Jesper Landen

september 14, 2021

Ransomware: hoten som fortsätter att utvecklas

Ransomware

Ransomware är fortfarande ett av de vanligaste och mest effektiva hoten som offentliga och privata organisationer står inför.

Ett av de mest vanliga och farligaste hotet idag mot offentliga och privata organisationer är Ransomware. Tekniken bakom Ransomware utvecklas ständigt och de som tar fram den hittar kontinuerligt nya sätt att hota företag och organisationer. Trenden har fortsatt in i 2021 och följande tekniker används i dag av de aktörer som utvecklar dessa hot:

  • Exfiltrering av data följt av utpressning
  • Snabb distribution av ransomware

Dessa tekniker är mer vanligt förekommande idag och visar på en stor utveckling utöver de mer vanliga metoder som är automatiserade eller där en faktisk person ligger bakom. Metoderna har skapat nya risker för bolag och organisationer som de måste ta hänsyn till och har förändrat hotbilden.

Dataexfiltrering och utpressning

Datakryptering, som påverkar tillgängligheten till datan, har varit stommen för de som riktar ransomware- attacker sedan denna metod uppstod. Men exfiltration av känslig data hos organisationer följt av utpressning för att inte läcka den till allmänheten har blivit mycket mer vanligt. En incident i Finland där data läcktes och där angripare sen publicerade den på sajter som de själva ”hostade” för att tvinga fram en lösensumma. Hotaktörer släppte information kring behandlingar av patienter inom psykiatrin när vårdinstitutionen inte betalade den lösen som angriparna krävde.

Tidigare var de största kostnaderna för ransomware kopplade till att få bukt med intrånget och tog slut efter att hoten upptäckts och eliminerats. Med exfiltrering av data följt av utpressning så fortsätter kostnaderna även efter attacken skett och det finns inga sätt att bli av med dem när skada väl skett.

Den första aktören inom ransomware som rapporterades var ”Maze Team” och fler följde därefter som t. ex REvil (Sodinokibi), Ryuk och DoppelPaymer.

Eftersom hotaktörerna kan maximera summorna de tar ifrån organisationer som drabbas så bedömer Konfident att attackerna kommer att öka i antal. Just förlust av data och utpressning är något som Konfident ser allt fler fall av hos både svenska och internationella företag. De nya hoten är särskilt allvarliga för de organisationer som sitter på känslig data och som går under specifika regelverk så som finans, hälso- och sjukvård eller juridik.

Snabb distribution av ransomware

Ännu ett nytt hot har uppkommit i form av ”snabba” domänomfattande ransomware-distributioner. Det innebär att ransomware fullständigt tar över en domän över en period av några timmar efter det första intrånget i organisationen. Den här tekniken är en ny utveckling av de tidigare ransomware där en hotaktör behövde dagar och ibland veckor för att hitta den mest lämpliga tiden för att distribuera sitt ransomware.

Det här nya sättet i tillvägagång verkar vara ett stort skifte i metod för hotaktörer som ligger bakom intrången. Konfident bedömer att den ökande förekomsten av denna teknik drivs av hotaktörernas idé om att det kommer att förhindra organisationers möjligheter att svara och ta bort hotaktörer åtkomst till den känsliga datan. Detta kan bero på aktörernas tidigare erfarenheter av att identifieras och kastas ut från nätverk innan de kan distribuera sin ransomware.

Det är vanligt att i längre intrång kommer hotaktörerna att spendera mycket tid på att kartlägga organisationernas infrastruktur, slå ut säkerhetsverktyg och säkerhetskopior före en ransomware-distribution. Snabb ransomware med hög hastighet har förmågan att fullständigt och effektivt distribueras i organisationens hela nätverk.

Dessutom ser Konfident att sådana operationer potentiellt underlätta en större mängd intrång som utförs per enskild hotaktörer som då kan stjäla mer. Detta tillvägagångssätt, som då utnyttjar färre resurser och mindre tid , kan också göra mindre företag mer attraktiva för intrång. Som ett resultat bedömer Konfident att detta nya tillvägagångssätt kan öka risken för exponering för små och medelstora företag.

Detta snabba tillvägagångssätt i kontrast till ökningen av dataexfiltrering, sannolikt motiverad av maximering av intäkterna för varje intrång, och kommer totalt sett att vara en långsammare operativ modell. Att beakta mångfalden av hot som orsakas av ransomware-hotaktörer kommer därför att vara ett mer komplext förslag och kräver ytterligare mognad inom försvarande organisationer.

Den potentiella hastigheten för dessa intrång ökar behovet hos organisationer att granska sina processer och skyddsåtgärder för att säkerställa att de har förmågan att svara på eller stå emot sådana hot. Säker arkitektur och skydd av kritisk data kommer att spela en ännu viktigare roll än vanligt genom att säkerställa att hotaktören inte omedelbart kan påverka datan och ger organisationer mer tid att svara på och avgränsa hotet.

Möjligheter

Konfident bedömer att användningen av dessa nya sätt att attackera organisationer inte bara är negativa utan ger möjligheter att försvara sig och identifiera hoten tidigt för att förhindra skador. Dataexfiltreringsmetoden kräver att hotaktören utför ytterligare skadliga åtgärder i offrets nätverk och spenderar mer tid där innan ransomware distribueras. Dessa två faktorer ger försvararna fler möjligheter att upptäcka ett intrång och ytterligare tid att svara på och avvärja ett sådant hot innan skada inträffar.

Med det snabba scenariot för distribution av ransomware av en hotaktör så kommer hastigheten i sig göra att hoten att upptäckas av organisationer, vilket ger möjlighet att svara på dem i ett tidigt skede.

Sammanfattningsvis

Detta förändrade tillvägagångssätt för distribution av ransomware utav hotaktörer ökar risken för utpressning av organisationer som inte är tillräckligt beredda att försvara sig. Utvecklingen av dessa nya sätt hotar organisationer över en rad industriella branscher, och dessutom nya organisationer som kanske inte tidigare har ansett sig riskeras att hotas utav ransomware.

Konfident rekommenderar att organisationen ser över hur dessa nya hotbilder påverkar deras interna processer och motåtgärder. Som framhållits ovan finns det ytterligare risker, men också möjligheter för organisationer att upptäcka hot som de tidigare kan ha missat.

Processen med att anpassa sig till nya hot kommer också att vara värdefulla erfarenheter för organisationer, eftersom hoten från ransomware-aktörer och andra cyberkriminella kommer att fortsätta att utvecklas i framtiden. Därför kan utvärderingar av dessa förändringar och en ökad medvetenhet möjliggöra mer smidiga, lyhörda och effektiva förbättringar för försvar mot ransomware i framtiden.