Inlägg

Vad är Ransomware?

Frågar du dig någonsin vad utpressningstrojaner är och hur de kan påverka dig? Syftet med ransomware är att kryptera dina viktiga filer med hjälp av skadlig programvara. De kriminella kräver sedan betalning av dig i utbyte mot dekrypteringsnyckeln och utmanar dig att bevisa att du har betalat lösensumman innan de ger dig instruktioner för att återställa dina filer. Det motsvarar att betala en kidnappare för att släppa din älskade.

"Det fanns 236,1 miljoner attacker med utpressningstrojaner i världen under första halvåret 2022. Mellan andra och fjärde kvartalet 2021 var det 133 miljoner färre attacker, en kraftig minskning från cirka 189 miljoner fall." ~Statista

Ransomware har varit på tapeten och du har säkert sett rapporter om datorer som låser sig själva tills folk betalar för en nyckel för att ta sig ut. Men vad är det egentligen, hur fungerar det och hur kan vi försvara oss mot det?

Hur fungerar Ransomware?

Ransomware installeras vanligtvis som en bilaga till skräppost eller genom att utnyttja sårbarheter i programvaran på offrets dator.

Infektionen kan döljas i en fil som användaren laddar ner från Internet eller installeras manuellt av en angripare, ofta via en programvara som är paketerad med kommersiella produkter.

När den väl är installerad väntar den på ett utlösande villkor (t.ex. anslutning till Internet) innan den låser systemet och kräver en lösensumma för att släppa det. Lösensumman kan betalas med antingen kryptovalutor eller kreditkort.

Typer av Ransomware

"År 2021 var den genomsnittliga kostnaden för intrång i utpressningstjänster 4,62 miljoner dollar, exklusive lösensumman."~IBM

Här är några vanliga typer:

WannaCry

År 2017påverkade den utpressningstrojaner som kallas WannaCry mer än 150 länder. När WannaCry infekterar en Windows-maskin krypterar den användarens filer och kräver en bitcoin-lösning för att låsa upp dem.

Locky

Locky är en av de äldsta formerna av utpressningstrojaner och upptäcktes första gången i februari 2016. Den malware krypterar filer snabbt och sprids via phishingmejl med bilagor som ser ut som fakturor eller andra affärsdokument.

Labyrint

Maze är ett nyare utpressningstrojaner som först upptäcktes i Maj 2019. Den fungerar på samma sätt som Locky, förutom att den avslutar krypterade filnamn med .maze i stället för locky. Spammejl sprider också Maze, men den infekterar din dator genom att öppna en bifogad fil.

NotPetya

Enligt tidiga rapporter är NotPetya en variant av Petya, en stam som ursprungligen upptäcktes i 2016. Nu är NotPetya en typ av skadlig kod som kallas wiper, som förstör data i stället för att kräva en lösensumma.

Skrämmande föremål

Scareware är falsk programvara som kräver betalning för att åtgärda problem som den påstår sig ha hittat på din dator, t.ex. virus eller andra problem. Vissa scareware låser datorn, medan andra dränker skärmen med popup-meddelanden utan att orsaka några filskador.

Doxware

Som ett resultat av doxware eller leakware blir människor oroliga och betalar en lösensumma för att förhindra att deras konfidentiella information läcker ut på nätet. En variant är ransomware med polistema. Man kan betala böter för att slippa fängelse och företaget utger sig för att vara brottsbekämpande.

Petya

Petya Ransomware krypterar hela datorer, till skillnad från flera andra varianter. Petya skriver över master boot record, vilket hindrar operativsystemet från att starta upp.

Ryuk

Ryuk infekterar datorer genom att ladda ner skadlig kod eller skicka nätfiskemejl. Den använder en dropper för att installera en trojan och upprätta en permanent nätverksanslutning på offrets dator. APT:er skapas med hjälp av verktyg som keyloggers, privilegieeskalering och lateral förflyttning, som alla börjar med Ryuk. Angriparen installerar Ryuk på alla andra system som han har tillgång till.

Hur påverkar Ransomware företagen?

Ransomware är ett av de snabbast växande cyberhoten idag. 

