Creșterea ransomware-ului cu dublă extorcare

Publicat: 2022-01-11

De ani de zile, întreprinderile au fost nevoite să se confrunte cu amenințarea atacurilor ransomware. Hackurile profitabile declanșează ravagii pentru funcțiile zilnice de lucru ale unei organizații, închizând dispozitivele și furând informații private și particulare. Ca răspuns, know-how-ul tehnologic și sistemele de prevenire continuă să avanseze, dar la fel progresează și modalitățile utilizate de criminali. În ultimele douăsprezece luni s-a observat o creștere remarcabilă a selecției acestor atacuri, deoarece atacatorii oportuniști se apropie de mediile de stabilitate slăbite ale operațiunii hibride. 30-7% dintre firmele din insulele britanice au raportat un incident de încălcare a faptelor Biroului Comisarului pentru Date (ICO) în acest an.

Îmbunătățirea abordărilor și recunoașterii securității cibernetice i-a forțat pe atacatori să-și evolueze procedurile, crescând în noi teritorii de întreprinderi care îngreunează pașii lor de reglementat. Motivațiile infractorilor cibernetici se schimbă, de asemenea, trecând de la deținerea afacerilor până la obținerea de răscumpărare pentru bani, la cauzarea unor perturbări cât mai semnificative pe cât posibil, din cauza factorilor politici, cum ar fi închiderea masivă a vieții de zi cu zi - servicii de experți semnificative.

Anterior, în acest an calendaristic, am observat o blocare a produselor și serviciilor pentru Colonial Pipeline în SUA datorită unui atac de tip ransomware care a făcut presiuni pe compania nepublică să scoată 5 milioane de dolari în Bitcoin pentru a recâștiga reglementarea și a păstra soluțiile. Exact în aceeași lună, guvernul irlandez pentru servicii de bunăstare a fost supus stresului pentru a oferi un cost de răscumpărare de 20 de milioane de dolari pentru achiziționare pentru a ajuta la salvarea informațiilor proprii ale pacienților lor probabil publice. Chiar și după ce a fost proiectat un aranjament, informațiile 520 și-au făcut totuși drum pe internetul slab, evidențiind și mai mult, totuși, imprevizibilitatea criminalilor.

Evoluția atacurilor ransomware a avut loc semnificativ în ultimii câțiva ani. Acum, ca un substitut al criptării informațiilor și al ținerii proprietarului la răscumpărare, ransomware-ul cu dublă extorcare implică atacatorul să exfiltreze mai întâi informațiile și să facă copii de siguranță standardizate ale faptelor și proiecte de restaurare a datelor depășite la cumpărare, pentru a forța antreprenorii să ia mâna. Infractorii au identificat o cale diferită pentru extorcare, iar companiile vor să fie pregătite să cucerească acest nou pericol.

Ce este ransomware-ul cu dublă extorcare și cât de real este riscul?

Ransomware-ul cu dublă extorcare le permite infractorilor nu numai să ceară de la clienți o răscumpărare pentru datele furate, ci și să o folosească ca un angajament fals pentru a împiedica eliberarea publicului. Dacă răscumpărarea nu este plătită în intervalul de timp necesar, infractorii o vor publica pentru ca toți să o vadă, împreună cu probabilii concurenți.

Ei amenință o comunitate și/sau o campanie de marketing „nume și rușine” pentru clienți dacă nu plătiți niciodată și, în conformitate cu cercetările Emisoft, gama de criminali cibernetici care adoptă tactica „nume și rușine” se extinde. Explorarea a constatat că din 100.101 rapoarte obținute de atacuri ransomware asupra fiecărei companii și organismele din sectorul comunitar, 11,6% dintre acești oameni au fost de către echipe care fură și publică date în atacuri în stil „nume și rușine”.

Există, de asemenea, o dezvoltare a crimeware-as-a-service de către actorii statului național, care introduc din ce în ce mai mult tensiunile geopolitice. Țările-state cumpără echipamente și servicii de experți de pe dark web, în timp ce instrumentele dezvoltate de statele-națiune își fac, de asemenea, drum spre industria neagră.

