Kiristyshaittaohjelmahyökkäykset ovat yleistymässä ja vaarallisempia: Näin voit estää ne

Kiristysohjelmat ovat edelleen yksi suurimmista kyberturvallisuusuhista, joita organisaatiot kohtaavat tänä päivänä. Mukaan Viimeaikainen tutkimus Check Pointin mukaan tämä hyökkäysvektori kasvoi 126 % vuoden 2025 ensimmäisellä neljänneksellä. Kaiken kaikkiaan tänä aikana tapahtui 2289 tapausta, ja kulutustavarat ja yrityspalvelut olivat eniten kohdennettuja toimialoja.

Mutta kiristyshaittaohjelmahyökkäysten määrä ei ole vain kasvussa. Ne ovat myös kehittyneempiä kuin koskaan ennen, ja hakkerit käyttävät yhä enemmän kaksoiskiristystä ja tekoälyyn perustuvia taktiikoita aiheuttaakseen uhreille suurempaa vahinkoa ja laajentaakseen ilkeitä toimiaan. Mitä kyberturvallisuustiimit voivat siis tehdä pysyäkseen tämän nopeasti kasvavan ja kehittyvän uhan vauhdissa?

Kiristyshaittaohjelmat kehittyvät nopeasti

Merkittävä muutos kiristysohjelmien taktiikoissa on se, että hakkerit eivät enää pelkästään salaa varastettua tietoa. He myös uhkaavat ladata sen internetiin, jos uhrit eivät maksa lunnaita. Tämä tunnetaan nimellä kaksoiskiristyskiristysohjelma. Kiristysohjelmajengi Maze käytti tätä taktiikkaa pahamaineisesti amerikkalaista yksityistä turvallisuus- ja henkilöstövuokrausyritystä Allied Universalia vastaan ​​vuonna 2019.

Sen jälkeen, kun Allied ei maksanut Mazen 2.3 miljoonan dollarin lunnaita, hakkerit vastasivat vuotamalla pienen määrän yrityksen varastettuja tietoja verkkoon ja korottamalla alkuperäistä lunnaita 50 prosentilla. Tästä uhkavaatimuksesta huolimatta Allied pysyi lujana kieltäytyessään täyttämästä hakkereiden vaatimusta. Myöhemmin Maze vuoti vielä lisää tietoja.

Sittemmin Maze on tehnyt samanlaisia ​​hyökkäyksiä Pensacolan kaupunkia Floridassa ja ammattipalvelujätti Cognizantia vastaan. Itse asiassa Maze-kiristysohjelman arvioidaan maksaneen Cognizantille 50–70 miljoonaa dollaria, mikä osoittaa kiristysohjelmien vakavat taloudelliset vaikutukset.

Mazen kaltaisten kiristyshaittaohjelmakampanjoiden korkean kannattavuuden vuoksi hakkerit toimivat nyt kuin yritykset pyrkiessään maksimoimaan voittonsa. Siksi nykyajan kiristyshaittaohjelmahyökkäykset ovat erittäin kehittyneitä, sanoo Dray Agha, kyberturvallisuusalustan tietoturvatoimintojen vanhempi päällikkö. HuntressHän huomauttaa, että näihin operaatioihin liittyy usein tytäryhtiöitä, asiakaspalveluportaaleja ja kohdennettuja strategioita – joiden tarkoituksena on varmistaa, että kiristysohjelmat pysyvät piilossa syvällä yritysverkoissa pitkiä aikoja ja samalla hyödyntää ihmisten, prosessien ja teknologian heikkouksia.

Tämän näkemyksen jakaa Pierre Noel, EMEA-alueen tietoturvajohtaja hallitussa detection and response platformissa. Karkottaa, joka kuvailee kiristyshaittaohjelmia käyttäviä ryhmiä ”suuriksi ekosysteemeiksi”. Hän sanoo niiden työskentelevän väsymättä ”täydentääkseen komponenttejaan” ja käyttävän aitojen ohjelmistopalveluyritysten käyttämiä strategioita. Esimerkkejä ovat erilaiset hinnoitteluvaihtoehdot, kattava käyttöopas ja helppokäyttöiset kojelaudat, joiden avulla sekä aloittelevat että kokeneet hakkerit voivat suorittaa onnistuneita kaksoiskiristyskampanjoita. Hän lisää: ”Kiristyshaittaohjelmat ovat kehittyneet yhä monimuotoisemmiksi ja käynnistävät hyökkäyksiä laajalle ja hyödyntäen mitä tahansa tietoa tai tekoälyä, jonka kyberrikolliset voivat löytää, tehostaakseen hyökkäyksiään.”

