Innlegg

Hva er Ransomware?

Spør du noen gang deg selv hva som er løsepengevare eller hvordan det kan påvirke deg? Formålet med løsepengeprogramvare er å kryptere viktige filer ved hjelp av skadelig programvare. De kriminelle krever deretter betaling fra deg i bytte for dekrypteringsnøkkelen, og utfordrer deg til å bevise at du har betalt løsepenger før de vil gi deg instruksjoner for å gjenopprette filene dine. Det tilsvarer å betale en kidnapper for løslatelsen av din kjære.

"Det var 236,1 millioner ransomware-angrep over hele verden i første halvdel av 2022. Mellom andre og fjerde kvartal 2021 var det 133 millioner færre angrep, en kraftig nedgang fra omtrent 189 millioner tilfeller." ~Statista

Ransomware har vært i nyhetene, og du har sikkert sett rapporter om datamaskiner som låser seg til folk betaler for en nøkkel for å rømme. Men hva er det egentlig, hvordan fungerer det, og hvordan kan vi forsvare oss mot det?

Hvordan fungerer ransomware?

Ransomware er vanligvis installert som et vedlegg til spam-e-post eller utnyttelse av programvaresårbarheter på offerets datamaskin.

Infeksjonen kan være skjult i en fil brukeren laster ned fra Internett eller installert manuelt av en angriper, ofte via programvare pakket med kommersielle produkter.

Når den er installert, venter den på en utløsertilstand (som tilkobling til Internett) før den låser systemet og krever løsepenger for utgivelsen. Løsepengene kan betales med enten kryptovalutaer eller kredittkort.

Typer løsepengeprogramvare

"Fra 2021 var den gjennomsnittlige kostnaden for brudd på løsepenger 4,62 millioner dollar, ikke inkludert løsepenger." ~IBM

Her er noen vanlige typer:

Vil gråte

I 2017 påvirket løsepengevareovergrepet kjent som WannaCry mer enn 150 nasjoner. Etter å ha infisert en Windows-maskin, krypterer WannaCry brukerfiler og krever løsepenger for bitcoin for å låse dem opp.

Locky

Locky er en av de eldste formene for løsepengevare og ble først oppdaget i februar 2016 . Skadevaren krypterer filer raskt og spres gjennom phishing-e-poster med vedlegg som ser ut som fakturaer eller andre forretningsdokumenter.

Labyrint

Maze er en nyere løsepengevare som først ble oppdaget i mai 2019 . Den fungerer på samme måte som Locky, bortsett fra at den avslutter krypterte filnavn med .maze i stedet for locky. Spam-e-poster sprer også Maze, men den infiserer datamaskinen din ved å åpne en vedlagt fil.

Ikke Petya

I følge tidlige rapporter er NotPetya en løsepengevarevariant av Petya, en stamme som opprinnelig ble oppdaget i 2016 . Nå er NotPetya en type skadelig programvare kalt en wiper, som ødelegger data i stedet for å kreve løsepenger.

Scareware

Scareware er falsk programvare som krever betaling for å fikse problemer den hevder å ha funnet på datamaskinene dine, for eksempel virus eller andre problemer. Mens noen scareware låser datamaskinen, metter andre skjermen med popup-varsler uten å forårsake filskade.

Doxware

Som et resultat av doxware eller lekkasje, blir folk skremt og betaler løsepenger for å forhindre at deres konfidensielle informasjon lekkes på nettet. En variant er løsepengevare med polititema. En bot kan bli betalt for å unngå fengselsstraff, og selskapet utgir seg som rettshåndhevelse.

Petya

Petya løsepengevare krypterer hele datamaskiner, i motsetning til flere andre varianter. Petya overskriver hovedoppstartsposten, noe som hindrer operativsystemet i å starte opp.

Ryuk

Ryuk infiserer datamaskiner ved å laste ned skadelig programvare eller sende phishing-e-poster. Den bruker en dropper for å installere en trojaner og etablere en permanent nettverksforbindelse på offerets datamaskin. APT-er er laget med verktøy som keyloggere, rettighetseskalering og sidebevegelse, som alle begynner med Ryuk. Angriperen installerer Ryuk på alle andre systemer han har tilgang til.

Hva er Ransomwares innvirkning på virksomheten?

