Hackere laver personlig ransomware for at målrette mod de mest profitable og sårbare

Når et stykke ransomware har fået fat i dine værdifulde oplysninger, der er meget lidt du kan gøre for at få det tilbage andet end at imødekomme angriberens krav. Ransomware, en type malware, der holder en computer til løsesum, er blevet særligt udbredt i de sidste par år, og praktisk talt ubrydelig kryptering har gjort det til en endnu stærkere kraft.

Ransomware leveres typisk af kraftfulde botnets, der bruges til at sende millioner af ondsindede e-mails til tilfældigt målrettede ofre. Disse har til formål at afpresse relativt små beløb (normalt £300-£500, men mere i nyere tid) fra så mange ofre som muligt. Men ifølge politibetjente, vi har interviewet fra britiske cyberkriminalitetsenheder, ransomware-angreb bliver i stigende grad målrettet mod ofre af høj værdi. Disse er normalt virksomheder, der har råd til at betale meget store summer, op til £1, 000, 000 for at få deres data tilbage.

I 2017 og 2018 var der en stigning i sådanne målrettede ransomware-angreb på britiske virksomheder. Angribere bruger i stigende grad software til at søge efter sårbare computere og servere og bruger derefter forskellige teknikker til at trænge ind i dem. Mest almindeligt, gerningsmænd bruger brute force-angreb (bruger software til gentagne gange at prøve forskellige adgangskoder for at finde den rigtige), ofte på systemer, der lader dig fjernbetjene computere.

Hvis angriberne får adgang, de vil forsøge at inficere andre maskiner på netværket og indsamle væsentlig information om virksomhedens forretningsdrift, IT-infrastruktur og yderligere potentielle sårbarheder. Disse sårbarheder kan omfatte, når netværk ikke effektivt er adskilt i forskellige dele, eller ikke er designet på en måde, der gør dem nemme at overvåge (netværkssynlighed), eller har svage administrationsadgangskoder.

De uploader derefter ransomwaren, som krypterer værdifulde data og sender en løsesumseddel. Ved hjælp af oplysninger som virksomhedens størrelse, omsætning og overskud, angriberne vil derefter anslå det beløb, virksomheden har råd til, og skræddersy deres krav om løsesum i overensstemmelse hermed. Betaling anmodes typisk om i kryptovaluta og normalt mellem 35 og 100 bitcoins (værdi på tidspunktet for offentliggørelsen £100, 000–288 £, 000).

Ifølge de politibetjente, vi talte med, en anden populær angrebsmetode er "spear phishing" eller "big game jagt". Dette går ud på at undersøge specifikke personer, der håndterer økonomi i en virksomhed, og sende dem en e-mail, der foregiver at være fra en anden medarbejder. E-mailen vil fremstille en historie, der opfordrer modtageren til at åbne en vedhæftet fil, normalt et Word- eller Excel-dokument, der indeholder skadelig kode.

Denne form for målrettede angreb udføres typisk af faggrupper udelukkende motiveret af profit, selvom nogle angreb søger at forstyrre virksomheder eller infrastruktur. Disse kriminelle grupper er højt organiserede, og deres aktiviteter udvikler sig konstant. De er metodiske, omhyggelig og kreativ i at afpresse penge.

For eksempel, traditionelle ransomware-angreb beder om et fast beløb som en del af en indledende skræmmende besked, nogle gange ledsaget af et nedtællingsur. Men i mere målrettede angreb, gerningsmændene smider typisk en "proof of life"-fil på ofrets computer for at demonstrere, at de kontrollerer dataene. De vil også sende kontakt- og betalingsoplysninger for frigivelse af data, men også åbne op for en hård forhandlingsproces, som nogle gange er automatiseret, at trække så mange penge ud som muligt.

Ifølge politiet de kriminelle foretrækker normalt at målrette fuldt digitaliserede virksomheder, der er stærkt afhængige af it og data. De har en tendens til at favorisere små og mellemstore virksomheder og undgår store virksomheder, der har mere avanceret sikkerhed. Store virksomheder er også mere tilbøjelige til at tiltrække mediernes opmærksomhed, hvilket kan føre til øget politiinteresse og væsentlige forstyrrelser i de kriminelle operationer.

Sådan beskytter du dig selv

Så hvad kan der gøres for at kæmpe tilbage mod disse angreb? Vores arbejde er en del af multi-universitetsforskningsprojektet EMPHASIS, der studerer det økonomiske, sociale og psykologiske konsekvenser af ransomware. (endnu ikke offentliggjorte) data indsamlet af EMPHASIS indikerer, at svag cybersikkerhed i de berørte organisationer er hovedårsagen til, at cyberkriminelle har haft så stor succes med at afpresse penge fra dem.

En måde at forbedre denne situation på ville være bedre at beskytte fjernadgang til computere. Dette kan gøres ved at deaktivere systemet, når det ikke er i brug, og brug af stærkere adgangskoder og to-trins godkendelse (når en anden, specielt genereret kode er nødvendig for at logge ind sammen med en adgangskode). Eller alternativt skifte til et virtuelt privat netværk, som forbinder maskiner via internettet, som om de var i et privat netværk.

Da vi interviewede cyberkriminalitetsforsker Bob McArdle fra it-sikkerhedsfirmaet Trend Micro, han fortalte, at e-mail-filtre og antivirussoftware, der indeholder dedikeret ransomware-beskyttelse, er afgørende. Virksomheder bør også regelmæssigt sikkerhedskopiere deres data, så det er lige meget, om nogen beslaglægger originalen. Sikkerhedskopier skal testes og opbevares på steder, der er utilgængelige for ransomware.

Denne form for kontrol er afgørende, fordi ransomware-angreb har tendens til at efterlade meget få beviser og derfor i sagens natur er vanskelige at efterforske. Som sådan, målrettede ransomware-angreb vil ikke stoppe med det første, og angribere vil sandsynligvis kun blive mere sofistikerede i deres metoder. Angribere er meget adaptive, så virksomheder bliver nødt til at reagere lige så smart.

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel. Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel