Säkerhet 2022.02.21

Trender inom ransomware och hur du kan öka motståndskraften mot dem

Ransomware, också känt som ett utpressningsprogram, definieras som en skadlig programvara med mål att utpressa företag såväl som privata aktörer på exempelvis pengar. Detta genom att låsa kritisk information, databaser eller applikationer genom kryptering. Den aktör som äger datan kan endast få tillbaka kontrollen över datan genom att betala lösensumma eller utföra en handling på angriparens begäran. Ett vanligt tillvägagångssätt för angriparna är att exempelvis använda sig av kända såväl som okända sårbarheter i system och programvaror för att på så vis få tillgång till känslig information.

Den 9 december upptäcktes en ny sårbarhet i java, vid namn Log4J (Log4Shell), som kom att påverka allt från säkerhetsenheter till molnet och vidare utvecklarverktyg (NIST). Sårbarheten, med en allvarlighetsgrad på 10 av 10, har i sin tur dragit uppmärksamhet till en mängd av IT-hackare världen över som idag utnyttjar sårbarheten för att vidare utföra ransomware-attacker. Flertalet organisationer har arbetat effektivt i att sprida kunskap om lämpliga säkerhetsåtgärder så som patchning, men trots detta var det många organisationer som hann falla offer innan åtgärder fanns på plats. Det blir på så vis en ständig kapplöpning mellan IT-säkerhetsexperter och hackare, eftersom angriparna ständigt letar efter nya vägar in.

Ett växande problem

Ransomware-attackerna var större än någonsin under 2021 och den genomsnittliga kostnaden för en ransomware-attack var 1,85 miljoner dollar (Heimdal Security). NCC Group rapporterade en ökning med 288 % av attackerna från första kvartalet av 2021 till andra kvartalet av året (NCC Group), vilket delvis beror på övergången till distansarbete och den progressiva digitaliseringen. Många analytiker ser en ökad frekvens av cyberattacker och de förutspår att attackerna kommer bli alltmer sofistikerade och metodiska samt sannolikt riktas mot nya mål, så som molnet. En trend är den så kallade ransomware-as-a-service (RaaS), där man hyr etablerade ransomware-verktyg för att utföra angrepp. På så vis blir inte kodningskunskap eller tekniska förutsättningar ett krav hos angriparen för att utföra sofistikerade attacker.

Genom Advanias Threat Intelligence-gruppering har vi även noterat en ny trend där ransomware-grupper nu använder sig av sociala medier för att förmedla nyheter om sina attacker till en alltmer bredare publik och på så vis sätta ökad press på sina offer att betala lösensumman. I andra fall tas lösensummor ut för att kunder till det drabbade företaget inte ska få ta del av läckan. Andra scenarion som vi har börjat se är statligt sponsrade ransomwares, eller IT-attacker generellt, som en del i cyberkrigsföring. Ett exempel på ett sådant scenario är hackerattacken som drabbade Ukraina tidigt i år, där myndigheternas hemsidor slogs ut. Likaså återfanns även destruktiv mjukvara som maskerades som ransomware, men vars syfte var att förstöra.

Sofistikerade ransomware-aktörer undviker idag att använda sig av skadliga programvaruverktyg eftersom de kan utlösa varningar som kan ge offret en tidig indikation på ett intrång. I stället utnyttjar cyberkriminella sårbarheter i verktyg, applikationer och tjänster som redan finns i systemen för att minimera risken att utlösa larm och upptäckas. Men samtidigt är det viktigt att belysa att ransomware kan levereras på ett flertal olika sätt, så som genom olika typer av phishing-attacker (nätfiske), social engineering och röjda användarkontouppgifter, vilket skapar ett ökat behov av ett säkerhetsmedvetande hos anställda såväl som ledning.

Så vad kan du göra för att skydda dig mot dessa typer av attacker?