Ransomware er en av de raskest voksende cybertruslene i dag. 

Her er noen av måtene løsepengevare kan påvirke virksomheten din på:

  • Ransomware kan kompromittere dataene dine, noe som kan være dyrt å gjenopprette eller erstatte.
  • Systemene dine kan bli skadet uten å repareres, ettersom noen løsepengevareangrep overskriver filer med tilfeldige tegn til de er ubrukelige.
  • Du kan oppleve nedetid og tap av produktivitet, noe som kan føre til tapt inntekt eller kundelojalitet.
  • Hackeren kan stjele bedriftens data og selge dem på det svarte markedet eller bruke dem mot andre selskaper i fremtidige angrep.

Hvordan beskytte bedriften din mot ransomware-angrep?

"Installer sikkerhetsprogramvare og hold den oppdatert med sikkerhetsoppdateringer. Mange løsepengevareangrep bruker tidligere versjoner som mottiltak for sikkerhetsprogramvare er tilgjengelige for." ~Steven Weisman, professor ved Bentley University. 

For å beskytte virksomheten din mot løsepengeprogramvare, kan du gjøre følgende:

Nettverkssegmentering

Nettverkssegmentering er prosessen med å isolere ett nettverk fra et annet. Ved å isolere nettverk kan du beskytte virksomheten din og dens data. 

Du bør opprette separate segmenter for offentlig Wi-Fi, ansattes enheter og intern nettverkstrafikk. På denne måten, hvis et angrep skjer i ett segment, vil det ikke påvirke de andre.

AirGap-sikkerhetskopier

AirGap-sikkerhetskopier er en type sikkerhetskopiering som er helt offline og ikke kan nås uten å fysisk fjerne lagringsenheten fra datamaskinen den er koblet til. Tanken er at hvis det ikke er noen måte å få tilgang til filene på den enheten, så er det ingen måte en angriper kan få tilgang til dem heller. Et godt eksempel på dette vil være å bruke en ekstern harddisk som er fullstendig frakoblet alle internettforbindelser eller andre enheter med tilgang til den.

Domenebasert meldingsautentisering, rapportering og samsvar

Oftere enn ikke distribueres løsepengevare via e-post. Uredelige e-poster kommer med phishing-lenker som kan sette i gang løsepenge-installasjoner på datamaskinen din. For å forhindre dette fungerer DMARC som den første forsvarslinjen mot løsepengevare.

DMARC forhindrer phishing-e-poster i å nå kundene dine i utgangspunktet. Dette hjelper til med å stoppe løsepengeprogramvare distribuert via e-post ved roten av starten. For å lære mer, les vår detaljerte veiledning om DMARC og løsepengevare .

Minste privilegium (null tillit for brukertillatelser)

Minst privilegium refererer til å gi brukere bare de minste tillatelsene som er nødvendige for rollene deres i organisasjonen din. Når du ansetter noen nye eller tilordner en rolle i bedriften din, vil du bare gi dem de tillatelsene som er nødvendige for deres spesifikke rolle – ikke mer eller mindre enn det som kreves for at de skal kunne utføre jobben sin effektivt.

Beskytt nettverket ditt

Brannmurer er den første forsvarslinjen for nettverk. Den overvåker innkommende og utgående trafikk på nettverket ditt og blokkerer uønskede tilkoblinger. Brannmuren kan også overvåke trafikk for visse applikasjoner, for eksempel e-post, for å sikre at den er trygg.

Personalopplæring og phishing-tester

Trening av ansatte i phishing-angrep er viktig. Dette vil hjelpe dem med å identifisere phishing-e-poster før de blir et stort selskapsproblem. En phishing-test kan også hjelpe med å identifisere ansatte som kan være mer utsatt for phishing-angrep fordi de ikke vet hvordan de skal identifisere dem riktig.

Vedlikehold og oppdateringer

Regelmessig vedlikehold av datamaskinene dine vil bidra til å forhindre skadelig programvare fra å infisere dem i utgangspunktet. Du bør også oppdatere all programvare regelmessig for å sikre at feil blir fikset så snart som mulig og at nye programvareversjoner blir utgitt med nye sikkerhetsfunksjoner innebygd.

Relatert lesing: Hvordan gjenopprette fra et Ransomware-angrep?