Näiden kehittyvien taktiikoiden vuoksi kiristysohjelmahyökkäykset eivät ole enää vain suurten kyberjengien ja kansallisvaltioiden toiminta-aluetta. Nykyään kuka tahansa voi suorittaa kiristysohjelmahyökkäyksiä valmiiden kiristysohjelmatyökalujen ja -pakettien lisääntyvän luotettavuuden ja saatavuuden ansiosta, sanoo Mick Baccio, globaali kyberturvallisuusneuvoja amerikkalaisessa ohjelmistoyrityksessä Splunkissa. Hän lisää: "Kiristysohjelmat ovat teollistuneet."

Toinen hälyttävä trendi on tekoälyyn perustuvien kiristyshaittaohjelmahyökkäysten lisääntyminen.

Giles Inkson, kyberturvallisuusalan yrityksen EMEA-palveluiden johtaja NetSPI, sanoo hakkereiden käyttävän tätä teknologiaa kiristysohjelmahyökkäysten automatisointiin, houkuttelevampien tietojenkalastelukampanjoiden luomiseen, vaikeasti havaittavien haittaohjelmien kehittämiseen ja suurten salasanojen murtamiseen nopeammin. Hän jatkaa: ”Vaikka tekoäly voi auttaa vahvistamaan kyberpuolustusstrategioita, se myös laajentaa organisaation hyökkäyspinta-alaa, jolloin resurssit voivat altistua ja olla haavoittuvaisia ​​vastustajille.”

Monitahoiset riskit

Kiristyshaittaohjelmien taktiikoiden kehittyessä myös niiden organisaatioille asettamat riskit muuttuvat. Splunkin Baccio varoittaa, että organisaatiot eivät kohtaa pelkästään tiedostojen varastamisen mahdollisuutta kiristyshaittaohjelmahyökkäyksen sattuessa. Myös taloudelliset tappiot, mainehaitta, asiakkaiden luottamuksen heikkeneminen ja oikeudelliset seuraukset ovat väistämättömiä.

Erityisesti kiristyshaittaohjelmahyökkäysten taloudelliset kustannukset voivat olla uhreille tuhoisia. Splunkin seisokkien kustannusraportti osoittaa, että suunnittelemattomat IT-seisokit maksavat maailman 2000 suurimmalle yritykselle 400 miljardia dollaria vuodessa. Tämän lisäksi Baccio sanoo, että osakekurssit voivat laskea jopa 9 % kiristyshaittaohjelmahyökkäyksen jälkeen. Sakot ovat keskimäärin 22 miljoonaa dollaria ja lunnaat 19 miljoonaa dollaria.

Mutta mikä vielä pahempaa, hän sanoo, ettei kiristysohjelmien aiheuttamille brändivahingoille voida esittää taloudellisia lukuja. Hän kertoo ISMS Onlinelle: ”Seisokit merkitsevät nyt enemmän kuin menetettyjä tuloja. Ne tarkoittavat maineen vahingoittumista, vaatimustenmukaisuusongelmia ja sitä, että asiakkaasi huomaavat sen ennen sinua.”

Huntressin Agha on samaa mieltä siitä, että kiristyshaittaohjelmahyökkäysten vaikutukset ovat monitahoisia.

Lain mukaan, kun yritys menettää arkaluonteisia tietoja kiristysohjelmahyökkäyksen vuoksi, siihen sovelletaan tiukkoja tietomurtoilmoitussääntöjä, oikeusjuttuja ja sakkoja. Hän väittää, että yritykset, jotka eivät pysty osoittamaan, että niillä on riittävät kyberturvallisuustoimet käytössä, kärsivät näistä seuraamuksista eniten.

Puhumattakaan siitä, että suuriin organisaatioihin kohdistuvat kiristysohjelmahyökkäykset muuttuvat usein julkisiksi spektaakkeleiksi. Agha varoittaa, että sääntelyviranomaiset, asiakkaat, sijoittajat ja toimittajat haluavat kaikki tietää, miksi organisaatio on joutunut alttiiksi kiristysohjelmalle. Hän jatkaa: "Laki- ja PR-tiimien mukanaolo alusta alkaen varmistaa, että reagointi on paitsi teknisesti pätevä myös lainmukaista ja maineen kannalta huolellista."

Kiristyshaittaohjelmien torjunnan lieventäminen

Kiristyshaittaohjelmien torjunnan suhteen Huntressin Agha sanoo, että organisaatioiden on muistettava, että nämä hyökkäykset koostuvat usein useista vaiheista, eikä niitä siksi voida pysäyttää yhdellä kyberturvallisuustuotteella. Yleensä hakkerit levittävät tietojenkalastelusähköposteja ennen kuin varastavat tietämättömien käyttäjien tunnistetiedot, jotka napsauttavat haitallisia sähköpostilinkkejä ja saavat pääsyn vaarantuneen IT-verkon tietoihin ja järjestelmiin. Sitten he levittävät tietoja varastavaa haittaohjelmaa, vuotavat arkaluonteisia tietoja, salaavat ne ja lopulta vaativat lunnaita.

