Asiantuntijat vaativat ransomware-resilienssiä kriisin edetessä

On ollut kiireisiä kuukausia kiristysohjelmien suhteen. Elokuun lopussa useat yhdysvaltalaiset kyberturvallisuusorganisaatiot varoittivat haitallisesta ransomware-as-a-service -ryhmästä nimeltä RansomHub. Tämä rikollinen asu, joka tunnettiin aiemmin nimellä Cyclops and Knight, on ollut aktiivinen tämän vuoden helmikuusta lähtien ja on kerännyt tytäryhtiöitä muista ryhmistä, kuten LockBitistä.

RansomHub on salannut ja varastanut tiedot vähintään 210 uhrilta. neuvonta alkaen Yhdysvaltain liittovaltion tutkintavirasto, kyberturvallisuus- ja infrastruktuurivirasto, usean osavaltion tiedonjako- ja analysointikeskus sekä terveys- ja henkilöstöministeriö. Ne kattoivat monia aloja, joita Yhdysvaltain hallitus pitää osana kriittistä kansallista infrastruktuuriaan, mukaan lukien vesi ja jätevesi, IT, julkisen sektorin palvelut, terveydenhuolto, hätäpalvelut, ruoka ja maatalous sekä rahoituspalvelut.

Kehittynyt uhka

RansomHub kehittyy. Se äskettäin integroitu EDRKillShifter-niminen työkalu, joka poistaa päätepisteiden tunnistusohjelmiston käytöstä, mikä mahdollistaa järjestelmien tartunnan tehokkaammin. Työkalua käyttävät kiristysohjelmat leviävät sivusuunnassa kohdeverkon läpi tartuttaen järjestelmiä ja sekä suodattaen että salaamalla haittaohjelmia kaksoiskiristyshyökkäyksessä.

Kun tämänkaltaiset uhat vaivaavat edelleen kriittistä kansallista infrastruktuuria, ei ole ihme, että Yhdysvaltain hallitus pitää enemmän melua kuin koskaan kiristyshaittaohjelmien uhasta. Tässä kuussa kansallinen kyberjohtaja Harry Coker varoitti kiristysohjelmahyökkäysten kasvavasta uhasta. Valkoinen talo isännöi myös neljännen International Counter Ransomware Initiative -huippukokouksensa, johon osallistui 68 maata (mukaan lukien 18 uutta lisäystä) yrittääkseen tukahduttaa ransomware-ohjelmat.

Viimeisimmässä huippukokouksessa perustettiin kiristysohjelmien vastainen rahasto, jonka tarkoituksena on auttaa jäsenorganisaatioita vahvistamaan valmiuksiaan ransomware-ohjelmia vastaan ​​sekä opastusta uhreille kuinka selviytyä ransomware-hyökkäyksestä. Anne Neuberger, kyber- ja kehittyvän teknologian kansallisen turvallisuuden apulaisneuvonantaja, varoitti jälleen vakuutusyhtiöitä rahoittamasta lunnaita.

Laura Payne, Kanadan kyberturvallisuuskonsultointiyrityksen White Tuquen toimitusjohtaja, sanoo, että maksujen välttäminen on vankka politiikka. "Et tiedä kenelle ne rahat menevät, ja mitä todennäköisimmin ne menevät johonkin, jolla on yhteys terrorismitoimintaan. Se asettaa sinut vaaralliseen paikkaan oikeudelliselta kannalta", hän sanoo.

Neuberger ei suositellut politiikkaa, kuten suoraa lunnaiden rahoittamisen kieltämistä. Se voi kuitenkin olla tarpeetonta, koska vakuutuksenantajat kohtaavat lisääntynyttä taloudellista painetta lunnasohjelmavaatimusten vuoksi. A raportti Kybervakuutusyhtiö Coalition havaitsi, että vaikka vahinkojen määrät laskivat tämän vuoden ensimmäisellä puoliskolla vuoden 1 ensimmäiseen puoliskoon verrattuna, vahingot kasvoivat 2023 prosenttia. Sen mukaan keskimääräinen kiristysohjelmien menetys kasvoi 14 % ja oli 68 353,000 dollaria.

