Ransomware hybrid.jpg

Ransomware-angreb stiger med farligere hybrider i sigte

Genfremkomsten af REvil og forventet konvergens med business email kompromis hackere er blandt grundene til, at ransomware bander stadig er farlige.

I løbet af de sidste mange år har fremkomsten af store, destruktive ransomware-angreb rystet flere regeringer til handling for at begrænse de overvejende russisk-baserede trusselsaktører bag svøben. Samtidig har ransomware været en kritisk faktor, der driver væksten i virksomhedernes cybersikkerhedsbudgetter, da organisationer kæmper med den ofte lammende trussel.

På trods af de politiske foranstaltninger og øget finansiering fra den private sektor for at bremse bølgen af angreb forblev ransomware-trusler et topemne på dette års RSA-konference. Eksperter ved arrangementet understregede, at russiske statssanktionerede kriminelle aktører ikke er de eneste ransomware-trusselsaktører, der skal frygtes, og ransomware-angreb falder heller ikke på trods af den intensiverede indsats for at nippe dem i opløbet. De samme handlinger, der træffes for at kvæle ransomware-aktivitet, kan ende med at skabe alliancer mellem økonomisk motiverede trusselsaktører for at skabe hybride cyberangreb, der smelter social engineering sammen med ransomware.

Iran er en ransomware innovator

Taler på RSA, Dmitri Alperovitch, administrerende formand for Silverado Policy Accelerator og medstifter og tidligere CTO hos CrowdStrike, sagde, at Iran er en innovator inden for ransomware med sin SamSam ransomware. Han bemærkede, at det var en iransk gruppe, der angreb byen Atlanta og staten Colorado med denne malware, og det var Iran, der først introducerede storvildtjagt i stor skala.

“Ikke bare forsøger de at målrette mod et system inden for et netværk og låse det op, men virkelig gøre en indtrængen og derefter rulle ransomware over hele netværket for at forsøge at få så stor en løsesum som muligt, som vi nu har set fra alle andre grupper som REvil, LockBit, og andre,” sagde han. “En af de ting, som iranerne gør, og vi ser det også i det kriminelle rum, er at lække data for at chikanere organisationer.”, sagde Alperovitch.

Ransomware-angreb stiger stadig

Sandra Joyce, Executive Vice President og leder af Mandiant Intelligence and Advanced Practices, sagde, at det er vildledende at tro, at ransomware-angreb går ned, en almindelig misforståelse i kølvandet på Ukraines invasion af Rusland. “Hvis du ser på 1. kvartal år efter år og 2. kvartal år efter år, er det man ser, en meget kraftig stigning,” siger hun.

“Jeg kan fortælle, at vi i Mandiant så en stigning i den sidste halvanden uge.” Joyce pegede især på at udskamme ofre for webstedet, “hvor hvis du ikke betaler og ind i mellem også på tidspunkter, hvor du rent faktisk betaler, vil hackerne gå hen og smide dine data der.”

Nogle gange er ransomware ikke en faktor i hackergruppers angreb. “Meget af det, vi måler for ransomware, bliver blandet med datatyveri og afpresning, og der er muligvis ikke behov for at droppe malware overhovedet,” sagde Joyce. “Og vi har forudsagt i et stykke tid, at disse angreb ikke kunne have noget at gøre med malware. Det kan simpelthen være afpresning og datatyveri, og det bliver også målt som ransomware. Så, det at tænke på er meget af det, der sker i ransomware-rummet med eller uden malware, er en taktik til at undgå sanktioner.”

REvil kommer tilbage fra de døde

Men ransomware nyheder er ikke alle dårlige, Alperovitch sagde. “Vi havde nogle gode nyheder på ransomware-fronten. I januar, en måned før [Ruslands invasion af Ukraine], greb russerne ind over for 14 personer, der var en del af denne gruppe, REvil, der var ansvarlig for nogle af de mest profilerede angreb sidste år.”

