Ransomware er cybersikkerhetshistorien fra det siste tiåret. Men over den tiden har motstanderens taktikker, teknikker og prosedyrer (TTP) fortsatt å endre seg i henhold til det kontinuerlig utviklende våpenkappløpet mellom angripere og nettverksforsvarere. Med et historisk lavt antall offerselskaper som velger å betale utpresserne sine, fokuserer løsepengevaretilknyttede selskaper på hastighet, timing og kamuflasje.
Spørsmålet er: Med de fleste angrep nå i helgene og tidlig om morgenen, har nettverksforsvarere fortsatt de riktige verktøyene og prosessene på plass for å dempe trusselen? Spesielt organisasjoner for finansielle tjenester vil trenge et raskt svar på slike spørsmål før overholdelse av EUs Lov om digital operativ motstandskraft (DORA).
Fra styrke til styrke
På en måte fortsetter løsepengevare å trives. Dette året er satt til å bli det mest innbringende noensinne, ifølge analyse av kryptobetalinger til adresser knyttet til kriminalitet. I følge en augustrapport fra blockchain-etterforsker Chainalysis, «innstrømming av løsepengevare» hittil i år (YTD) er på 460 millioner dollar, opp rundt 2 % fra samme tid i fjor (449 millioner dollar). Firmaet hevder at denne økningen i stor grad skyldes "big-game jakt" - taktikken med å gå etter færre store bedriftsofre som kan være mer kapable og villige til å betale større løsepenger. Teorien er bekreftet i én betaling på 75 millioner dollar fra et navngitt selskap, til Dark Angels løsepengevaregruppe tidligere i år – den største som noen gang er registrert.
Totalt sett har medianutbetalingen av løsepenger til de vanligste løsepengevarestammene også steget – fra i underkant av $200,000 2023 tidlig i 1.5 til $2024 millioner i midten av juni XNUMX. Chainalysis hevder at dette antyder «at disse stammene prioriterer rettet mot større virksomheter og leverandører av kritisk infrastruktur som kan være mer sannsynlig å betale høye løsepenger på grunn av deres dype lommer og systemisk betydning. ”
Den tilsynelatende styrken til løsepengevare-økosystemet er mer imponerende gitt lovhåndhevelsens seire tidligere i år, som så ut til å forstyrre to hovedgrupper: LockBit og ALPHV/BlackCat. Chainalysis hevder at denne innsatsen har fragmentert cyberkriminaliteten noe under jorden, med tilknyttede selskaper som har gått over til "mindre effektive stammer" eller lansert sine egne. Dette stemmer med en Q2 2024-analyse av løsepengespesialisten Coveware, som hevder å ha observert en økning i antall «ensomme ulv»-grupper som ikke er tilknyttet noen større løsepengevare-«merke». Mange har tatt denne avgjørelsen "på grunn av den økende trusselen om eksponering, avbrudd og tap av fortjeneste forbundet med 'giftige' løsepengevaremerker," heter det.
Hovedpoenget er imidlertid at disse trusselaktørene fortsatt er aktive. Og med betalingsrater som synker fra et høyt nivå på rundt 85 % av ofrene i 2019 til omtrent en tredjedel av det i dag, leter de alltid etter måter å gjøre innsatsen mer effektiv på.
Timing er alt
En ny rapport fra Malwarebytes' ThreatDown-gruppe avslører nøyaktig hvordan de håper å gjøre det. Den hevder at flere løsepengevaregrupper i løpet av det siste året har angrepet ofre i helgene og tidlig om morgenen. Trusselteamet håndterte de fleste angrepene mellom klokken 1 og 5 lokal tid.
Årsaken er åpenbar: trusselaktørene håper å fange en organisasjon når IT-teamet sover raskt eller lader opp batteriene i helgen.
Videre hevder rapporten at angrepene blir raskere. Tilbake i 2022, a Splunk studie testet 10 beste løsepengevarevarianter og fant at medianhastigheten for kryptering av 100,000 43 filer var bare XNUMX minutter, med LockBit den raskeste av alle på bare fire minutter. Men det Malwarebytes ser er en akselerasjon av hele angrepskjeden – fra første tilgang til sideveis bevegelse, dataeksfiltrering og til slutt kryptering. Det gir gråøyne nettverksforsvarere enda mindre tid til å svare og begrense en trussel før det er for sent.
Rapporten hevder også at flere ondsinnede aktører bruker Living Off the Land (LOTL) teknikker, som bruker legitime verktøy og prosesser for å holde seg skjult i nettverk mens de oppnår disse målene. "Nylige kundehendelser fra toppgjenger som LockBit, Akira og Medusa avslører at det meste av den moderne løsepengevare-angrepskjeden nå er sammensatt av LOTL-teknikker," heter det.
Hvordan redusere ransomware-risikoen i 2024
Jaktangrep på storvilt kan få de fleste overskriftene, men sannheten er at de fleste løsepenge-ofre teknisk sett er SMB-er. Coveware hevder at medianstørrelsen i Q2 2024 bare var 200 ansatte. Så hvordan kan disse organisasjonene håpe å forsvare seg mot snikende angrep om natten og i helgene?
"Den eneste løsningen er å sikre at disse eiendelene blir overvåket med samme aktsomhet klokken 1 som de er klokken 1," forteller seniorforsker Mark Stockley for trusseletterretning ved Malwarebytes til ISMS.online.
"Det kan oppnås ved å bemanne et internt sikkerhetsoperasjonssenter (SOC) som opererer 24/7. Men for de fleste organisasjoner er det mer praktisk og kostnadseffektivt å bruke en tredjepartstjeneste, som Managed Detection and Response (MDR), eller å få en Managed Service Provider (MSP) til å gjøre det.»
Ettersom DORA-æraen nærmer seg, vil slike tiltak i økende grad være nødvendige for finansorganisasjoner og deres leverandører. Kontinuerlig overvåking, 24/7-hendelsesresponsberedskap, robust forretningskontinuitetsplanlegging og regelmessig testing vil alt være nødvendig for å tilfredsstille regulatorer om at motstandskraften er på et passende nivå.
Stockley mener beste praksis-standarder og rammeverk som ISO 27001 kan bidra til å få organisasjoner til dette punktet.
«Som enhver standard eller rammeverk, er ISO 27001 et middel for å oppnå et mål. Organisasjoner kan komme til nivået av informasjonssikkerhet de trenger uten det, men standarder og rammeverk kan fungere som nyttige kart for å hjelpe dem å komme dit og bli der, legger han til. – Riktig valg av rammeverk avhenger av organisasjonens sikkerhetsmodenhet. Til syvende og sist bryr ikke nettkriminelle seg hvilke sertifiseringer du har; de bryr seg bare om de blir stoppet.»
