🏆 ▷ Hur ransomware-operatörer går samman för att utföra attacker

Angripare köper stulen data från andra brottslingar, medan Maze-gruppen publicerar data som fångats av andra gäng, säger Positive Technologies.

Ransomware har blivit en av de mest skadliga formerna av cyberattack, vilket resulterar i förlorad tid, pengar, resurser och rykte för utsatta organisationer. På senare tid har ransomware-operatörer höjt sitt spel genom att slå sig ihop med andra kriminella som en typ av organiserad cyberbrottslighet. En rapport som publicerades i onsdags av företagssäkerhetsleverantören Positive Technologies beskriver denna senaste trend inom ransomware-samarbete.

SE: Ransomware: Vad IT-proffs behöver veta (gratis PDF)

Måste läsa säkerhetstäckning

Liksom de flesta typer av cyberhot fortsätter ransomware att utvecklas. Förr i tiden krypterade och höll lösenprogramsgäng helt enkelt den fångade informationen tills offret betalade lösensumman. Nu hotar dessa gäng alltmer att avslöja den komprometterade informationen offentligt om inte lösensumman betalas.

Maze- och Sodinokibi-grupperna var de mest aktiva bovarna till denna typ av utpressning under andra kvartalet, enligt Positive Technologies. DoppelPaymer, NetWalker, Ako, Nefilim och Clop är också engagerade i denna typ av hot. Vissa gäng, som Ako, använder ett system med “dubbel utpressning” genom att kräva separata lösensummor för dekryptering och icke-avslöjande av data.

För att sälja de komprometterade filerna skapar många ransomware-grupper speciella webbplatser för dataläckor som publicerar namnen på offren tillsammans med stulna data. Andra grupper publicerar informationen på hackerforum.

Men i ett steg mot samarbete har grupper slagit sig ihop med Maze-gänget för att lägga upp den komprometterade informationen. Specifikt använder Maze sin egen webbplats för dataläckor för att publicera information som stulits av andra brottslingar och bildar en operation som kallas Maze-kartellen.

Som ett ytterligare steg mot att slå sig samman köper ransomware-operatörer tillgång till nätverken av offerorganisationer från andra kriminella grupper. Vidare har NetWalker-gänget anställt affiliates för att hjälpa till att sprida sin ransomware genom att erbjuda dem en provision på utbetalningen.

Även om dessa typer av samarbete innebär att brottslingarna måste dela med sig av sina vinster, håvar de fortfarande in mycket pengar. I juni fick University of California i San Francisco betala ut 1,14 miljoner dollar efter en attack från NetWalker ransomware.

I maj, advokatbyrån Grubman Shire Meiselas & Sacks fick ett krav på utpressning från REvil (Sodinokibi) ransomware-gänget. Brottslingarna påstod sig ha fångat känsliga uppgifter om företagets kändiskunder, som Lady Gaga, Madonna, Mariah Carey, Nicki Minaj, Bruce Springsteen, Bette Midler och Jessica Simpson. Efter att företaget erbjöd sig att betala bara 365 000 dollar av de 21 miljoner dollar som krävdes, fördubblade gruppen sina krav till 42 miljoner dollar.

Med tanke på vinstpotentialen har andra kriminella använt ransomware genom att kräva betalning för att de inte publicerat stulen data. I ett exempel från maj krävde angripare en lösensumma från butiksberättelser i utbyte mot att de inte avslöjade känsliga uppgifter. Även om man bara begär $500 för varje incident, kan kostnaderna stiga, särskilt eftersom offren är mer benägna att betala en så liten summa för att återställa sina data.

I ett annat exempel hackade brottslingar sig in i LenovoEMC nätverksanslutna lagringsenheter, krypterade filer och krävde sedan en lösensumma på $200 till $275 för att återställa data. Och i ytterligare ett fall kom angripare lätt att äventyra 22 900 MongoDB-databaser som inte hade något lösenordsskydd. Hackarna bad inte bara om pengar för att återställa uppgifterna utan hotade också med att publicera dem och kontakta tillsynsmyndigheten General Data Protection Regulation (GDPR) för att rapportera incidenten.

Mot bakgrund av dessa nya hot, hur kan organisationer skydda sig mot ransomware-attacker innan de inträffar?

“De flesta attacker är beroende av att utnyttja befintliga sårbarheter i datorsystem, så det bästa sättet att förhindra attacker är att implementera säkerhetsåtgärder 101”, säger Ekaterina Kilyusheva, chef för forskning och analys på Positive Technologies, till TechRepublic. “Detta innebär att korrigera program och aktivera automatiska uppdateringar, begränsa behörigheter på system och ha rutiner för att hantera katastrofåterställning.”

Specifikt råder Kilyuheva organisationer att genomföra följande åtgärder:

Centraliserad uppdateringshantering.
Antivirusskydd på alla system och slutpunkter, gärna med stöd för on-demand-skanning av användare av misstänkta bilagor innan de öppnas.
Sandlådor för att analysera filbeteende.
Säkerhetsinformation och händelsehanteringsfunktioner (SIEM) för snabb upptäckt av attacker.
Automatiserade granskningsverktyg för programvara för att identifiera sårbarheter.

Och vad ska en organisation göra om den drabbats av en ransomware-attack?

“Tyvärr drar många företag, även när de står inför en ransomware-attack, felaktiga slutsatser och ifrågasätter om de ska betala eller inte, snarare än att utveckla en affärsstrategi som inkluderar IT-risker (verksamhetskontinuitet och katastrofåterställning) eller säkerhetskopieringspolicyer av hög kvalitet”, säger Kilyusheva. sa. “De flesta ransomware utnyttjar välkända sårbarheter som är lätta att fixa med lämpliga säkerhetsuppdateringar eller inställningar.

“För de som faller offer för ransomware, vidta åtgärder för att lokalisera de segment som påverkas av viruset,” förklarade Kilyusjeva. “Vida åtgärder för ytterligare icke-spridning av virus och kontakta omedelbart företag som erbjuder specialiserade tjänster för att analysera, undersöka och återställa infrastruktur som skadats av sådana attacker. Experter kommer att ge professionell rådgivning och bedöma sannolikheten och möjligheten för dataåterställning, beroende på den speciella formen av ransomware.”

Den här artikeln har uppdaterats.

taggar