Deci, cum pot corporațiile să depășească acest risc în creștere?

Pericolul dublat, dublarea pregătirii necesare pentru restaurare

Pentru ca un atacator să fie profitabil în a extorca o răscumpărare, ar trebui să înceapă să se asigure că recuperarea detaliilor la îndemână este imposibilă, în orice alt caz, ei operează șansa ca factorii de decizie să nu reușească să iasă. Deci, dezactivează sau ruinează backup-urile, construindu-le pe baza extrem de greu de recuperat orice detalii utile. Apoi, își convertesc brațele la detaliile de producție.

Prin stabilirea unei strategii focalizate de gestionare a posibilităților de informații compromise, firmele sunt gata să-și sporească șansele și să facă mult mai posibilă recuperarea detaliilor compromise cibernetice, în comparație cu cazul în care ar urma să folosească o abordare standardizată de restaurare a detaliilor. Nevoile de ransomware nu au fost în niciun caz mai mari și pregătirea unui grup trebuie să regândească planurile existente de restaurare a datelor.

Pentru a face față acestor dificultăți recurente, corporațiile vor trebui să adopte o strategie pentru cele mai importante cinci metode de recuperare a informațiilor deteriorate:

Recunoașteți ― Identificarea și justificarea bunurilor de informații vitale (VDA) ale organizației. Acestea sunt informațiile care necesită un grad suplimentar de siguranță. Sunt organizațiile care ar trebui să aibă detalii.
Securizat — Capabilități de a crește șansele ca să aveți detalii recente complet curățate de restaurat, de exemplu o copie sigură care este protejată de un atac cibernetic.
Detect ― Identificarea vulnerabilităților punctelor slabe ale controalelor dvs. care pot maximiza riscul organizației de a ajunge la VDA-urile sale.
Reacționează — Planurile, procedurile, strategiile care trebuie urmate în urma unei părți care compromite detaliile profitabile.
Îmbunătățiți-vă ― Repetițiile, evaluările și rutinele care pregătesc echipele pentru această eventualitate.

Stabilirea unui plan eficient

Toate firmele sunt expuse riscului de atacuri ransomware. Peisajul pericolului care se modifică rapid a pus în discuție instrumentele actuale de detectare. Ele nu mai sunt un mijloc de succes pentru a combate toate atacurile și a preveni declinul uriaș al faptelor. Lăsând deoparte actorii amenințărilor exterioare, toate corporațiile concurează și cu posibilitatea amenințărilor interioare, posibilul personal nemulțumit primind acces privilegiat în interiorul comunității și informații și fapte. Învățătura în domeniul securității cibernetice a avut loc în mod vertiginos în câțiva ani moderni, dar eroarea umană continuă să rămână un risc masiv pentru companii, în special pentru persoanele care funcționează în medii hibride.

În cele din urmă, depinde de fiecare firmă individuală să apară la imaginea de ansamblu și, pe baza unor factori de vedere unici, să stabilească un sistem de recuperare a informațiilor. Importanța unui atac ransomware clasic pur și simplu nu poate fi subestimată, dar capcanele care sunt asociate cu noile tactici sunt, fără îndoială, mult mai importante pentru întreprinderile mici. Reputația de marcă deteriorată și credința cumpărătorului deteriorată pot fi de obicei ireparabile. Înainte de a permite infractorilor oportuniști să aleagă păstrarea unei firme, liderii întreprinderilor mici trebuie să accelereze organizația completă pe protocol și să funcționeze cu atenție cu administrația guvernamentală, asupra căreia datele trebuie să fie prioritatea pe parcursul unei misiuni de restaurare. În această etapă, organizațiile pot începe să simtă protejate că detaliile, bunurile și infrastructurile lor vor rămâne intacte chiar și în confruntarea cu adversitatea.

Chris Huggett, SVP EMEA, Sungard Availability Providers