27-04-2020

Ny løsepenge-taktik: Dobbelt afpresning

Teknologichef Nils-Ove Gamlem hos Check Point.

Check Point Research advarer hospitaler og virksomheder om stigningen i løsepenge-taktikker, hvor trusselsaktører først henter følsomme oplysninger og derefter lækker disse som et brud på løsepenge-betaling.

Forskere på Check Point ser en voksende tendens i en ny løsepenge-taktik. I det, forskere kalder "dobbelt afpresning", er taktikken følgende:

1. Hackere får adgang til et offers netværk

2. Hackerne udtrækker følsomme data, såsom kundeinformation, økonomiske oplysninger, medarbejderes personlige oplysninger, patientjournaler med videre

3. Hackerne krypterer filerne og kræver løsepenge fra offeret

4. Hackerne truer med at lække følsomme data

5. For at bevise, at truslen er reel, lækker hackerne noget af informationen på det mørke internet.

Vækst i november 2019

Den første offentliggjorte dobbeltpresningssag fandt sted i november 2019 og involverede Allied Universal, et stort amerikansk sikkerhedsbemandingsfirma. Da ofrene nægtede at betale løsepenge for 300 Bitcoins (ca. 2,3 millioner dollars), truede angriberne med at bruge sensitiv information hentet fra Allied Universal's systemer, samt stjålne e-mail- og domænenavnscertifikater til spamkampagner, som hævder at være fra Allied Universal. For at bevise deres pointe offentliggjorde angriberne et udvalg af de stjålne filer, herunder kontrakter, medicinske poster, krypteringscertifikater med mere. I et senere indlæg på et russisk hackerforum inkluderede angribere et link til, hvad de hævdede at være 10% af de stjålne oplysninger, samt et nyt krav om løsepenge, der var 50% højere.

Egne websteder til informations lækager - følger trenden

Cyberkriminalitetsgrupper har fulgt den nye dobbeltpresning-taktik og åbnet deres egne websteder for at offentliggøre og lække stjålne oplysninger som et middel til at lægge ekstra pres på deres ofre for at betale løsepenge. Angribere, der brugte Sodinokibi ransomware (alias REvil), offentliggjorde detaljer om deres angreb på 13 forskellige mål. National Eating Disorders Association (USA) var den seneste på listen over organisationer, der blev angrebet.

Andre angreb, der er tilsluttet trenden inkluderer Clop ransomware, Nemty, DopplelPaymer med flere. Oplysninger, der blev offentliggjort på disse websteder, blev snart fundet udbudt til salg af løsepengegruppen selv eller af andre kriminelle, der indsamlede dataene fra websteder, hvor informationen var dumpet.

Chief Technology Officer hos Check Point Norway, Nils-Ove Gamlem:

- Double Extortion er en klar og voksende løsepenge-angrebstrend. Vi så meget af dette i første kvartal af 2020. Med denne taktik fanger hackere ofrene yderligere ved at lække følsom information til de mørkeste steder på nettet for at underbygge deres løsepenge-krav. Vi er især bekymrede for, at hospitalerne vil blive udsat for denne trussel. Med fokus på coronaviruspatienter ville det være meget vanskeligt at tackle et angreb af denne type. Vi opfordrer til forsigtighed i hospitaler og store organisationer og beder dem om at tage sikkerhedskopier af deres data og give god uddannelse til deres personale.

Hospital - vær forsigtig

Check Point Research beder hospitaler om at være forsigtige, da de er de vigtigste mål for løsepenge, da de er tættest på coronavirus. Løsepengeangreb har ramt mere end 1.000 sundhedsorganisationer i USA alene siden 2016 med omkostninger på i alt mere end $ 157 millioner, ifølge en nylig analyse. I 2017 blev snesevis af britiske hospitaler og medicinske kontorer ramt af løsepengeviruset, der er kendt som WannaCry, hvilket resulterede i tusinder af aflyste aftaler og lukninger af flere ulykkes- og nødhjælpstjenester. I 2019 måtte flere amerikanske hospitaler afvise patienter efter et løsepengeangreb.

Hvordan hospitaler og virksomheder kan beskytte sig selv

I den igangværende kamp mod konstant nye løsepenge-taktikker er det bedste forsvar at forhindre at blive et offer i første omgang. Check Point har tidligere skitseret sin bedste praksis for at hjælpe med at undgå at blive et løsepengeoffer:

1. Sikkerhedskopier data og filer

Det er vigtigt, at du konsekvent sikkerhedskopierer vigtige filer. Aktivér om muligt automatiske sikkerhedskopier for dine medarbejdere, så du ikke er nødt til at stole på dem for at huske at lave regelmæssige sikkerhedskopier på egen hånd.

2. Træn medarbejdere til at genkende potentielle trusler

De mest almindelige infektionsmetoder, der anvendes i løsepenge-kampagner, er stadig spam og phishing-e-mails. Brugernes opmærksomhed kan ofte forhindre et angreb, før det sker. Tag dig tid til at træne dine brugere, og sørg for, at hvis de ser noget usædvanligt, rapporterer de det til sikkerhedspersonalet med det samme.

3. Begræns adgangen til dem, der har brug for det

For at minimere den potentielle indvirkning af et vellykket løsepengeangreb på din organisation skal du sikre dig, at brugerne kun har adgang til de oplysninger og ressourcer, der kræves for at udføre deres job. Hvis du tager denne forholdsregel, reduceres muligheden for et ransomware-angreb på dit netværk i høj grad. Det kan være vanskeligt at adressere et ransomware-angreb på et enkelt brugersystem, men konsekvenserne af et netværksdækkende angreb er dramatisk større.

4. Hold signaturbaseret beskyttelse ajour

Fra informationssikkerhedssiden er det absolut fordelagtigt at holde antivirus- og anden signaturbaseret beskyttelse på plads og ajour. Selvom signaturbaseret beskyttelse alene ikke er tilstrækkelig til at opdage og forhindre sofistikerede løsepengeangreb designet til at undgå traditionel beskyttelse, er de en vigtig komponent i en omfattende sikkerhedsstrategi. Opdaterede antivirusprogrammer kan beskytte din organisation mod kendt malware, der er set før og har en eksisterende og genkendelig signatur.

5. Implementer flerlags sikkerhed, herunder avancerede teknologier for at forhindre trusler

Ud over traditionelle, signaturbaserede beskyttelser, såsom antivirus og IPS, skal organisationer anvende flere lag for at forhindre ny, ukendt malware, der ikke har nogen kendt signatur. To nøglekomponenter, der skal overvejes, er trusselsekstraktion (filrengøring) og trusselsemulering (avanceret sandkasse). Hvert element giver en særlig beskyttelse, som når de bruges sammen, tilbyder en omfattende løsning til beskyttelse mod ukendt malware på netværksniveau og direkte på endepunktenheder.



Leverandører
Ændre marked
Tilbage til toppen