Här är några av de sätt på vilka utpressningstrojaner kan påverka ditt företag:

  • Ransomware kan äventyra dina data, vilket kan vara dyrt att återskapa eller ersätta.
  • Dina system kan skadas så att de inte går att reparera, eftersom vissa attacker med utpressningstrojaner skriver över filer med slumpmässiga tecken tills de är oanvändbara.
  • Du kan drabbas av driftstopp och förlorad produktivitet, vilket kan leda till förlorade intäkter eller kundlojalitet.
  • Hackaren kan stjäla företagets data och sälja den på den svarta marknaden eller använda den mot andra företag i framtida attacker.

Hur skyddar du ditt företag mot Ransomware-attacker?

"Installera säkerhetsprogram och håll dem uppdaterade med säkerhetspatchar. Många attacker med utpressningstrojaner använder sig av tidigare versioner för vilka det finns motåtgärder i säkerhetsprogrammen." ~Steven Weisman, professor vid Bentley University. 

För att skydda ditt företag mot utpressningstrojaner kan du vidta följande åtgärder:

Segmentering av nätverk

Nätverkssegmentering är processen att isolera ett nätverk från ett annat. Genom att isolera nätverk kan du skydda ditt företag och dess data. 

Du bör skapa separata segment för offentligt Wi-Fi, anställdas enheter och intern nätverkstrafik. Om en attack sker i ett segment kommer den inte att påverka de andra segmenten.

AirGap säkerhetskopior

AirGap-backuper är en typ av säkerhetskopiering som är helt offline och som inte kan nås utan att fysiskt ta bort lagringsenheten från datorn som den är ansluten till. Tanken är att om det inte finns något sätt att komma åt filerna på enheten, så finns det inget sätt för en angripare att komma åt dem heller. Ett bra exempel på detta är att använda en extern hårddisk som har kopplats bort helt från alla internetanslutningar eller andra enheter som har tillgång till den.

Domänbaserad autentisering, rapportering och överensstämmelse av meddelanden

Oftast sprids utpressningstrojaner via e-post. Bedrägliga e-postmeddelanden innehåller phishing-länkar som kan initiera installationer av utpressningstrojaner på din dator. För att förhindra detta, DMARC som den första försvarslinjen mot utpressningstrojaner.

DMARC förhindrar att phishing-e-post överhuvudtaget når dina kunder. Detta bidrar till att stoppa utpressningstrojaner som distribueras via e-post vid roten till starten. Om du vill veta mer kan du läsa vår detaljerade guide om DMARC och utpressningstrojaner.

Minsta privilegium (nollförtroende för användarbehörigheter)

Minsta möjliga privilegier innebär att användarna endast får de minimala behörigheter som krävs för deras roller i organisationen. När du anställer en ny person eller omfördelar en roll inom företaget ger du honom eller henne endast de behörigheter som behövs för hans eller hennes specifika roll - varken mer eller mindre än vad som krävs för att han eller hon ska kunna utföra sitt arbete på ett effektivt sätt.

Skydda ditt nätverk

Brandväggar är den första försvarslinjen för nätverk. Den övervakar inkommande och utgående trafik i nätverket och blockerar oönskade anslutningar. Brandväggen kan också övervaka trafiken för vissa program, t.ex. e-post, för att se till att den är säker.

Utbildning av personal och tester av nätfiske

Det är viktigt att utbilda dina anställda i phishing-attacker. Det hjälper dem att identifiera phishingmejl innan det blir ett stort problem för företaget. Ett phishing-test kan också hjälpa till att identifiera anställda som kan vara mer mottagliga för phishing-attacker eftersom de inte vet hur de ska identifiera dem korrekt.

Underhåll och uppdateringar

Regelbundet underhåll av dina datorer bidrar till att förhindra att skadlig kod infekterar dem från första början. Du bör också uppdatera all programvara regelbundet för att se till att buggar åtgärdas så snart som möjligt och att nya programvaruversioner släpps med nya säkerhetsfunktioner inbyggda.

Relaterad läsning: Hur återhämtar man sig från en Ransomware-attack?

