Kun ransomware iskee yöllä, kuinka organisaatiosi voi pysyä turvassa?
Sisällysluettelo:
Ransomware on viime vuosikymmenen kyberturvatarina. Mutta tuona aikana vihollisen taktiikat, tekniikat ja menettelyt (TTP:t) ovat edelleen muuttuneet hyökkääjien ja verkon puolustajien välisen jatkuvasti kehittyvän kilpavarustelun mukaan. Historiallisen alhainen määrä uhriyrityksiä, jotka päättävät maksaa kiristäjilleen, ransomware-tytäryhtiöt keskittyvät nopeuteen, ajoitukseen ja naamiointiin.
Kysymys kuuluu: koska useimmat hyökkäykset tulevat nyt viikonloppuisin ja aikaisin aamulla, onko verkon puolustajilla edelleen oikeat työkalut ja prosessit uhan lieventämiseksi? Etenkin rahoituspalveluorganisaatiot tarvitsevat kiireellisen vastauksen tällaisiin kysymyksiin ennen kuin ne noudattavat EU:n vaatimuksia Digital Operational Resilience Act (DORA).
Voimasta vahvuuteen
Yhdellä mittarilla lunnasohjelmat jatkavat menestystä. Tästä vuodesta on tulossa kaikkien aikojen tuottoisin rikollisuuteen liittyvien osoitteiden kryptomaksujen analyysin mukaan. Lohkoketjututkijan elokuun raportin mukaan Chainalysis, kiristyshaittaohjelmien "tuonti" vuodesta tähän päivään (YTD) on 460 miljoonaa dollaria, mikä on noin 2 % enemmän kuin viime vuoden vastaavaan aikaan (449 miljoonaa dollaria). Yritys väittää, että tämä kasvu johtuu suurelta osin "suurriistan metsästämisestä" - taktiikista, joilla pyritään tavoittamaan vähemmän suuryritysten uhreja, jotka saattavat olla valmiimpia ja halukkaampia maksamaan suurempia lunnaita. Teoria vahvistetaan yhdellä nimettömän yrityksen 75 miljoonan dollarin maksulla Dark Angels ransomware -ryhmälle aiemmin tänä vuonna – suurin koskaan kirjattu.
Kaiken kaikkiaan yleisimpien kiristysohjelmakantojen mediaanilunnaat ovat myös nousseet – vajaasta 200,000 2023 dollarista vuoden 1.5 alussa 2024 miljoonaan dollariin kesäkuun XNUMX puolivälissä. Chainalysis väittää tämän viittaavan siihen, että "nämä kannat kohdistavat ensisijaisesti suuriin yrityksiin ja kriittisen infrastruktuurin tarjoajiin saattavat todennäköisemmin maksaa korkeita lunnaita syvien taskujensa ja systeemisen merkityksensä vuoksi. ”
Kiristysohjelmien ekosysteemin näennäinen vahvuus on vaikuttavampi, kun otetaan huomioon aiemmin tämän vuoden lainvalvontavoitot, jotka näyttivät häiritsevän kahta suurta ryhmää: LockBit ja ALPHV/BlackCat. Chainalysis väittää, että nämä ponnistelut ovat pirstouttaneet tietoverkkorikollisuutta jonkin verran maanalaisena, ja tytäryhtiöt ovat siirtyneet "vähemmän tehokkaisiin kantoihin" tai käynnistäneet omia. Tämä vastaa ransomware-asiantuntijan Covewaren Q2 2024 -analyysiä, joka väittää on havainnut kasvun "yksinäisten susien" ryhmissä, jotka eivät liity mihinkään suureen kiristysohjelmabrändiin. Monet ovat tehneet tämän päätöksen "myrkyllisiin lunnasohjelmabrändeihin liittyvän altistumisen, keskeytyksen ja voiton menetyksen kasvavan uhan vuoksi", siinä sanotaan.
Tärkeintä on kuitenkin, että nämä uhkatoimijat ovat edelleen aktiivisia. Ja kun maksuasteet ovat laskeneet vuoden 85 korkeimmasta noin 2019 prosentista uhreista noin kolmannekseen nykyisestä, he etsivät jatkuvasti tapoja tehostaa ponnistelujaan.
