – 68 % av disse så angrep samme måned med høyere krav om løsepenger. En årsak til dette er at de som velger å betale opp blir sett på som sårbare mål. 9 % betalte en tredje gang.
Du kan snart bryte loven
Det amerikanske finansdepartementet har allerede gitt ut en rådgivende advarsel om fremtidige juridiske problemer. Å være involvert i løsepengevarebetalinger – enten som offer, et cyberforsikringsselskap eller finansinstitusjon – kan potensielt bryte med lover angående internasjonal sikkerhet. Dette er i stor grad takket være det siste punktet som understreker løsepengevares økonomiske realiteter.
Du finansierer kriminell aktivitet
Med hvert offer som betaler, er hackergrupper i stand til å utvikle enda mer avanserte metoder for å bruke skadelig programvare for å infiltrere mer sårbare virksomheter. Å betale løsepenger gjør ikke bare løsepengene verre – men finansierer direkte aggressive nasjonalstater som ofte finansierer slike offentlige og forstyrrende angrep.
På baksiden, jo flere hindringer hackere møter i sine kriminelle aktiviteter, reduseres sjansene for at de kan fortsette å skade andre selskaper.
De forskjellige typene løsepengeprogramvare
Ransomware tar ofte en rekke forskjellige former, og selv om krypteringsbasert løsepengevare er en av de vanligste typene, er kryptering av sensitive data ikke den eneste måten organisasjoners data kan holdes på med kniv.
Scareware
Scareware er ransomwares lavteknologiske fetter. Ofte vil disse se en ondsinnet nyttelast starte opp en melding som hevder å være fra rettshåndhevelse eller til og med fra en legitim virusinfeksjon. Det kan peke brukeren mot en falsk antivirusprogramvare – noe som får ofre til å betale for privilegiet til å laste ned sin egen løsepengeprogramvare.
Skjermlåser
Denne formen for løsepengeprogram blokkerer brukertilgang ikke med kryptering, men ved ganske enkelt å hindre brukeren i å samhandle med noen av filene deres i utgangspunktet. Å låse opp hele enheten til offeret oppnås vanligvis ved å blokkere tilgangen til operativsystemet. I stedet for å starte opp som vanlig, viser enheten ganske enkelt løsepengekravet.
vindusviskere
Mens krypteringsbasert løsepengevare ofte lokker ofre til å betale med løftet om at alt skal gå tilbake til det normale, tar viskere en mer aggressiv tilnærming. Løsepengene vil true med å ødelegge all data hvis den ikke blir betalt. Selv i tilfeller hvor ofre ponni opp, blir dataene ofte slettet uansett. Det rene destruktive potensialet til vindusviskere gjør dem til et spesielt godt utnyttet verktøy for nasjonalstatlige aktører og hacktivister.
Populære Ransomware-varianter
I det gjørmete, stadig utviklende riket av løsepengevare, kan varianter være her det ene øyeblikket og borte det neste. Fire store aktører har entret scenen det siste tiåret, som hver har spilt en unik rolle i å presse den ulovlige industrien inn i nytt terreng.
WannaCry
WannaCry var det første fremtredende eksemplet på en kryptoorm – typen løsepengevare som er i stand til å spre seg til andre enheter i et nettverk. Den var rettet mot over 200,000 150 datamaskiner i XNUMX land, og utnyttet EternalBlue-sårbarheten i Microsoft Windows som administratorer ikke hadde klart å lappe. I tillegg til å kryptere verdifulle data, utgjorde WannaCry-ransomware også en trussel mot å tørke filer hvis betaling ikke ble mottatt innen en syv-dagers periode.
WannaCry-angrepet står som en av de største ransomware-hendelsene som er registrert til dags dato, med estimerte kostnader når så høyt som 4 milliarder dollar. Dens omfattende innvirkning og raske utbredelse fremhevet de betydelige konsekvensene som uopprettede sårbarheter og uaktsomhet fra systemadministratorer kan ha i møte med slike cybertrusler.
EVIL
REvil, også referert til som Sodin eller Sodinokibi, spilte en betydelig rolle i populariseringen av Ransomware-as-a-Service (RaaS)-modellen for distribusjon av løsepengevare. Denne tilnærmingen lar andre nettkriminelle få tilgang til og bruke REvil løsepengevare for sine egne ondsinnede aktiviteter. REvil ble kjent for sitt engasjement i jaktangrep på storvilt og taktikk med dobbel utpressing.