"Kanadassa pari vuotta sitten kuulin yhden vakuutusyhtiön puhuvan siitä, ja he sanoivat, että ainoa vähemmän kannattava vakuutusliiketoiminta oli rakeet, jotka kertovat kuinka huonosti asiat ovat", Payne sanoi.

Ennaltaehkäisy on parempi kuin hoito

Toki ennaltaehkäisy on parempi kuin hoito. Kuinka organisaatiot voivat suojautua lunnasohjelmahyökkäyksiä vastaan? RansomHubin neuvonta suosittelee useita vaiheita alkaen elvytyssuunnitelmasta ja monitekijätodennuksesta. Se lisää, että on myös tärkeää pitää kaikki ohjelmistot ja laiteohjelmistot päivitettyinä, mikä auttaa estämään tunnettuihin haavoittuvuuksiin perustuvat kiristysohjelmat.

Koska ransomware-tunkeilijat toimivat leviämällä sivusuunnassa organisaatiossa, neuvonta suosittelee myös verkkojen segmentointia, jotta hyökkääjät eivät pääse helposti muihin infrastruktuurin osiin.

Neuvonnassa suositellaan myös 64–XNUMX merkin pituisia salasanoja, mikä vastaa NIST-suosituksia. "Pitkä on vahvaa", Payne myöntää. Hänellä on myös useita muita kyberhygienian neuvoja.

"Hyvä perussuojaus ja laadukas haittaohjelmien torjuntapalvelu", hän lisää. Varmista, että verkkosi on määritetty nykyisellä langattomalla standardilla, joka olisi WPA2 tai WPA3 salasanalla. Älä käytä julkista Wi-Fi-yhteyttä ja varmuuskopioi tavarasi."

Neuvonantajat suosittelevat, että nämä varmuuskopiot ovat salattuja ja muuttumattomia, jotta hyökkääjät eivät voi peukaloida niitä. Offline-varmuuskopioiden ylläpitäminen on hyvä strategia tässä, mutta useat markkinoilla olevat tallennusjärjestelmät tekevät varmuuskopiotiedoista muuttumattomia käyttöjärjestelmätasolla. Organisaatiot voivat myös käyttää WORM-kirjoituslaitteistoa tällaisiin varmuuskopioihin laitteistotason suojausta varten.

Neuvonnassa suositellaan muita suojauksia, mukaan lukien sisäisten käyttöoikeuksien huolellinen hallinta. Esimerkiksi monien komentorivin komentosarjatyökalujen poistaminen käytöstä voi auttaa estämään hyökkääjiä "elämästä maasta" antamalla heidän liikkua sivusuunnassa ja varastaa tietoja hälyttämättä.

Asiakirjassa suositellaan myös tilien tarkastusta, jotta järjestelmänvalvojatilien käyttöoikeudet ja aikarajoitukset voidaan varmistaa hyökkäysikkunan sulkemiseksi. Se myös varoittaa järjestelmänvalvojia poistamaan käytöstä käyttämättömät portit ja käyttämään verkon valvontatyökaluja epätavallisen toiminnan havaitsemiseen ja seuraamiseen.

Neuvonnan takana olevat organisaatiot suosittelevat myös sähköpostin – yleisen kiristyshaittaohjelmien jakelujärjestelmän – suojaamista asettamalla bannereita organisaation ulkopuolelta tuleviin sähköposteihin ja poistamalla hyperlinkit käytöstä kaikista vastaanotetuista sähköposteista.

Nämä suositukset kuvastavat kyberturvallisuuden perushygieniaa, ja kuten itse lunnasohjelmakeskustelu, ne ovat olleet liikkeellä vuosia. "En välitä toistaa niitä", Payne sanoo. Hänen täytyy, samoin kuin valtion virastot, koska niin monet yritykset eivät kuuntele. Niin kauan kuin he tekevät, kriisi jatkuu.