  • Dagens IT-hot kräver ett medvetande som genomsyrar organisationen. Vi behöver tillsammans ta ett helhetsgrepp över säkerhetsfrågorna. Advania erbjuder exempelvis tjänsten Medveten och säker som ett svar på marknadens behov.
  • Säkerhetsteam såväl som organisationer i sin helhet, måste förstå betydelsen av att vara proaktiva i sitt säkerhetsarbete samt medvetna om hur de cyberkriminella ändrar sina taktiker och tekniker. Det är avgörande för att skydda sig från en förödande ransomware-attack.
  • Det finns idag ett flertal säkerhetsåtgärder att se över för att minska risken att falla offer, så som antivirusprogram, anti-malware, dekrypteringsverktyg, risk management, threat modeling, säkerhetsutbildningar samt backup.
  • Följa ”principle-of-least privilege”. Om en användares konto röjs, kommer angriparen endast att kunna komma åt och förstöra en begränsad mängd data. Vi kan på så sätt minska attackytan.
  • Ta fram en kontinuitetsplan som instruerar medarbetare vad de bör göra i kritiska situationer.
  • Öva kontinuerligt på incidenthantering.
  • Då typiska ransomware-attacker kan identifieras genom dess kärnbeteenden (filkryptering och radering av säkerhetskopior) finns ett flertal alternativ på övervakningsverktyg som bevakar just dessa onormala beteenden, vilket gör att de i sin tur kan fånga upp och avsluta en ”infektion” innan den skadliga programvaran hinner kryptera kritisk data. Viktigt att poängtera är att dessa övervakningsverktyg kan missa den typ av sofistikerade intrång där hackare använder sig av redan etablerade tjänster och verktyg hos offret. Det behövs således fler säkerhetsåtgärder för att ligga steget före.
  • Advanias managerade säkerhetstjänster innefattar 24/7 säkerhetsövervakning, sårbarhetshantering, säkerhetsåtgärder samt uppfyllande av kravefterlevnad för att skapa förutsättningar att motverka risker och hot samt stärka verksamhetens säkerhet på flera nivåer.

Genom konsekvent ansträngning kan vi tillsammans öka motståndskraften och slutligen göra cyberbrottslighet mindre lönsamt. Ett initiativ som drog igång i oktober 2021 är det globala ” Counter-Ransomware Initiative” som arrangeras av Vita husets nationella säkerhetsråd med syfte att skapa en enhetlig defensiv front och ett brottsbekämpande samarbete i stora cybersäkerhetsfrågor (U.S. Department of State). Målet är att det ska ta mindre tid för cybersäkerhetsteamet att utföra störningsinsatser och mer tid för angriparen att utföra ett försök till intrång men också mer tid för förövaren att återhämta sig från dessa.

Behöver du stöd i säkerhetsarbetet?

Vi hjälper dig att skydda din verksamhet proaktivt. Läs mer om våra erbjudanden inom Säkerhet →

Skribent

Nathalie Åhlander
Information Security Consultant

Referenser

https://blogs.blackberry.com/en/2021/02/ransomware-2021-future-trends-and-predictions/

https://www.crowdstrike.com/solutions/ransomware-protection/

https://newsroom.nccgroup.com/pressreleases/ncc-group-reveals-threefold-increase-in-targeted-ransomware-attacks-in-2021-3124798/

https://reporter.rit.edu/tech/state-sponsored-hacking-still-problem

https://heimdalsecurity.com/blog/ransomware-payouts/

https://securityintelligence.com/articles/cyber-warfare-what-to-expect-2022/

https://www.svd.se/ukraina-alla-bevis-pekar-mot-ryssland/

Relaterat innehåll

Säkerhet
2024.10.17

Gör en insats för din digitala beredskap

Det har pratats mycket om hur man stärker sin motståndskraft inför en eventuell kris i samhället, och då tänker vi mest på omfattande påverkan som strömavbrott eller naturkatastrofer. Minst lika viktigt är att ha en digital...