Kenners vra vir veerkragtigheid van ransomware namate die krisis eskaleer
Dit was 'n besige paar maande vir losprysware. Aan die einde van Augustus het verskeie Amerikaanse kuberveiligheidsorganisasies gewaarsku teen 'n verderflike losprysware-as-'n-diens-groep genaamd RansomHub. Hierdie kriminele uitrusting, voorheen bekend as Cyclops en Knight, is sedert Februarie vanjaar aktief en het affiliasies van ander groepe soos LockBit bymekaargemaak.
RansomHub het data van minstens 210 slagoffers geënkripteer en gesteel, volgens 'n raadgewende van die Amerikaanse Federale Buro vir Ondersoek, die Agentskap vir Kuberveiligheid en Infrastruktuursekuriteit, die Multi-State Inligting Deel en Analise Sentrum, en die Departement van Gesondheid en Menslike Dienste. Hulle het oor baie sektore gestrek wat die Amerikaanse regering as deel van sy kritieke nasionale infrastruktuur beskou, insluitend water en afvalwater, IT, dienste in die openbare sektor, gesondheidsorg, nooddienste, voedsel en landbou en finansiële dienste.
'n Ontwikkelende bedreiging
RansomHub is besig om te ontwikkel. Dit onlangs geïntegreer 'n instrument genaamd EDRKillShifter wat eindpuntopsporingsagteware deaktiveer, wat dit in staat stel om stelsels meer suksesvol te besmet. Ransomware-geaffilieerdes wat die instrument gebruik, versprei dan lateraal deur die teikennetwerk, besmet stelsels en eksfiltreer en enkripteer wanware in 'n dubbele afpersingsaanval.
Met dreigemente soos hierdie wat steeds kritieke nasionale infrastruktuur teister, is dit geen wonder dat die Amerikaanse regering meer geraas maak as ooit oor die dreigement van losprysware nie. Hierdie maand het die nasionale kuberdirekteur Harry Coker gewaarsku oor die toenemende bedreiging van losprysaanvalle. Die Withuis het ook sy vierde International Counter Ransomware Initiative-beraad aangebied, waaraan 68 lande (insluitend 18 nuwe toevoegings) deelgeneem het om losprysware te probeer uitwis.
Die jongste beraad het 'n teen-losprysfonds gestig om lidorganisasies te help om hul vermoëns teen losprysware te versterk, tesame met leiding vir slagoffers oor hoe om 'n losprysaanval te hanteer. Anne Neuberger, die adjunk- nasionale veiligheidsadviseur vir kuber en opkomende tegnologie, het versekeraars weereens gewaarsku teen die finansiering van losprysbetalings.
Laura Payne, uitvoerende hoof van die Kanadese kuberveiligheidskonsultasiemaatskappy White Tuque, sê om betalings te vermy is 'n stewige beleid. “Jy weet nie na wie daardie geld gaan nie, en heel waarskynlik gaan dit na iets wat met terrorisme-aktiwiteit verband hou. Dit plaas jou in ’n gevaarlike plek vanuit ’n regsperspektief,” sê sy.
Neuberger het gestop om beleide soos 'n regstreekse verbod op die finansiering van losprysbetalings aan te beveel. Dit kan egter onnodig wees aangesien versekeraars groter finansiële druk ondervind weens losprysware-eise. A verslag deur die kuberversekeraar Coalition het bevind dat hoewel eisgetalle vir die eerste helfte van vanjaar laer was vergeleke met 1H 2023, verliese in die algemeen met 14% toegeneem het. Daar word gesê dat die gemiddelde verlies aan losprysware met 68% op $353,000 gestyg het.
"In Kanada 'n paar jaar terug het ek een van die versekeraars daaroor hoor praat, en hulle het gesê die enigste ding wat 'n minder winsgewende versekeringsbesigheid is, is haelskade, wat jou vertel hoe sleg dinge is," het Payne gesê.
Voorkoming is beter as genesing
Natuurlik is voorkoming beter as genesing. Hoe kan organisasies hulself teen losprysware-aanvalle beskerm? Die RansomHub-advies beveel verskeie stappe aan, wat begin met 'n herstelplan en multi-faktor-verifikasie. Dit voeg by dat dit ook van kritieke belang is om alle sagteware en firmware opgedateer te hou, wat sal help om losprysware te blokkeer wat op bekende kwesbaarhede staatmaak.
Omdat ransomware-indringers funksioneer deur lateraal in 'n organisasie te versprei, beveel die advies ook aan om netwerke te segmenteer om te verhoed dat aanvallers maklik toegang tot ander dele van die infrastruktuur kry.
Die advies beveel ook wagwoorde tussen agt en 64 karakters aan, wat ooreenstem met NIST-aanbevelings. "Lang is sterk," stem Payne saam. Sy het ook verskeie ander stukke raad oor kuberhigiëne.
"Het goeie basiese beskerming en 'n hoë-gehalte anti-wanware diens," voeg sy by. Maak seker dat jou netwerke opgestel is met die huidige draadlose standaard, wat WPA2 of WPA3 met 'n wagwoord sou wees. Moenie publieke Wi-Fi gebruik nie, en rugsteun jou goed.”
Die adviserende skrywers beveel aan dat daardie rugsteun geënkripteer en onveranderlik moet wees sodat aanvallers nie daarmee kan peuter nie. Die handhawing van vanlyn rugsteun is 'n goeie strategie hier, maar verskeie bergingstelsels op die mark maak rugsteundata onveranderlik op die bedryfstelselvlak. Organisasies kan ook skryf-een keer-lees-baie (WORM) hardeware gebruik vir sulke rugsteun vir hardeware-vlak beskerming.
Die advies beveel ander beskerming aan, insluitend die noukeurige bestuur van interne toestemmings. Byvoorbeeld, die deaktivering van baie opdragreël-skripnutsgoed kan help om aanvallers te verhoed om 'van die land af te leef' deur hulle toe te laat om sywaarts te beweeg en data te steel sonder om alarm te maak.
Die dokument beveel ook aan om rekeninge te oudit om toegang tot die minste voorreg en tydbeperkende toegang vir administratiewe rekeninge te verseker om die aanvalvenster te sluit. Dit waarsku ook administrateurs om ongebruikte poorte te deaktiveer en netwerkmoniteringnutsmiddels te gebruik om ongewone aktiwiteite op te spoor en op te spoor.
Die organisasies agter die advies beveel ook aan om e-pos - 'n algemene afleweringstelsel vir losprysware - te beskerm deur baniere op e-posse te plaas wat van buite die organisasie kom en hiperskakels in alle e-posse wat ontvang word, te deaktiveer.
Hierdie aanbevelings weerspieël basiese kuberveiligheidhigiëne, en soos die losprysware-bespreking self, doen dit al jare die rondte. “Ek gee nie om om dit te herhaal nie,” sê Payne. Sy moet, net soos regeringsagentskappe, want so baie maatskappye luister nie. Totdat hulle dit doen, sal die krisis voortduur.