Ajoitus on kaikki kaikessa
Uusi raportti Malwarebytesin ThreatDown-ryhmä paljastaa tarkalleen, kuinka he haluavat tehdä niin. Se väittää, että viimeisen vuoden aikana yhä useammat kiristysohjelmaryhmät ovat hyökänneet uhrien kimppuun viikonloppuisin ja aikaisin aamulla. Uhkaryhmä käsitteli useimmat hyökkäykset kello 1–5 paikallista aikaa.
Syy on ilmeinen: uhkatoimijat toivovat saavansa kiinni organisaation, kun sen IT-tiimi nukkuu syvään tai lataa akkujaan viikonloppuna.
Lisäksi raportti väittää, että hyökkäykset ovat nopeutuneet. Vuonna 2022 a Huikea tutkimus testasi 10 parasta kiristysohjelmaversiota ja havaitsi, että 100,000 43 tiedoston salauksen mediaaninopeus oli vain XNUMX minuuttia, ja LockBit oli nopein vain neljässä minuutissa. Mutta se, mitä Malwarebytes näkee, on koko hyökkäysketjun kiihtyvyys – alusta pääsystä sivuttaisliikenteeseen, tietojen suodattamiseen ja lopulta salaukseen. Tämä antaa hämäräsilmäisille verkon puolustajille entistä vähemmän aikaa reagoida ja hillitä uhkaa ennen kuin on liian myöhäistä.
Raportissa väitetään myös, että haitallisemmat toimijat käyttävät Living Off the Land (LOTL) -tekniikoita, jotka käyttävät laillisia työkaluja ja prosesseja pysyäkseen piilossa verkkojen sisällä ja saavuttaakseen nämä tavoitteet. "Äskettäiset asiakastapaukset huippuryhmiltä, kuten LockBit, Akira ja Medusa, paljastavat, että suurin osa nykyaikaisista kiristysohjelmien hyökkäysketjusta koostuu nyt LOTL-tekniikoista", se sanoo.
Kuinka vähentää Ransomware-riskiä vuonna 2024
Suurriistan metsästyshyökkäykset saattavat kerätä suurimman osan otsikoista, mutta totuus on, että useimmat kiristysohjelmien uhrit ovat teknisesti pk-yrityksiä. Coveware väittää, että mediaanikoko vuoden 2 toisella neljänneksellä oli vain 2024 työntekijää. Joten kuinka nämä organisaatiot voivat toivoa puolustavansa salaperäisiä hyökkäyksiä yöllä ja viikonloppuisin?
"Ainoa ratkaisu on varmistaa, että näitä resursseja valvotaan yhtä tarkasti klo 1 kuin klo 1", Malwarebytesin vanhempi uhkatiedon tutkija Mark Stockley kertoo ISMS.online-sivustolle.
”Tämä voidaan saavuttaa palkkaamalla omaa 24/7 toimivaa Security Operations Centeriä (SOC). Useimmille organisaatioille on kuitenkin käytännöllisempää ja kustannustehokkaampaa käyttää kolmannen osapuolen palvelua, kuten Managed Detection and Response (MDR) -palvelua, tai hallitun palveluntarjoajan (MSP) suorittaminen."
DORA-ajan lähestyessä tällaisia toimenpiteitä tarvitaan yhä enemmän rahoituspalveluorganisaatioille ja niiden toimittajille. Jatkuva seuranta, 24/7 valmius hätätilanteisiin, vankka liiketoiminnan jatkuvuuden suunnittelu ja säännöllinen testaus ovat kaikki tarpeen, jotta sääntelijät vakuuttavat, että joustavuus on sopivalla tasolla.
Stockley uskoo, että parhaiden käytäntöjen standardit ja puitteet, kuten ISO 27001, voivat auttaa saamaan organisaatiot tähän pisteeseen.
”Kuten mikä tahansa standardi tai kehys, ISO 27001 on keino saavuttaa päämäärä. Organisaatiot voivat saavuttaa tarvitsemansa tietoturvan ilman sitä, mutta standardit ja viitekehykset voivat toimia hyödyllisinä karttoina, jotka auttavat heitä pääsemään perille ja pysymään siellä”, hän lisää. ”Oikea puitteiden valinta riippuu organisaation tietoturvakypsyysasteesta. Viime kädessä kyberrikolliset eivät välitä siitä, mitä sertifikaatteja sinulla on; he välittävät vain, jos heidät pysäytetään."
