Av LogPoint CTO Christian Have

Utpressningsattacker blir allt mer förödande för företag. De orsakar inte bara massiva driftstörningar, utan kriminella kräver allt större lösensummor för att låsa upp krypterade filer och maskiner som drabbats av attackerna. 

Under de senaste månaderna har statligt sponsrade utpressningsattacker som har orsakat skador på kritisk infrastruktur dominerat rubrikerna. JBS betalade nyligen 11 miljoner dollar efter en attack som stoppade företagets samtliga amerikanska nötköttsanläggningar. Strax innan dess förlamade en attack Irlands sjukvård i flera veckor mitt i en pandemi. Angreppet inträffade i kölvattnet av attacken på Colonial Pipeline som orsakade rädsla för gasbrist.

CNA Financial, ett av USA:s största försäkringsbolag, betalade enligt uppgift 40 miljoner dollar för att få åtkomst till sina filer och återställa sin IT-miljö, vilket gör det till den största rapporterade lösensumman hittills. I jämförelse är 40 miljoner dollar mer än de flesta företag spenderar på sin cybersäkerhetsbudget – det är till och med mer än vad många företag spenderar på hela sin IT-budget.

På grund av den kraftiga ökningen av statligt sponsrade utpressningsattacker i USA och Europa har många statliga institutioner, bland annat Vita huset, uppmanat företag att stärka sina försvar för att stoppa utpressningsgrupperna. G7-gruppen har uppmanat i synnerhet Ryssland att identifiera, störa och ställa till svars de grupperingar inom sina gränser som utför utpressningsattacker och andra cyberbrott. Ett av få resultatet av toppmötet mellan Biden och Putin är en överenskommelse om att samråda om cybersäkerhet. Avtalet är dock mångtydigt och omfattar inga specifika åtgärder.

Ransomware-ekosystemet förklarat – utbetalning av en lösensumma är inte alltid slutmålet

Att stoppa ransomware-grupper är ingen lätt uppgift. Den ekonomiska backningen bakom dessa grupper är omfattande. Många aktiva grupper har företagsliknande strukturer, med roller och ansvarsområden som motsvarar vanliga programutvecklingsorganisationer. 

the-defendants
co conspirators

Source: Twitter

Åtalet mot TrickBot:s medlemmar som hade definierade roller i hanteringen av den skadliga programvaran.

Dessa kriminella organisationer är välfinansierade och mycket motiverade att utveckla sina attackmetoder – men deras intäktsströmmar börjar inte eller slutar med att offren betalar lösensumman. Det finns ett stort ekosystem med utpressningstrojaner som syftar till framgångsrikt genomföra intrång, till exempel:

  • Grupper som säljer åtkomst till plattformar som levererar heltäckande Ransomware-as-a-Service) som andra grupper kan använda.
  • Mäklare som levererar team med högspecialiserade utvecklare som kan utveckla och distribuera skadlig programvara. Se detta som malware-rekrytering.
  • Vissa grupper vill endast få åtkomst till företagsnätverk. De vill inte aktivt störa verksamheten eller kräva en lösensumma, utan säljer istället åtkomst till offren för andra grupper att utnyttja.

De allt mer sofistikerade metoderna som ransomware-grupperna använder har lett till att många organisationer har implementerat en mängd olika verktyg som hjälper till att identifiera och förhindra attacker. Men vad är det som verkligen fungerar?

Grundläggande säkerhet är avgörande för att förhindra ransomware-attacker

Under de senaste 15 åren har CISO:er, säkerhetsdriftsteam och säkerhetsleverantörer lagt stort fokus på komplexa attacker och hållit sig i framkant av vad angripare kan göra. Den skadliga datormasken Stuxnet initierar till exempel extremt avancerade angreppskampanjer. Resultatet är att många organisationer har en relativt omfattande portfölj med avancerad teknik. Dessa tekniker är dyra, komplexa att använda och ännu mer komplicerade att integrera med varandra och det omgivande säkerhetsekosystemet.

Intrånget hos Colonial Pipeline inträffade på grund av att en fjärråtkomstplattform misslyckades upprätthålla eller kräva multifaktorautentisering. I kombination med ett gemensamt lösenord som användes av flera användare hittade angriparna en väg in i infrastrukturen. Avancerade detekteringsverktyg är inte avsedda att upptäcka sådana grundläggande misstag.

Misslyckande att täcka det mest grundläggande – patchning, säkra konfigurationer eller följa bästa praxis – är ett upprepat mönster hos de som drabbats av de senaste attackerna. Det är inte utan skäl att cybersäkerhetsexperter rekommenderar patchning och standardisering av basnivåer för konfigurationer som några av de första åtgärderna för att stärka cybersäkerheten.