Den seneste udvikling har undermineret selv dette lyspunkt. “Problem løst, ikke?” Sagde Alperovitch. “Nå, ikke så hurtigt. Den lille ting, der hedder krig, skete, og det resulterede selvfølgelig i et sammenbrud i kommunikationen mellem cyberholdene i den amerikanske regering og russiske cyberhold. Forståeligt nok.«

“Det, du ser nu, er udtalelser fra advokater for disse personer hjemme i Rusland, der siger: ‘Nå, det viser sig, at USA ikke giver nogen oplysninger, som vi kan … brug i retsforfølgningen af disse personer. Så [anklagerne] burde bare droppe anklagerne og lade dem gå.« Det er uklart, om det endnu er sket.«

Derfor vender den produktive trusselsgruppe tilbage til livet i, hvad Alperovitch sagde, er et utroligt modstandsdygtigt økosystem, der spreder ansvar på tværs af mange specialiserede aktører i gruppen. “En af de ting, vi ser nu, er, at REvil begynder at komme tilbage. Nogle af deres websteder og tor-netværk er kommet tilbage, og det skal vi holde meget nøje øje med.”

Costa Ricas ransomware-angreb er en advarselsfortælling

Det nylige ransomware-angreb på Costa Rica, der har kostet landet hundreder af millioner af dollars i tabt produktivitet og ansporet Conti ransomware-angriberne til at opfordre til at vælte landets regering, fremhæver ransomwares vedvarende destruktive kraft. Matt Olsen, assisterende justitsminister for national sikkerhed ved det amerikanske justitsministerium, signalerede, at angrebet på Costa Rica sandsynligvis ikke er målrettet, men sandsynligvis er et tilfælde af ukontrolleret ransomware.

Olsen sagde, at Costa Rica-angrebet er mulig “spillover” -skade fra den russiske ransomware-gruppes operationer. “Når man ser på, hvad der skete med NotPetya, hvor det russiske angreb virkelig var fokuseret på Ukraine, var det en slags falsk ransomware-angreb. Men det spredte sig straks uden for Ukraines grænser. Det er karakteren af denne type angreb. De anerkender ikke nationale grænser. Jeg synes, det er en advarselsfortælling, hvor man ser, at der er al mulig grund til at tro, at Rusland vil udvide sin rækkevidde til lande og steder ved hjælp af grupper, der skal hjælpe med at nå sine mål.”

Ransomware- og BEC-aktører kan konvergere i løbet af det næste års tid

To af de øverste økonomisk motiverede cyberangreb, ransomware og business email compromise (BEC), er steget parallelt i løbet af de sidste fem til seks år, selvom “de er på helt modsatte sider af cyberkriminalitetsspektret” med hensyn til raffinement, Crane Hassold, direktør for trusselsefterretning hos Abnormal Security, fortalte konferencedeltagerne.

Ransomware er en stærkt koncentreret specialitet med et centraliseret økosystem. Næsten to tredjedele af al ransomware-aktivitet mellem 2020 og 2021 kunne tilskrives kun tre ransomware-grupper, sagde Hassold. “Lige nu, over 50% af ransomware-aktiviteten tilskrives Conti eller LockBit.”

På den anden side er BEC begået af tusindvis af hackere med ringe central instruktion, for det meste på steder som Vestafrika eller Nigeria. På trods af disse forskelle, Hassold mener, at ransomware-aktører vil trække til BEC i løbet af de næste 12 til 18 måneder, hovedsageligt fordi offentlige myndigheder gør det vanskeligt for ransomware-bander at blive betalt via kryptokurrency. “Det friktionsløse miljø, som kryptokurrencytransaktioner tidligere gav, vil begynde at gå væk, og det vil gøre det meget vanskeligere at gøre disse transaktioner til mere ondsindede og ulovlige formål,” sagde han. “På grund af det vil det samlede investeringsafkast, den samlede indsats, der er nødvendig for at foretage disse transaktioner, begynde at skabe faldende afkast for hackerne.”

Ransomware-grupper “vil dreje et andet sted for at tjene penge, og efter min mening er det, vi måske ser i de næste 12 til 18 måneder, denne væsentlige konvergens mellem ransomware-grupper og BEC-rummet til at skabe dette sofistikerede hybrid social engineering-angreb, der i det væsentlige tager til i omfang og raffinement.”

Kilde: CSOonline

Foto: Pexels