I 2021 var REvil ansvarlig for bemerkelsesverdige angrep på JBS USA og Kaseya Limited. JBS, en fremtredende storfekjøttforedlingsvirksomhet i USA, opplevde en forstyrrelse som førte til betaling av en løsepenge på 11 millioner USD. Angrepet påvirket JBS' storfekjøttforedlingsoperasjoner over hele USA. Kaseya Limited, en programvareleverandør, så over tusen kunder berørt takket være den betydelige nedetiden forårsaket av angrepet.
Tidlig i 2022 uttalte den russiske føderale sikkerhetstjenesten at de hadde demontert REvil og hadde begynt å anklage flere av medlemmene for deres tidligere forbrytelser.
Ryuk
Først observert i 2018, var Ryuk løsepengevare i spissen for «big-game ransomware»-angrepene som spesifikt retter seg mot enheter med høy verdi; deres løsepengekrav oversteg regelmessig én million dollar. Ryuk er utstyrt for å målrette mot slike vellykkede organisasjoner takket være sin aggressive evne til å identifisere og deaktivere sikkerhetskopieringsfiler og systemgjenopprettingsfunksjoner. I 2021 ble en ny stamme av Ryuk med muligheter for kryptoorm identifisert, noe som ytterligere forbedret kapasiteten for rask og omfattende infeksjon.
Mørk side
DarkSide er en løsepengevare-variant som antas å være drevet av en gruppe som mistenkes å være basert i Russland. 7. mai 2021 gjennomførte DarkSide et betydelig nettangrep på den amerikanske kolonialrørledningen, som regnes som det mest alvorlige nettangrepet på kritisk infrastruktur i USA så langt. Som en konsekvens av angrepet ble rørledningen, ansvarlig for å levere omtrent 45 prosent av drivstoffet til den amerikanske østkysten, midlertidig stengt.
DarkSide-gruppen utfører ikke bare direkte løsepenge-angrep, men lisensierer også løsepengevarene til andre nettkriminelle tilknyttede selskaper, slik at gruppen kan utvide sin rekkevidde og fortjeneste.
Slik beskytter du deg mot løsepengeprogramvare
Det er avgjørende å undersøke kilden til et løsepenge-angrep grundig og iverksette passende tiltak for å løse problemet. Hvis angrepet stammer fra at en ansatt klikker på en risikabel lenke, er det viktig å forbedre opplæringen av ansatte identifisere phishing-angrep og understreke viktigheten av å opprettholde sikre, unike passord, for eksempel passordfraser. Implementering av tofaktorautentiseringsprogramvare for alle enheter og ansatte kan gi et ekstra lag med beskyttelse.
Regelmessig oppdatering av programvare og maskinvare er avgjørende for å redusere potensielle sårbarheter. Å styrke nettsikkerhetsinfrastrukturen din er nødvendig for å holde tritt med den stadig utviklende taktikken som brukes av angripere. Regelmessig konfigurering av nettverket ditt kan bidra til å avskjære ondsinnet trafikk og gjøre det mer utfordrende for kriminelle å målrette mot organisasjonen din.
Det er viktig å identifisere eventuelle sikkerhetshull og raskt løse dem. Hver sikkerhetshendelse bør ses på som en mulighet til å få innsikt i infrastruktursårbarheter og forbedre den generelle sikkerhetsposisjonen. Sikkerhet er en pågående prosess som krever konstant testing og forbedring for å ligge i forkant av potensielle trusler.
Hvordan LayerX beskytter mot ransomware
Etter hvert som løsepengevaretaktikken har vokst fra styrke til styrke, har sårbarhetene som baner vei for angripere endret seg. Samtidig har nettleseren blitt en kjernekomponent i det moderne arbeidsområdet, og det samme har applikasjoner som spenner fra administrerte til helt usanksjonerte apper. Å sitte mellom det sikre miljøet til et beskyttet endepunkt og verdensveven er det unike skjæringspunktet mellom disse applikasjonene – og det svake punktet til mange organisasjoner.
LayerX beskytter eiendelene som er utenfor bedriftens sikkerhetsteams kontroll ved å introdusere dyp granularitet. Dette skiller ut alle aktiviteter som kan introdusere risikoen for løsepengevare eller RAT-nedlasting. Et fokus på beskyttelse på bakken gjør at LayerX kan distribueres med en nettleserutvidelse for hurtiginstallasjon på brukerprofilnivå. Bruker-først-synlighet er kombinert med bransjeledende analyse i forkant av LayerXs trussel-intelsky. Etter den proaktive identifiseringen av høyrisikoelementer, handler LayerXs håndhevingselementer avgjørende - nøytraliserer enhver trussel om utbredt kryptering uten trusselen om brukeravbrudd. Med LayerX kan organisasjoner distribuere full beskyttelse til hvor som helst brukere har tilgang til nettet.