Slutsats

Ransomware är inget misstag. Det är en medveten angreppsmetod, med skadliga implementeringar som varierar från något irriterande till rent ut sagt destruktiva. Det finns inga tecken på att ransomware kommer att avta, och dess inverkan är betydande och växande. Alla företag och organisationer måste vara förberedda på detta.

Du måste ha koll på säkerheten för att skydda dig själv och ditt företag. Använd verktygen och guiderna från PowerDMARC om du vill skydda dig från dessa sårbarheter.

/av

Förklaring av Ransomware-as-a-Service (RaaS)

Under de senaste åren har det skett en ökning av attacker med utpressningstrojaner som infekterar datorer och tvingar användare att betala böter för att få tillbaka sina data. I takt med att nya taktiker för utpressningstrojaner, t.ex. dubbel utpressning, visar sig vara framgångsrika, kräver brottslingarna större lösensummor. Krav på lösensumma i genomsnitt 5,3 miljoner dollar. under första halvåret 2021, en ökning med 518 %. jämfört med samma period 2020. Sedan 2020 har det genomsnittliga lösenpriset stigit med 82 procent, till 570 000 dollar under första halvåret 2021. ensam.

RaaS, eller Ransomware-as-a-Service, gör attacken ännu farligare genom att vem som helst med några få klick kan starta ransomware-attacker på vilken dator eller mobil enhet som helst. Så länge de har en internetanslutning kan de ta kontroll över en annan dator, till och med en som används av din chef eller arbetsgivare! Men vad exakt betyder RaaS? 

Vad är Ransomware-as-a-Service (RaaS)?

Ransomware-as-a-service (RaaS) har blivit en populär affärsmodell i ekosystemet för cyberbrottslighet. Ransomware-as-a-service gör det möjligt för cyberkriminella att enkelt genomföra ransomware-attacker utan att det behövs några kunskaper om kodning eller hackning.

En RaaS-plattform erbjuder en rad funktioner som gör det enkelt för brottslingar att starta en attack utan någon större expertis. RaaS-leverantören tillhandahåller koden för skadlig kod, som kunden (angriparen) kan anpassa för att passa sina behov. Efter anpassningen kan angriparen distribuera den direkt via plattformens kommando- och kontrollserver (C&C). Ofta behövs ingen C&C-server; en brottsling kan lagra attackfilerna i en molntjänst som Dropbox eller Google Drive.

RaaS-leverantören tillhandahåller också supporttjänster som omfattar teknisk hjälp med betalningshantering och dekrypteringsstöd efter en attack.

Ransomware-as-a-Service förklaras på engelska

Om du har hört talas om Sofware-as-a-Service och vet hur det fungerar, borde det vara lätt att förstå RaaS eftersom det fungerar på samma nivå. PowerDMARC är också en SaaS-plattform eftersom vi tar på oss rollen som problemlösare för globala företag och hjälper dem att autentisera sina domäner utan att lägga ner manuell ansträngning eller mänskligt arbete. 

 

Detta är precis vad RaaS är. Tekniskt begåvade aktörer som arbetar med skadliga hot på internet bildar ett konglomerat som fungerar som ett olagligt företag (som vanligtvis säljer sina tjänster på den mörka webben) och säljer skadliga koder och bilagor som kan hjälpa vem som helst på internet att infektera ett system med utpressningstrojaner. De säljer dessa koder till angripare som inte vill göra den svårare och mer tekniska delen av arbetet själva och som i stället letar efter tredje part som kan hjälpa dem. När angriparen väl har köpt koderna kan han fortsätta att infektera vilket system som helst. 

Hur fungerar Ransomware-as-a-Service?

Denna form av intäktsmodell har nyligen blivit mycket populär bland cyberkriminella. Hackare använder utpressningstrojaner i ett nätverk eller system, krypterar data, låser åtkomsten till filer och kräver en lösensumma för dekrypteringsnycklar. Betalningen sker vanligtvis i bitcoin eller andra former av kryptovaluta. Många Ransomware-familjer kan kryptera data gratis, vilket gör utvecklingen och spridningen av dem kostnadseffektiv. Angriparen tar bara betalt om offren betalar, annars tjänar de inga pengar på det. 

