Cyberbeveiligingsautoriteiten uit Australië, het VK en de VS hebben een gezamenlijke waarschuwing gepubliceerd voor een toename van geavanceerde, krachtige ransomware-aanvallen op kritieke infrastructuurorganisaties over de hele wereld in 2021.
De incidenten hadden betrekking op een breed scala van sectoren, waaronder defensie, hulpdiensten, landbouw, overheidsvoorzieningen, IT, gezondheidszorg, financiële diensten, onderwijs, energie, liefdadigheidsinstellingen, juridische instellingen en openbare diensten.
“Ransomware-tactieken en -technieken bleven zich in 2021 ontwikkelen, wat de groeiende technologische verfijning van ransomware-bedreigingen en een toegenomen ransomware-bedreiging voor organisaties wereldwijd aantoont”, aldus de agentschappen. zei in de gezamenlijk bulletin.
Spear-phishing, gestolen of brute-forced Remote Desktop Protocol (RDP)-inloggegevens en exploitatie van softwarefouten kwamen naar voren als de top drie van initiële infectievectoren die werden gebruikt om ransomware op gecompromitteerde netwerken te implementeren, zelfs toen het criminele bedrijfsmodel veranderde in een ” professionele” markt die wordt gedomineerd door verschillende groepen spelers om de eerste toegang te krijgen, over betalingen te onderhandelen en betalingsgeschillen te beslechten.
Maar in een merkbare verschuiving in de nasleep van de veel gepubliceerde aanvallen op Colonial Pipeline, JBS en Kaseya vorig jaar, keerden ransomware-actoren in de tweede helft van 2021 weg van de jacht op “big-game” in de VS om zich te concentreren op middelgrote slachtoffers en ontwijken de controle van de wetshandhavers.
“Na het versleutelen van slachtoffernetwerken, gebruikten ransomware-bedreigingsactoren in toenemende mate ‘drievoudige afpersing’ door te dreigen met (1) het publiekelijk vrijgeven van gestolen gevoelige informatie, (2) de internettoegang van het slachtoffer te verstoren en/of (3) de partners, aandeelhouders of leveranciers over het incident”, aldus de agentschappen.
Volgens een nieuw rapport gepubliceerd door Syhunt, meer dan 150 terabyte aan gegevens is gestolen van slachtofferorganisaties door ransomware-groepen van januari 2019 tot januari 2022, waarbij alleen REvil 44,1 TB voor zijn rekening nam van de totale gestolen informatie die de groep overhevelde van 282 slachtoffers.
Andere tactieken die ransomwaregroepen gebruiken om de impact te maximaliseren, zijn onder meer het aanvallen van cloudinfrastructuren om bekende zwakheden te misbruiken, het doorbreken van beheerde serviceproviders (MSP’s) om toegang te krijgen tot meerdere slachtoffers via één eerste compromis, het implementeren van code die is ontworpen om industriële processen te saboteren, het vergiftigen van de softwaretoeleveringsketen en aanvallen uitvoeren tijdens vakanties en weekenden.
Om de kans op en de impact van ransomware-aanvallen te verkleinen en te verminderen, worden organisaties aangespoord om:
- Houd alle besturingssystemen en software up-to-date,
- Beperk de toegang tot bronnen via interne netwerken, met name door RDP te beperken en virtuele desktopinfrastructuur te gebruiken,
- Gebruikers bewust maken van de risico’s van phishing,
- Verplicht sterke, unieke wachtwoorden en multi-factor authenticatie om accounts te beschermen tegen overnameaanvallen,
- Versleutel gegevens in de cloud,
- Implementeer netwerksegmentatie,
- Schakel onnodige opdrachtregelhulpprogramma’s uit en beperk scriptactiviteiten en -machtigingen,
- Dwing op tijd gebaseerde toegang af voor geprivilegieerde accounts, en
- Handhaaf offline (dwz fysiek losgekoppelde) back-ups van gegevens
“Criminele activiteiten worden gemotiveerd door financieel gewin, dus het betalen van losgeld kan tegenstanders aanmoedigen om zich op andere organisaties te richten of cybercriminelen aanmoedigen om ransomware te verspreiden”, waarschuwden de agentschappen. “Het betalen van het losgeld garandeert ook niet dat de bestanden van een slachtoffer worden hersteld. Bovendien zal het verminderen van de financiële winst van ransomware-bedreigingen het criminele bedrijfsmodel van ransomware verstoren.”