Konklusjon

Ransomware er ikke en feil. Det er en bevisst angrepsmetode, med ondsinnede implementeringer som spenner fra litt irriterende til direkte ødeleggende. Det er ingen tegn på at løsepengevare vil avta, og virkningen er betydelig og økende. Alle virksomheter og organisasjoner må være forberedt på dette.

Du må være på toppen av sikkerheten for å gjøre deg selv og virksomheten din trygg. Bruk verktøyene og veiledningene som tilbys av PowerDMARC hvis du vil holde deg trygg fra disse sårbarhetene.

/av

Ransomware-as-a-Service (RaaS) forklart

De siste årene har det sett økte angrep på løsepengeprogramvare, infisering av datamaskiner og tvunget brukere til å betale bøter for å få tilbake dataene sine. Ettersom nye løsepengevare-taktikker som dobbel utpressing viser seg å være vellykket, krever kriminelle større løsepenger. Løsepengekrav var i gjennomsnitt 5,3 millioner dollar i første halvdel av 2021, opp med 518 % i samme periode i 2020. Siden 2020 har den gjennomsnittlige løsepengeprisen steget med 82 prosent, og nådde 570 000 dollar i første halvdel av 2021 alene.

RaaS, eller Ransomware-as-a-Service, gjør dette angrepet enda farligere ved å la hvem som helst starte løsepengeangrep på hvilken som helst datamaskin eller mobilenhet med noen få klikk. Så lenge de har en internettforbindelse, kan de ta kontroll over en annen datamaskin, til og med en som brukes av sjefen eller arbeidsgiveren din! Men hva betyr egentlig RaaS? 

Hva er Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-service (RaaS) har blitt en populær forretningsmodell i økosystemet for nettkriminalitet. Ransomware-as-a-service lar nettkriminelle enkelt distribuere løsepengevare-angrep uten at noen trenger kunnskap om koding eller hacking.

En RaaS-plattform tilbyr en rekke funksjoner som gjør det enkelt for kriminelle å starte et angrep med liten eller ingen ekspertise. RaaS-leverandøren vil gi skadevarekoden, som kunden (angriperen) kan tilpasse for å passe hans behov. Etter tilpasning kan angriperen distribuere den umiddelbart via plattformens kommando- og kontrollserver (C&C). Ofte er det ikke behov for en C&C-server; en kriminell kan lagre angrepsfilene på en skytjeneste som Dropbox eller Google Drive.

RaaS-leverandøren tilbyr også støttetjenester som inkluderer teknisk assistanse med betalingsbehandling og dekrypteringsstøtte etter et angrep.

Ransomware-as-a-Service forklart på vanlig engelsk

Hvis du har hørt om Sofware-as-a-Service og vet hvordan det fungerer, bør det være vanskelig å forstå RaaS siden den opererer på et lignende nivå. PowerDMARC er også en SaaS-plattform da vi påtar oss rollen som problemløsere for globale virksomheter som hjelper dem med å autentisere domenene sine uten å legge inn manuell innsats eller menneskelig arbeid. 

 

Dette er akkurat hva RaaS er. Teknisk begavede ondsinnede trusselaktører over internett danner et konglomerat som opererer i form av en ulovlig virksomhet (som vanligvis selger tjenestene sine over det mørke nettet), som selger ondsinnede koder og vedlegg som kan hjelpe hvem som helst over internett å infisere ethvert system med løsepengevare. De selger disse kodene til angripere som ikke ønsker å gjøre den vanskeligere og tekniske delen av jobben selv og søker i stedet etter tredjeparter som kan bistå dem. Når angriperen har foretatt kjøpet, kan han fortsette å infisere et hvilket som helst system. 

Hvordan fungerer Ransomware-as-a-Service?

Denne formen for inntektsmodell har nylig vunnet mye popularitet blant nettkriminelle. Hackere distribuerer løsepengevare på et nettverk eller system, krypterer data, låser tilgang til filer og krever løsepenger for dekrypteringsnøkler. Betalingen er vanligvis i bitcoin eller andre former for kryptovaluta. Mange løsepengevarefamilier kan kryptere data gratis, noe som gjør utviklingen og distribusjonen kostnadseffektiv. Angriperen sikter bare hvis ofrene betaler; ellers tjener de ingen penger på det. 