De fyra intäktsmodellerna för RaaS:

Även om det kan vara möjligt att bygga utpressningstrojaner från grunden med hjälp av ett botnät och andra fritt tillgängliga verktyg har cyberkriminella ett enklare alternativ. I stället för att riskera att åka fast genom att bygga sitt verktyg från grunden kan brottslingar prenumerera på en av fyra grundläggande RaaS-intäktsmodeller: 

  • Affiliateprogram
  • Månadsabonnemang
  • Bulkförsäljning
  • Hybridförsäljning av abonnemang och bulkförsäljning

Det vanligaste är ett modifierat affiliateprogram eftersom affiliates har mindre omkostnader än professionella cyberkriminella som ofta säljer skadlig kod på underjordiska forum. Affiliates kan anmäla sig för att tjäna pengar genom att marknadsföra komprometterade webbplatser med länkar i skräppost som skickas till miljontals offer med tiden. Därefter behöver de bara betala ut när de får lösensumma från sina offer.

Varför är RaaS farligt?

RaaS gör det möjligt för cyberkriminella att utnyttja sin begränsade tekniska kapacitet för att dra nytta av attacker. Om en cyberkriminell har svårt att hitta ett offer kan han sälja offret till ett företag (eller flera företag).

Om en cyberkriminell tycker att det är svårt att angripa mål på nätet finns det nu organisationer som säljer sårbara mål som han kan utnyttja. I princip kan alla och envar inleda en attack med utpressningstrojaner från vilken enhet som helst utan att använda sofistikerade metoder genom att lägga ut sina ansträngningar på en tredjepartsleverantör, vilket gör hela processen enkel och tillgänglig.

Hur förhindrar man utnyttjanden av Ransomware-as-a-Service?

I en attack med ransomware-as-a-service hyr hackare ut sina verktyg till andra brottslingar, som betalar för att få tillgång till koden som hjälper dem att infektera offrens datorer med ransomware. Säljarna som använder dessa verktyg får betalt när deras kunder genererar intäkter från de infekterade offren.

Genom att följa dessa steg kan du förhindra attacker med utpressningstjänster som en tjänst:

1. Känn till attackmetoderna

Det finns flera olika sätt på vilka utpressningstrojaner kan infektera din organisation. Det bästa sättet att skydda sig mot attacker är att veta hur de genomförs. Om du vet hur du blir attackerad kan du fokusera på vilka säkerhetssystem och skydd du behöver, i stället för att bara installera antivirusprogram och hålla tummarna. 

Phishing-e-post är en vanlig väg för många cyberattacker. Därför måste de anställda vara medvetna om att inte klicka på inbäddade länkar eller öppna bilagor från okända avsändare. Genom att regelbundet se över företagets policyer för e-postbilagor kan man förhindra infektion genom nätfiskebedrägerier och andra metoder för överföring av skadlig kod, t.ex. makrovirus och trojaner.

2. Använd en pålitlig systemskyddssvit

Se till att din dator alltid har en uppdaterad säkerhetsprogramvara installerad. Om du inte har något antivirusprogram bör du överväga att installera ett omedelbart. Antivirusprogram kan upptäcka skadliga filer innan de når sina målmaskiner och förhindra att skada uppstår.

3. Säkerhetskopiera allt regelbundet

Genom att ha all din information säkerhetskopierad kan du förhindra att viktig information går förlorad om ditt system infekteras av skadlig kod eller utpressningstrojaner. Men om du drabbas av virus- eller malware-attacker är chansen stor att alla dina filer ändå inte säkerhetskopieras regelbundet - så se till att du har flera säkerhetskopior på olika platser ifall en av dem skulle misslyckas!

4. Välj skydd mot nätfiske med autentisering av e-post

Phishing-e-post är extremt vanliga och kraftfulla angreppsvektorer för utpressningstrojaner. Oftast använder hackare e-post för att försöka få offren att klicka på skadliga länkar eller bilagor som sedan kan infektera deras datorer med utpressningstrojaner. 

