Hoe kan u organisasie veilig bly wanneer ransomware in die nag toeslaan?
INHOUDSOPGAWE:
Ransomware is die kuberveiligheidsverhaal van die afgelope dekade. Maar oor daardie tyd het teëstanders se taktiek, tegnieke en prosedures (TTP's) steeds verander volgens die voortdurend ontwikkelende wapenwedloop tussen aanvallers en netwerkverdedigers. Met histories lae getalle slagoffermaatskappye wat verkies om hul afpersers te betaal, fokus losprysware-affiliasies op spoed, tydsberekening en kamoeflering.
Die vraag is: met die meeste aanvalle wat nou oor naweke en in die vroeë oggendure kom, het netwerkverdedigers steeds die regte gereedskap en prosesse in plek om die bedreiging te versag? Veral finansiëledienste-organisasies sal 'n dringende antwoord op sulke vrae nodig hê voor voldoening aan die EU's Wet op Digitale Operasionele Veerkragtigheid (DORA).
Van krag tot krag
Volgens een maatstaf gaan losprysware voort om te floreer. Hierdie jaar sal die hoogste inkomste ooit wees, volgens ontleding van kripto-betalings aan adresse wat aan misdadigheid gekoppel is. Volgens 'n Augustus-verslag van blockchain-ondersoeker Chainalysis, ransomware "invloeie" jaar-tot-datum (YTD) staan op $460m, sowat 2% hoër as dieselfde tyd verlede jaar ($449m). Die firma beweer hierdie toename is grootliks te wyte aan "grootwildjag" - die taktiek om agter minder groot korporatiewe slagoffers aan te gaan wat dalk meer bekwaam en gewillig is om groter lospryse te betaal. Die teorie word bevestig in een betaling van $75 miljoen deur 'n naamlose maatskappy, aan die Dark Angels ransomware-groep vroeër vanjaar - die grootste wat ooit aangeteken is.
In die algemeen het die mediaan-losprysbetaling aan die mees algemene losprysware-stamme ook gestyg - van net minder as $200,000 2023 vroeg in 1.5 tot $2024 miljoen in middel Junie XNUMX. Chainalysis beweer dit dui daarop "dat hierdie stamme prioritiseer om groter besighede en verskaffers van kritieke infrastruktuur te teiken wat kan meer geneig wees om hoë lospryse te betaal weens hul diep sakke en sistemiese belangrikheid. ”
Die oënskynlike sterkte van die ransomware-ekosisteem is meer indrukwekkend gegewe die wetstoepassingsoorwinnings van vroeër vanjaar, wat blykbaar twee groot groepe ontwrig het: LockBit en ALPHV/BlackCat. Chainalysis beweer dat hierdie pogings die kubermisdaad ondergronds ietwat gefragmenteer het, met affiliasies wat na "minder effektiewe stamme" beweeg het of hul eie begin. Dit klink saam met 'n Q2 2024-ontleding deur die losprys-spesialis Coveware, wat beweer 'n toename in die aantal "eensame wolf"-groepe waargeneem het wat nie met enige groot losprysware-"handelsmerk" geaffilieer is nie. Baie het hierdie besluit geneem "as gevolg van die toenemende bedreiging van blootstelling, onderbreking en winsverlies wat verband hou met 'giftige' losprysware-handelsmerke," sê dit.
Die slotsom is egter dat hierdie bedreigingsakteurs steeds aktief is. En met betalingskoerse wat gedaal het van 'n hoogtepunt van ongeveer 85% van slagoffers in 2019 tot ongeveer 'n derde daarvan vandag, is hulle altyd op soek na maniere om hul pogings doeltreffender te maak.
Tydsberekening is alles
'N Nuwe verslag van Malwarebytes se ThreatDown-groep onthul presies hoe hulle hoop om dit te doen. Dit beweer dat meer lospryswaregroepe die afgelope jaar slagoffers oor naweke en in die vroeë oggendure aangeval het. Die dreigementspan het die meeste aanvalle tussen 1:5 en XNUMX:XNUMX plaaslike tyd hanteer.
Die rede is voor die hand liggend: die bedreiging-akteurs hoop om 'n organisasie te vang wanneer sy IT-span vas aan die slaap is of die naweek sy batterye herlaai.
Verder beweer die verslag dat aanvalle vinniger word. Terug in 2022, a Splunk studie het 10 top ransomware-variante getoets en gevind dat die mediaanspoed vir die enkripteer van 100,000 lêers net 43 minute was, met LockBit die vinnigste van almal op net vier minute. Maar wat Malwarebytes sien, is 'n versnelling van die hele aanvalketting - van aanvanklike toegang tot laterale beweging, data-eksfiltrasie en uiteindelik enkripsie. Dit gee netwerkverdedigers nog minder tyd om te reageer en 'n bedreiging te bevat voordat dit te laat is.
Die verslag beweer ook dat meer kwaadwillige akteurs Living Off the Land (LOTL) tegnieke gebruik, wat wettige gereedskap en prosesse gebruik om binne netwerke weggesteek te bly terwyl hulle hierdie doelwitte bereik. “Onlangse klante-voorvalle van topbendes soos LockBit, Akira en Medusa onthul dat die meeste van die moderne losprysware-aanvalsketting nou uit LOTL-tegnieke bestaan,” sê dit.
Hoe om Ransomware-risiko in 2024 te verminder
Groot-wild-jagaanvalle kan die meeste van die nuus kry, maar die waarheid is dat die meeste losprysware-slagoffers tegnies SMB's is. Coveware beweer dat die mediaangrootte in Q2 2024 net 200 werknemers was. So, hoe kan hierdie organisasies hoop om snags en oor naweke teen sluipaanvalle te verdedig?
"Die enigste oplossing is om te verseker dat daardie bates om 1:1 met dieselfde ywer gemonitor word as om XNUMX:XNUMX," sê Mark Stockley, senior bedreigingsintelligensie-navorser van Malwarebytes, aan ISMS.online.
“Dit kan bereik word deur 'n interne sekuriteitsbedryfsentrum (SOC) te beman wat 24/7 werksaam is. Maar vir die meeste organisasies is dit meer prakties en kostedoeltreffend om ’n derdepartydiens, soos Managed Detection and Response (MDR), te gebruik of om ’n Bestuurde Diensverskaffer (MSP) dit te laat doen.”
Soos die DORA-era nader kom, sal sulke maatreëls toenemend nodig wees vir finansiëledienste-organisasies en hul verskaffers. Deurlopende monitering, 24/7-voorvalreaksiegereedheid, robuuste besigheidskontinuïteitsbeplanning en gereelde toetsing sal alles vereis word om reguleerders tevrede te stel dat veerkragtigheid op 'n gepaste vlak is.
Stockley glo dat beste praktykstandaarde en raamwerke soos ISO 27001 kan help om organisasies tot hierdie punt te bring.
“Soos enige standaard of raamwerk, is ISO 27001 'n middel tot 'n doel. Organisasies kan daarsonder by die vlak van inligtingsekuriteit uitkom wat hulle nodig het, maar standaarde en raamwerke kan as nuttige kaarte dien om hulle te help om daar te kom en daar te bly,” voeg hy by. “Die regte keuse van raamwerk hang af van die organisasie se vlak van sekuriteitsvolwassenheid. Uiteindelik gee kubermisdadigers nie om watter sertifisering jy het nie; hulle gee net om as hulle gestop word.”