De fire RaaS-inntektsmodellene:

Selv om det kan være mulig å bygge løsepengevare fra bunnen av ved hjelp av et botnett og andre fritt tilgjengelige verktøy, har nettkriminelle et enklere alternativ. I stedet for å risikere å bli tatt ved å bygge verktøyet sitt fra bunnen av, kan kriminelle abonnere på en av fire grunnleggende RaaS-inntektsmodeller: 

  • Tilknyttede programmer
  • Månedlige abonnementer
  • Massesalg
  • Hybrid abonnement-massesalg

Det vanligste er et modifisert affiliateprogram fordi tilknyttede selskaper har mindre overhead enn profesjonelle nettkriminelle som ofte selger skadevaretjenester på underjordiske fora. Tilknyttede selskaper kan registrere seg for å tjene penger ved å promotere kompromitterte nettsteder med lenker i spam-e-poster sendt til millioner av ofre over tid. Etter det trenger de bare å betale ut når de mottar løsepenger fra ofrene sine.

Hvorfor er RaaS farlig?

RaaS gjør det mulig for nettkriminelle å utnytte sine begrensede tekniske evner til å tjene på angrep. Hvis en nettkriminell har problemer med å finne et offer, kan han selge offeret til et selskap (eller flere selskaper).

Hvis en nettkriminell synes det er utfordrende å angripe nettbaserte mål, er det nå organisasjoner som vil selge ham sårbare mål å utnytte. I hovedsak kan alle og enhver starte et løsepengeangrep fra hvilken som helst enhet uten å bruke sofistikerte metoder ved å outsource innsatsen gjennom en tredjeparts tjenesteleverandør, noe som gjør hele prosessen enkel og tilgjengelig.

Hvordan forhindre ransomware-as-a-service-utnyttelse?

I et ransomware-as-a-service-angrep leier hackere ut verktøyene sine til andre kriminelle, som betaler for tilgang til koden som hjelper dem å infisere ofrenes datamaskiner med løsepengevare. Selgerne som bruker disse verktøyene, får betalt når kundene deres genererer inntekter fra de infiserte ofrene.

Å følge disse trinnene kan hjelpe deg med å forhindre ransomware-as-a-service-angrep:

1. Kjenn til angrepsmetodene

Det er flere forskjellige måter løsepengevare kan infisere organisasjonen din. Å vite hvordan angrep utføres er den beste måten å beskytte deg mot dem. Å vite hvordan du vil bli angrepet kan fokusere på hvilke sikkerhetssystemer og beskyttelser du trenger, i stedet for bare å installere antivirusprogramvare og krysse fingrene. 

Phishing-e-poster er en vanlig vei for mange nettangrep. Som et resultat må ansatte være oppmerksomme på ikke å klikke på innebygde lenker eller åpne vedlegg fra ukjente avsendere. Regelmessig gjennomgang av selskapets retningslinjer rundt e-postvedlegg kan bidra til å forhindre infeksjon ved phishing-svindel og andre leveringsmetoder for skadelig programvare som makrovirus og trojanere.

2. Bruk en pålitelig systemsikkerhetspakke

Sørg for at datamaskinen til enhver tid har oppdatert sikkerhetsprogramvare installert. Hvis du ikke har antivirusprogramvare, bør du vurdere å installere en med en gang. Antivirusprogramvare kan oppdage skadelige filer før de når målmaskinene, og forhindrer skade fra å bli gjort.

3. Sikkerhetskopier alt regelmessig

Å ha all informasjon sikkerhetskopiert vil bidra til å forhindre tap av viktig informasjon hvis systemet ditt blir infisert med skadelig programvare eller løsepengeprogramvare. Men hvis du blir truffet av virus- eller skadevareangrep, er sjansen stor for at alle filene dine ikke blir sikkerhetskopiert regelmessig uansett – så sørg for at du har flere sikkerhetskopier på forskjellige steder i tilfelle en feiler!

4. Velg phishing-beskyttelse med e-postautentisering

Phishing-e-poster er ekstremt vanlige og kraftige angrepsvektorer i ransomware-utnyttelser. Oftere enn ikke bruker hackere e-post for å prøve å få ofre til å klikke på ondsinnede lenker eller vedlegg som deretter kan infisere datamaskinene deres med løsepengeprogramvare. 

Ideelt sett bør du alltid følge den mest oppdaterte sikkerhetspraksisen på markedet og kun laste ned programvare fra pålitelige kilder for å unngå disse phishing-svindelene. Men la oss innse det, når du er en del av en organisasjon med flere ansatte, er det dumt å forvente dette fra hver av arbeiderne dine. Det er også utfordrende og tidkrevende å holde oversikt over aktivitetene deres til enhver tid. Dette er grunnen til at implementering av en DMARC-policy er en god måte å beskytte e-postene dine mot phishing-angrep.

La oss sjekke ut hvor DMARC faller i infeksjonslivssyklusen til RaaS: 

  • Angriperen kjøper ondsinnet vedlegg som inneholder løsepengevare fra en RaaS-operatør 
  • Angriperen sender en phishing-e-post som utgir seg for XYZ-inkorporering med det kjøpte vedlegget til et intetanende offer 
  • Det etterligne domenet (XYZ inc.) har DMARC aktivert, som starter en autentiseringsprosess ved å bekrefte identiteten til avsenderen 
  • Ved bekreftelsesfeil anser offerets server e-posten som skadelig og avviser den i henhold til DMARC-policyen konfigurert av domeneeieren

Les mer om DMARC som den første forsvarslinjen mot løsepengevare her.

  • DNS-filtrering

Ransomware bruker kommando- og kontrollservere (C2) for å kommunisere med plattformen til RaaS-operatører. En DNS-spørring blir ofte kommunisert fra et infisert system til C2-serveren. Organisasjoner kan bruke en DNS-filtreringssikkerhetsløsning for å oppdage når løsepengevare prøver å kommunisere med RaaS C2 og blokkere overføringen. Dette kan fungere som en infeksjonsforebyggende mekanisme. 

Konklusjon

Mens Ransomware-as-a-Service (RaaS) er et hjernebarn og en av de nyeste truslene mot digitale brukere, er det avgjørende å iverksette visse forebyggende tiltak for å bekjempe denne trusselen. For å beskytte deg mot dette angrepet, kan du bruke kraftige antimalware-verktøy og e-postsikkerhetsprotokoller som en kombinasjon av DMARC , SPF og DKIM for å sikre alle uttak tilstrekkelig.

/av

DMARC: Den første forsvarslinjen mot ransomware

En av de største fokusene for e -postsikkerhet det siste året har vært rundt DMARC, og ransomware har dukket opp som en av de mest økonomisk skadelige nettkriminalitetene i år. Hva er DMARC nå? Domenebasert meldingsautentisering, rapportering og samsvar som en e-postgodkjenningsprotokoll brukes av domeneeiere i store og små organisasjoner for å beskytte domenet sitt mot Business Email Compromise (BEC), direkte domenespoofing, phishing-angrep og andre former for svindel via e-post.

DMARC hjelper deg med å nyte flere fordeler over tid, som et betydelig løft i leveringen av e -post og omdømme i domenet ditt. Imidlertid er et mindre kjent faktum at DMARC også fungerer som den første forsvarslinjen mot Ransomware. La oss beskrive hvordan DMARC kan beskytte mot Ransomware og hvordan ransomware kan påvirke deg.

Hva er Ransomware?

Ransomware er en type ondsinnet programvare ( malware ) som er installert på en datamaskin, vanligvis ved bruk av skadelig programvare. Målet med den ondsinnede koden er å kryptere filer på datamaskinen, hvoretter den vanligvis krever betaling for å dekryptere dem.

Når malware -installasjonen er på plass, krever den kriminelle at løsepenger skal betales løsepenger for å gjenopprette tilgangen til dataene. Det lar nettkriminelle kryptere sensitive data på datasystemer og effektivt beskytte dem mot tilgang. Nettkriminelle krever deretter at offeret betaler et løsesum for å fjerne krypteringen og gjenopprette tilgangen. Ofre står vanligvis overfor en melding som forteller dem at dokumentene, bildene og musikkfilene deres er kryptert og å betale løsepenger for å ha "gjenopprette" dataene. Vanligvis ber de brukerne om å betale i Bitcoin og informerer dem om hvor lenge de må betale for å unngå å miste alt.

Hvordan fungerer Ransomware?

Ransomware har vist at dårlige sikkerhetstiltak setter selskaper i stor risiko. En av de mest effektive leveringsmekanismene for ransomware er phishing via e -post. Ransomware distribueres ofte gjennom phishing. En vanlig måte dette skjer på er når en person mottar en ondsinnet e -post som overtaler dem til å åpne et vedlegg som inneholder en fil de burde stole på, som en faktura, som i stedet inneholder skadelig programvare og starter infeksjonen.

E-posten vil hevde å være noe offisielt fra et velkjent selskap og inneholder et vedlegg som utgir seg for å være legitim programvare, og derfor er det svært sannsynlig at intetanende kunder, partnere eller ansatte som er klar over tjenestene dine, vil bli byttedyr for dem .

Sikkerhetsforskere har konkludert med at valget er "opportunistisk" for at en organisasjon skal bli et mål for phishing -angrep med ondsinnede lenker til nedlasting av skadelig programvare. Mange ransomware har ingen ekstern veiledning om hvem du skal målrette mot, og ofte er det eneste rene muligheten. Dette betyr at enhver organisasjon, enten det er en liten bedrift eller en stor bedrift, kan være det neste målet hvis de har smutthull i e -postsikkerheten.

Den siste sikkerhetstrendrapporten for 2021 har gjort følgende plagsomme funn:

  • Siden 2018 har det vært en økning på 350% i ransomware -angrep, noe som gjør det til en av de mest populære angrepsvektorene den siste tiden.
  • Cybersikkerhetseksperter tror det vil være flere ransomware -angrep enn noen gang i 2021.
  • Mer enn 60% av alle ransomware -angrep i 2020 involverte sosiale handlinger, for eksempel phishing.
  • Nye ransomware -varianter har økt med 46% de siste 2 årene
  • 68 000 nye ransomware -trojanere for mobil er oppdaget
  • Sikkerhetsforskere har estimert at hvert selskap blir offer for et ransomware -angrep hvert 14. sekund

Beskytter DMARC mot ransomware? DMARC og Ransomware

DMARC er den første forsvarslinjen mot ransomware -angrep. Siden ransomware vanligvis leveres til ofre i form av ondsinnede phishing -e -postmeldinger fra forfalskede eller forfalskede bedriftsdomener, hjelper DMARC med å beskytte merkevaren din mot å bli etterlignet, noe som betyr at slike falske e -poster blir merket som spam eller ikke blir levert når du har protokollen riktig konfigurert. DMARC og Ransomware: hvordan hjelper DMARC?

  • DMARC autentiserer e -postene dine mot SPF- og DKIM -godkjenningsstandarder som hjelper til med å filtrere ondsinnede IP -adresser, forfalskning og etterligning av domener.
  • Når en phishing -e -post kurert av en angriper med en ondsinnet lenke for å installere ransomware som stammer fra domenenavnet ditt, når en klient/ansatt -server, hvis du har
  • DMARC implementerte e -posten er godkjent mot SPF og DKIM.
  • Mottaker -serveren prøver å bekrefte senderkilden og DKIM -signaturen
  • Den ondsinnede e -posten vil mislykkes bekreftelseskontroller og til slutt mislykkes DMARC -godkjenning på grunn av feiljustering av domenet
  • Nå, hvis du har implementert DMARC i en håndhevet policy -modus (p = avvis/karantene), vil e -posten enten etter å ha mislyktes DMARC enten bli merket som spam eller avvist, og oppheve sjansene for at mottakerne dine blir offer for ransomware -angrepet
  • Til slutt, unngå ytterligere SPF -feil som for mange DNS -oppslag , syntaktiske feil og implementeringsfeil, for å forhindre at e -postgodkjenningsprotokollen blir ugyldiggjort
  • Dette ivaretar til slutt merkevarens rykte, sensitiv informasjon og monetære eiendeler

Det første trinnet for å få beskyttelse mot ransomware -angrep er å registrere deg for DMARC -analysator i dag! Vi hjelper deg med å implementere DMARC og skifte til håndhevelse av DMARC enkelt og på minst mulig tid. Start e -postgodkjenningsreisen din i dag med DMARC.

/av