Du bör alltid följa de mest uppdaterade säkerhetsrutinerna på marknaden och endast ladda ner programvara från betrodda källor för att undvika dessa nätfiskebedrägerier. Men låt oss inse att när du är en del av en organisation med flera anställda är det dumt att förvänta sig detta av var och en av dina anställda. Det är också utmanande och tidskrävande att hålla koll på deras aktiviteter hela tiden. Det är därför som man bör införa en DMARC-policy är ett bra sätt att skydda din e-post från phishingattacker.

Låt oss se var DMARC hamnar i RaaS-infektionens livscykel: 

  • Angripare köper skadlig bilaga som innehåller utpressningstrojaner från en RaaS-operatör 
  • Angriparen skickar ett phishing-e-postmeddelande som utger sig för att vara XYZ-företag med den köpta bilagan till ett intet ont anande offer. 
  • Den utgivna domänen (XYZ inc.) har DMARC aktiverat, vilket initierar en autentiseringsprocess genom att kontrollera avsändarens identitet. 
  • Om verifieringen misslyckas anser offrets server att e-postmeddelandet är skadligt och avvisar det i enlighet med den DMARC-policy som domänägaren har konfigurerat.

Läs mer om DMARC som första försvarslinje mot utpressningstrojaner här.

  • DNS-filtrering

Ransomware använder C2-servrar (Command and Control) för att kommunicera med RaaS-operatörernas plattform. En DNS-förfrågan skickas ofta från ett infekterat system till C2-servern. Organisationer kan använda en säkerhetslösning för DNS-filtrering för att upptäcka när ransomware försöker kommunicera med RaaS C2 och blockera överföringen. Detta kan fungera som en mekanism för att förebygga infektioner. 

Slutsats

Även om Ransomware-as-a-Service (RaaS) är en av de senaste hoten mot digitala användare är det viktigt att vidta vissa förebyggande åtgärder för att bekämpa detta hot. För att skydda dig mot denna attack kan du använda kraftfulla antimalwareverktyg och e-postsäkerhetsprotokoll som en kombination av följande DMARC, SPF och DKIM för att skydda varje utskick på ett tillfredsställande sätt.

/av

DMARC: Den första försvarslinjen mot ransomware

Ett av de största fokusen för e-postsäkerhet under det senaste året har varit runt DMARC och ransomware har dykt upp som en av de mest ekonomiskt skadliga cyberbrotten i år. Vad är DMARC nu? Domänbaserad meddelandeautentisering, rapportering och konformation som ett e-postautentiseringsprotokoll används av domänägare i organisationer stora som små, för att skydda sin domän från Business Email Compromise (BEC), direkt domänförfalskning, phishing-attacker och andra former av e-postbedrägerier.

DMARC hjälper dig att njuta av flera fördelar över tid som en betydande ökning av din e-postkonsenbarhet och domänrykte. Men ett mindre känt faktum är att DMARC också fungerar som den första försvarslinjen mot Ransomware. Låt oss säga hur DMARC kan skydda mot ransomware och hur ransomware kan påverka dig.

Vad är Ransomware?

Ransomware är en typ av skadlig programvara (skadlig programvara) som är installerad på en dator, vanligtvis genom användning av skadlig programvara. Målet med den skadliga koden är att kryptera filer på datorn, varefter den vanligtvis kräver betalning för att dekryptera dem.

När installationen av skadlig programvara är på plats kräver brottslingen att en lösensumma betalas av offret för att återställa åtkomsten till uppgifterna. Det gör det möjligt för cyberbrottslingar att kryptera känsliga data på datorsystem, vilket effektivt skyddar den från åtkomst. Cyberbrottslingarna kräver sedan att offret betalar en lösensumma för att ta bort krypteringen och återställa åtkomsten. Offren står vanligtvis inför ett meddelande som berättar för dem att deras dokument, foton och musikfiler har krypterats och att betala en lösensumma för att påstås "återställa" data. Vanligtvis ber de användarna att betala i Bitcoin och informera dem om hur länge de måste betala för att undvika att förlora allt.

Hur fungerar ransomware?

