Ransomware var rampant i 2017, og sykeforberedte brukere ble fanget utenfor vakt. Dette spredte seg i utbredt panikk som ofre forvrengt for å sikre verdifulle data, ofte underkastet kriminelle krav til å betale stadig dyrere løsninger via kryptokurrency, som skyroket i verdi selv. Dessverre, at møte disse kravene ikke garanterte at filer ville bli returnert ubeskadiget, hvis det hele tatt er et gunstig år for ransomware forfattere.

Over tid blir det stadig vanskeligere for ransomwareforfattere å skremme ofrene til å betale for å redde dataene sine, med mer adopsjon av enkle, gode metoder som rettidig og skybackups. Dette kombinert med flere brukere som setter til Windows 10, et mer sikkert operativsystem, har tvunget hackere til å bli mer kreative. Ransomware-trusselen er fortsatt ekte, og bruker faktisk en mer målrettet forretningsmodell gjennom usikrede RDP-tilkoblinger (Remote Desktop Protocol) som angrepsvektoren.

  • Vi har også markert det beste antivirusprogrammet

Utnytte usikrede RDP-tilkoblinger

Mens RDP-tilkoblinger støtter moderne arbeidspraksis, ved å muliggjøre off-premise-tilgang til en maskin og et nettverk, kan de fungere som en svak lenke i en organisasjons sikkerhet mot sikkerhet. Denne angrepsvektoren blir stadig mer populær blant cyberkriminelle som bruker verktøy som Shodan til å skanne etter bedrifter som ikke har opprettet tilstrekkelige RDP-innstillinger, slik at deres miljøer er åpne for infiltrering. Selv de mindre sofistikerte nettkriminellene kan besøke den "mørke nettsiden" for å kjøpe RDP-tilgang til allerede hackede maskiner. Når et gitt system er tilgjengelig, kan kriminelle bla gjennom alle dataene på systemet eller delte stasjoner for å vurdere verdien. Dette hjelper den kriminelle å avgjøre om ransomware eller andre nyttelast skal distribueres - det som vil ha størst innvirkning og lønnsomhet. Denne målrettede tilnærmingen forbedrer sjansene for at en organisasjon betaler løsepenge, da det krypterte innholdet vil være av høyeste verdi og betydning.

Cyberkriminelle i aksjon

Dette er ikke teoretisk. Den beryktede SamSam Ransomware-gruppen og deres kampanjer lagde millioner i kryptokurrency tidligere i år, takket være feil konfigurert RDP. Høyprofileangrep dominerte overskriftsnyheter når de slått av regjeringer i Atlanta og Colorado, sammen med medisinsk testing gigantisk LabCorp. I tilfeller av Atlanta og Colorado valgte disse statene ikke å betale løsepenge og i stedet bestemte seg for å gjenoppbygge sine IT-systemer til over 2,5 millioner dollar (i tilfelle Atlanta). Men det er nå flere levedyktige valg for nyttelaster i et RDP-kompromiss. Fordi den kriminelle kan se all maskinvaren installert, er det enkelt å avgjøre om den installerte CPU og GPU ville levere mer profit mining cryptocurrency enn hvis angriperne bare distribuert en ransomware infeksjon.

Forsvar mot angrep

Betydningen av utdanning kan ikke understates og spiller en avgjørende rolle i å beskytte en organisasjon mot kompromiss. IT-avdelinger lar ofte standardportene åpne og er lax om passordpolitikk, understreker virkeligheten at ansatte er den svakeste lenken. Kontinuerlig opplæring om hvordan man konfigurerer miljøet og etablerer en baseline av robusthet er like viktig for et selskap med 50 ansatte som for et multinasjonalt selskap. I følge Webroot Mid-Year Threat Report 2018 så organisasjonene som implementerte 11 eller flere sikkerhetsbevissthetskampanjer, deres phishing-e-post-klikkfrekvens, til 13%. I tillegg bør vurdering av effekten av denne opplæringen gjøres, styrket av en omfattende katastrofeutvinningsplan.

Ransomware fortsetter å pest organisasjoner av forskjellige størrelser og næringer. De siste angrepene på San Diego Port Authority og Bristol Airport markerer direkte innvirkning og forstyrrelser som kan oppstå, selv til offentlige tjenester. Det beste forsvaret er utdanning for sikkerhetsopplæring for ansatte - spesielt rundt å unngå phishing-angrep som kan kompromittere systemets legitimasjon - kombinert med å installere anti-malware-programvare for å beskytte verdifull informasjon. Ingen organisasjon er unntatt fra angrep, og bare en robust sikkerhetsstilling vil redusere disse truslene.

Tyler Moffitt, Senior Threat Research Analyst på Webroot