Så varför patchar företag inte bara allt, implementerar Zero Trust-modellen och tvingar multifaktorautentisering överallt? Särskilt när den största materiella risken för verksamheten och organisationens existens är en ransomeware-attack?

IT-drift är en utmaning. Security Operations-teamet, IT-driftteamet och riskhanteringsteamet i ett företag har ofta skilda tankesätt med olika mål och incitament. Att samordna aktiviteter och mål mellan olika avdelningar är utan tvekan en del av problemet.

En av de vanligaste önskemålen från våra kunder är en enhetlig översikt över de tekniska riskaspekterna. Implementering en enhetlig lösning som ZeroTrust-orkestrering eller XDR är komplext och i många fall dyrt. Vissa av våra kunder vänder sig till färre leverantörer och förlitar sig på öppna standarder, till exempel MITRE för ett klassificeringsramverk för attacker, MISP för delning av hotobservationer och YARA för identifiering av indikatorer på skadlig kod för att göra det lite enklare att samordna olika avdelningars arbetsmetoder.

LogPoint arbetar för att stärka försvaret mot ransomeware-attacker

LogPoint kan hjälpa organisationer att samordna aktiviteter för identifiering och respons. LogPoint tar emot loggdata som säkerhetsteamen kan använda för att enkelt identifiera varianter av utpressningstrojaner som FiveHandsEgregoroch Ryuk. Utpressningsgruppen REvil som gjorde intrång i JBS använder en taktik för att ta bort skuggkopior innan systemet krypteras. Borttagning av skuggkopior gör det betydligt svårare att återställa systemet från säkerhetskopior. LogPoint kan omedelbart identifiera radering av skuggkopior genom att söka efter följande kommando i alla loggkällor:

cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures

Genom att ta emot loggdata kan analytiker analysera system för mer information om kända problem, såsom identifierade sårbarheter, avvikelser från bästa praxis eller företagspolicyer. Genom att kombinera loggdata med sårbarhetsdata, konfigurationsefterlevnad och mer avancerad analys av systemet kan vi emellertid identifiera de okända problemen genom att formulera mer exakta riskpoäng för infrastrukturen och dess komponenter.

SIEM-orchestration-observations-and-automation

När riskpoängen har fastställts försöker vi för nuvarande knyta samman indikatorer för utpressningstrojaner, såsom radering av skuggkopior med Threat Intelligence, och malware-forskning för att identifiera dokumenterade angreppstekniker. Målsättningen är att systemet ska kunna fastställa typen av ransomware-grupp eller variant så att vi är bättre förberedda på att hantera och reagera på hotet. Vårt system använder en kombination av naturlig språkbehandling och maskininlärning för att koppla samman punkterna. 

Vi arbetar samarbetar också med våra kunder för att bygga det sista steget – automatisering och orkestrering av responsen med situationsmedvetenhet och förståelse av nästa fas i attacken. Vi har små agentprogram installerade på våra kunders maskiner som kan upprätthålla policyer, koppla bort maskiner från nätverk och i övrigt agera utifrån hur säkerhetsoperatörer vill hantera ett potentiellt problem. 

Steg för att bryta den onda ransomware-cirkeln

I slutändan är det uppenbart för säkerhetsforskare som följer utpressningsgrupper att asymmetrin mellan kapacitet och incitament för angriparna och försvararnas mognad och budget blir alltmer markant. När kritisk infrastruktur hos stora och små företag angrips blir det uppenbart att mer teknik inte löser problemet på egen hand. Outsourcing av IT-drift eller säkerhetsdrift löser inte heller problemet.

Med det i åtanke ser jag tre vägar framåt: 

  • Rättsväsendet måste samarbeta över gränserna för att rikta in sig på ransomware-grupper, spåra betalningar och i slutändan förändra den operativa risken för dessa grupper så att det blir dyrare att bedriva kriminell verksamhet.
  • Att bryta ner silon inom organisationer – få IT-säkerhets-, IT-drifts- och riskhanteringsteamen att tala samma språk och anpassa sina förväntningar. Vem ansvarar för säkerhetskopiering – IT? Vem ansvarar för katastrofåterställning – IT-säkerhet? Vem ansvarar för planering av affärskontinuitet – företagets riskhantering?
  • Fler lagar och regler rörande frågan. GDPR har gjort mycket för att belysa och öka medvetenheten om rapportering av intrång i IT-infrastruktur. Men det behövs mer. GDPR fungerar för personuppgifter, men störningar i kritisk infrastruktur till följd av en ransomware-attack behöver inte nödvändigtvis omfattas av GDPR och kan därför passera under radarn. Med mer delning, ökat fokus och potentiell bötfällning av organisationer som inte förebygger eller skyddar sin infrastruktur tillräckligt, kommer bolagsstyrelser att börja ta hotet på större allvar. 

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Boka en demo
Kundcase
Recensioner