Tämän mielessä hän kehottaa organisaatioita omaksumaan monitasoisen kyberturvallisuuslähestymistavan. Tähän tulisi sisältyä kyberturvallisuustietoisuuskoulutus, jotta työntekijät havaitsevat tietojenkalasteluyritykset varhaisessa vaiheessa, hallitun havaitsemis- ja reagointiratkaisun käyttö, jotta uhat eivät pääse leviämään verkossa, sekä tietojen varmuuskopiointi, jotta organisaatiot voivat toipua nopeasti kiristysohjelmahyökkäyksen jälkeen.

Lisäksi organisaatioiden tulisi säännöllisesti korjata tietoturvaongelmia, ottaa käyttöön vankat käyttöoikeuksien hallinnan mekanismit ja ottaa käyttöön kattava häiriötilanteisiin reagointisuunnitelma. Näin toimimalla luodaan ”sietoinen ja koordinoitu puolustus”, joka suojaa organisaatioita uusimmilta kiristysohjelmataktiikoilta. Agha selittää: ”Kyse ei ole vain työkalujen ostamisesta; kyse on tietoturvakeskeisen kulttuurin rakentamisesta, joka valmistautuu nykypäivän hyökkäysten todellisuuteen.”

Splunkin Baccio on myös sitä mieltä, että kiristyshaittaohjelmahyökkäyksiä ei voida estää hopealuotimenetelmällä. Aivan kuten lumimyrskystä selviämiseksi puettaisiin päälle useita kerroksia, hän sanoo, että organisaatiot tarvitsevat useita kerroksia suojautuakseen kiristyshaittaohjelmilta. Näihin kerroksiin tulisi kuulua palomuurit, päätelaitteiden suojaus, verkon valvonta, nollaluottamusarkkitehtuurit, varmuuskopiot ja koulutus. Hän lisää: "Koska kun hyökkäys iskee, halutaan lihasmuistia, ei kaaosta."

Monitasoisten kyberturvallisuusstrategioiden sujuvan toteutuksen varmistamiseksi Satish Swargam – sovellustietoturvaohjelmistoyrityksen pääkonsultti Musta ankka – suosittelee, että organisaatiot laativat jokaisen vaiheen yksityiskohtaisesti etenemissuunnitelmassa. NetSPI:n Inksonin mukaan tekoälyyn perustuviin työkaluihin investoiminen voi myös nopeuttaa monia näistä vaiheista. Hän kuitenkin tekee selväksi, että automaation tulisi täydentää – eikä korvata – ihmis-kyberturvallisuusasiantuntijoita.

Tässä yhteydessä Shobhit Gautam – EMEA-alueen ratkaisuarkkitehti hyökkäävän kyberturvallisuusratkaisujen toimittajalla HackerOne – väittää, että ulkopuolisten asiantuntijoiden osallistaminen bug bounty -ohjelmien kautta auttaa organisaatioita tunnistamaan ja ratkaisemaan tietoturva-aukkoja, jotka voivat johtaa kiristysohjelmahyökkäyksiin.

Kiristyshaittaohjelmien torjuntastrategiat ovat tietenkin tehokkaita vain, jos jokainen organisaatiossa tekee oman osansa. Tässä kohtaa ammattimaiset alan standardit, kuten ISO 27001, ovat kuitenkin erittäin hyödyllisiä. Javvad Malik, johtava tietoturvatietoisuuden puolestapuhuja tietoturvatietoisuuden koulutusalustalla. KnowBe4, selittää: ”Se yhdenmukaistaa ihmiset, prosessit ja teknologian kohti vankkaa tietoturvaa, parantaen yleistä kyberturvallisuutta pelkän kiristyshaittaohjelmien torjunnan lisäksi.”

Koska merkkejä hidastumisesta lähiaikoina ei näy, kiristysohjelmia ei selvästikään voida sivuuttaa. Mutta todellisuudessa nykyisten kiristysohjelmauhkien dynaaminen luonne tarkoittaa, että organisaatiot eivät voi odottaa voivansa torjua tätä uhkaa investoimalla yhteen kyberturvallisuussovellukseen. Niiden on suunniteltava ja toteutettava monikerroksinen kyberturvallisuusstrategia, joka tarjoaa tehokkaita ratkaisuja kiristysohjelmaprosessin jokaisen vaiheen käsittelemiseen. Mikä tärkeintä, kaikilla työntekijöillä on oma roolinsa tämän strategian toteuttamisessa käytännössä. Tällä tavoin kiristysohjelmayritykset voidaan tukahduttaa mahdollisimman nopeasti.