Ransomware har visat att dåliga säkerhetsåtgärder sätter företag i stor risk. En av de mest effektiva leveransmekanismerna för ransomware är e-post phishing. Ransomware distribueras ofta via phishing. Ett vanligt sätt detta uppstår är när en individ får ett skadligt e-postmeddelande som övertalar dem att öppna en bifogad fil som innehåller en fil som de bör lita på, som en faktura, som istället innehåller skadlig kod och börjar infektionsprocessen.

E-postmeddelandet kommer att hävda att det är något officiellt från ett välkänt företag och innehåller en bilaga som låtsas vara legitim programvara, varför det är mycket troligt att intet ont anande kunder, partners eller anställda som är medvetna om dina tjänster skulle falla offer för dem.

Säkerhetsforskare har dragit slutsatsen att för att en organisation ska bli ett mål för phishing-attacker med skadliga länkar till nedladdningar av skadlig kod är valet " opportunistiskt". Mycket ransomware har ingen extern vägledning om vem som ska riktas, och ofta är det enda som styr det ren möjlighet. Detta innebär att alla organisationer oavsett om det är ett litet företag eller ett stort företag, kan vara nästa mål om de har kryphål i sin e-postsäkerhet.

2021 senaste rapporten om säkerhetstrender har gjort följande beklämmande upptäckter:

  • Sedan 2018 har det skett en 350% ökning av ransomware-attacker vilket gör det till en av de mest populära attackvektorerna på senare tid.
  • Cybersäkerhetsexperter tror att det kommer att bli fler ransomware-attacker än någonsin 2021.
  • Mer än 60% av alla ransomware-attacker under 2020 involverade sociala åtgärder, till exempel phishing.
  • Nya ransomware-varianter har ökat med 46% under de senaste 2 åren
  • 68 000 nya ransomware trojaner för mobil har upptäckts
  • Säkerhetsforskare har uppskattat att var 14: e sekund faller ett företag offer för en ransomware-attack

Skyddar DMARC mot ransomware? DMARC och Ransomware

DMARC är den första försvarslinjen mot ransomware-attacker. Eftersom ransomware vanligtvis levereras till offer i form av skadliga phishing-e-postmeddelanden från förfalskade eller förfalskade företagsdomäner, hjälper DMARC till att skydda ditt varumärke från att personifieras, vilket innebär att sådana falska e-postmeddelanden kommer att markeras som skräppost eller inte levereras när du har protokollet korrekt konfigurerat.  DMARC och Ransomware: hur hjälper DMARC?

  • DMARC autentiserar dina e-postmeddelanden mot SPF- och DKIM-autentiseringsstandarder som hjälper till att filtrera skadliga IP-adresser, förfalskning och domänpersonifiering.
  • När ett phishing-e-postmeddelande som kureras av en angripare med en skadlig länk för att installera ransomware som härrör från ditt domännamn når en klient/ anställd server, om du har
  • DMARC implementerade e-postmeddelandet autentiseras mot SPF och DKIM.
  • Den mottagande servern försöker verifiera den sändande källan och DKIM-signaturen
  • Den skadliga e-postmeddelandet misslyckas verifieringskontroller och i slutändan misslyckas DMARC-autentisering på grund av domänfeljustering
  • Nu, om du har implementerat DMARC i ett påtvingat principläge (p= avvisa / karantän) kommer e-postmeddelandet efter att ha misslyckats DMARC antingen att markeras som skräppost eller avvisas, vilket upphäver risken för att dina mottagare faller offer för ransomware-attacken
  • Slutligen undviker du ytterligare SPF-fel som för många DNS-sökningar, syntaktiska fel och implementeringsfel för att förhindra att ditt e-postautentiseringsprotokoll ogiltigförklaras
  • Detta skyddar i slutändan ditt varumärkes rykte, känslig information och monetära tillgångar

Det första steget för att få skydd mot ransomware-attacker är att registrera sig för DMARC-analysator idag! Vi hjälper dig att implementera DMARC och enkelt och på minsta möjliga tid övergå till DMARC-tillämpning. Starta din e-postautentiseringsresa idag med DMARC.

/av