Het verzorgen van zakelijke ransomware neemt een nieuw model aan
NieuwsRansomware was hoogtij in 2017 en slecht voorbereide gebruikers werden overrompeld. Dit ging gepaard met een wijdverspreide paniek toen slachtoffers zich verzamelden om waardevolle gegevens te beschermen, vaak toegevend aan criminele eisen om steeds duurder worden losgeld te betalen via cryptocurrency, die omhoogschoot in waarde zelf. Helaas kon het voldoen aan deze eisen niet garanderen dat bestanden onbeschadigd zouden worden teruggestuurd, of helemaal niet, waardoor het een gunstig jaar werd voor auteurs van ransomware.
In de loop van de tijd wordt het steeds moeilijker voor auteurs van ransomware om slachtoffers bang te maken om te betalen om hun gegevens te redden, met meer adoptie van eenvoudige best practices zoals tijdige en cloudback-ups. Dit in combinatie met meer gebruikers die Windows 10 gebruiken, een veiliger besturingssysteem, heeft hackers gedwongen meer creatief te worden. De ransomware-bedreiging is nog steeds reëel en is in feite een meer gericht bedrijfsmodel aan te nemen via onbeveiligde Remote Desktop Protocol-verbindingen (RDP) als aanvalsvector.
- We hebben ook de beste antivirus gemarkeerd
Onbeveiligde RDP-verbindingen gebruiken
Hoewel RDP-verbindingen moderne werkmethoden ondersteunen door off-premise toegang tot een machine en een netwerk mogelijk te maken, kunnen ze fungeren als een zwakke schakel in de cyberbeveiliging van een organisatie. Deze aanvalsvector wint aan populariteit met cybercriminelen die tools zoals Shodan gebruiken om te scannen naar bedrijven die geen adequate RDP-instellingen hebben gemaakt, waardoor hun omgevingen worden blootgesteld aan infiltratie. Zelfs de minder geavanceerde cybercriminelen kunnen het 'dark web' bezoeken om RDP-toegang te kopen tot reeds gehackte machines. Zodra een bepaald systeem is geopend, kunnen criminelen bladeren door alle gegevens op het systeem of gedeelde schijven om de waarde ervan te beoordelen. Dit helpt de crimineel beslissen om ransomware of andere payloads in te zetten - wat de meeste impact en winstgevendheid heeft. Deze gerichte aanpak verbetert de kans dat een organisatie het losgeld betaalt, omdat de gecodeerde inhoud van het hoogste belang en het grootste belang zal zijn.
Cybercriminelen in actie
Dit is niet theoretisch. De beruchte SamSam Ransomware-groep en hun campagnes verdienden eerder dit jaar miljoenen in cryptocurrency, dankzij onjuist geconfigureerde RDP. Aanzienlijke aanvallen domineerden het nieuws als ze de overheidssectoren van Atlanta en Colorado afsluiten, samen met de medische testgigant LabCorp. In de gevallen van Atlanta en Colorado, kozen deze staten ervoor om het losgeld niet te betalen en besloten in plaats daarvan hun IT-systemen opnieuw op te bouwen, voor een bedrag van meer dan $ 2,5 miljoen (in het geval van Atlanta). Maar er zijn nu meerdere haalbare keuzes voor payloads in een RDP-compromis. Omdat de crimineel alle geïnstalleerde hardware kan zien, is het eenvoudig om te bepalen of de geïnstalleerde CPU en GPU meer cryptocurrency voor winstmining opleveren dan wanneer aanvallers eenvoudigweg een ransomware-infectie implementeerden..
Verdedigen tegen aanvallen
Het belang van onderwijs kan niet worden onderschat en speelt een cruciale rol bij het beschermen van een organisatie tegen een compromis. IT-afdelingen laten vaak standaardpoorten open en zijn laks over wachtwoordbeleid, wat de realiteit onderstreept dat werknemers de zwakste schakel zijn. Continue training over het configureren van de omgeving en het vaststellen van een basislijn van veerkracht is net zo belangrijk voor een bedrijf met 50 werknemers als voor een multinationale onderneming. Volgens het Webroot Mid-Year Threat Report 2018 zagen organisaties die 11 of meer beveiligingsbewustmakingscampagnes implementeerden hun phishing-klikfrequentie voor e-mails terug tot 13%. Daarnaast moet de impact van deze training worden beoordeeld, ondersteund door een uitgebreid noodherstelplan.
Ransomware blijft organisaties van verschillende groottes en industrieën lastigvallen. De recente aanvallen op de San Diego Port Authority en Bristol Airport wijzen op de directe impact en verstoring die kunnen optreden, zelfs voor openbare diensten. De beste verdediging is bewustwording van de beveiliging van werknemers, met name rond het vermijden van phishing-aanvallen die de legitimiteit van hun systeem in gevaar kunnen brengen, in combinatie met het installeren van anti-malwaresoftware om waardevolle informatie te beschermen. Geen enkele organisatie is vrijgesteld van aanvallen en alleen een robuuste beveiligingshouding zal deze bedreigingen verminderen.
Tyler Moffitt, Senior Threat Research Analyst bij Webroot