De toename van ransomware-aanvallen met dubbele afpersing.

Een beeld van , Business, De opkomst van ransomware-aanvallen met dubbele afpersing.

Ransomware-aanvallen met dubbele afpersing nemen toe. Volgens CipherTrac zijn dit soort aanvallen vorig jaar met 500% toegenomen, waarbij betalingen aan ransomware-groepen in de eerste zes maanden $ 590 miljoen bereikten.

Deze verraderlijke aanvallen gebruiken hetzelfde concept als een ransomware-aanval, maar erger. Zodra de hacker toegang heeft tot het IT-netwerk van de organisatie, infiltreren ze de gegevens en versleutelen ze het systeem. Ze beschouwen dit als hun eigen back-upbeleid. Als een organisatie bijvoorbeeld een goede onveranderlijke back-up heeft en haar systemen kan herstellen zonder losgeld te betalen, dan kunnen de aanvallers het roer omgooien en dreigen alle gegevens die ze al hebben geëxfiltreerd publiekelijk te lekken, wat kan leiden tot boetes en vervolging van klanten , als ze geen betaling ontvangen.

Maar zelfs als het slachtoffer besluit te betalen om de decoderingssleutel op te halen, kunnen cyberbendes de gegevens nog steeds als hefboom gebruiken en dreigen de informatie te lekken in ruil voor een tweede losgeld. En sommige criminelen stoppen daar niet. Vervolgens verkopen ze de intelligentie en gegevens die ze nu over het bedrijf hebben aan andere cyberbendes - een drievoudige ransomware-aanval met afpersing - waardoor de kans groter wordt dat het bedrijf opnieuw wordt geraakt en het volledige losgeld wordt betaald.

cyclus begint weer. Alle organisaties die hebben betaald, worden ook gemarkeerd als een zacht doelwit. Een beetje zoals een kredietscore, cyberbendes beoordelen de 'goede betalers'.

Het minste van twee kwaden

Het betalen van losgeld houdt de cyclus van cyberaanvallen alleen maar in stand. Als niemand zou betalen, zou er geen geld zijn om de criminele bendes van brandstof te voorzien.

Het is echter niet zo eenvoudig als een bedrijf wordt geconfronteerd met de keuze om aan de vraag naar losgeld te voldoen of mogelijk failliet te gaan. Criminelen kennen de dreiging die ze vormen. Ze weten dat organisaties er vaak alles aan zullen doen om zichzelf uit de greep van deze bendes te bevrijden, zodat ze weer aan de slag kunnen - het is een minste van de twee kwaden.

De beslissing om de criminelen te gehoorzamen kan een organisatie echter vaak uit handen nemen door verzekeringsmaatschappijen. Ze worden plotseling passagiers op de achterbank tijdens het losgeldproces. Ik heb gewerkt aan zaken waarin juridische teams van de slachtofferorganisatie hebben verklaard dat als de aanval geacht wordt uit Rusland te komen, betalen een schending van de Britse sancties zou zijn.

Bedrijven mogen pas met dreigingsactoren omgaan als ze duidelijkheid hebben gekregen van hun verzekeringsmaatschappij. Beleid kan veel dingen bepalen, van het maximale bedrag dat de verzekeraars zullen uitkeren tot de eis dat de verzekeraars of verzekeraars een eerste beoordeling uitvoeren voordat ze iets verder doen. We hebben bijvoorbeeld de schade gezien die deze aanvallen hebben op bedrijven, na een grote ransomware-aanval van bijna acht maanden op de gemeente Gloucester, is de gemeente nog steeds bezig met het herbouwen van zijn IT-systeem.

Na een aanval zullen de meeste bedrijven druk bezig zijn om gegevens van hun versleutelde systemen te herstellen, terwijl ze worstelen om te identificeren welke bestanden of gegevens wel of niet zijn verwijderd. Het risico bestaat dat de aanvaller gewoon doet alsof hij uw bestanden heeft, maar in de meeste gevallen zullen ze de meest gevoelige gebieden hebben geïdentificeerd en de bestanden hebben geëxfiltreerd voordat ze ze versleutelen.

Bescherm tegen dubbele afpersing ransomware

Helaas, zonder adequate cyberverdedigingssystemen, goed bestuur en controle, en adequate cyberbewustzijnstraining van medewerkers, zijn ransomware-aanvallen met dubbele afpersing een gemakkelijke manier voor hackers om de grootst mogelijke verwoesting aan te richten. Het hoeft alleen maar dat een gebruiker op de link klikt of een phishing-e-mail ontvangt, en er zijn voortdurend netwerkkwetsbaarheden die criminelen kunnen binnendringen.

Volgens de Amerikaanse National Security Chief zou 80% van de cyberaanvallen kunnen worden gestopt als Multi-Factor Authentication (MFA) zou worden ingeschakeld en gehandhaafd. Het Cyber ​​Essentials-certificeringssysteem vereist ook dat organisaties beschikken over Two Factor Authentication en MFA, dat netwerken elke zeven tot veertien dagen worden gepatcht en dat Britse bedrijven voorkomen dat iemand buiten het VK toegang krijgt tot hun netwerk. Door alle niet-VK's te blokkeren IP adressen beperkt de blootstelling van de organisatie aan buitenlandse aanvallen.

Niets is echter ooit 100% veilig. Een groot deel van het minimaliseren van het risico en de impact van een aanval is ervoor te zorgen dat u de vele manieren hebt geïdentificeerd waarop een systeem kan worden gecompromitteerd en wat het reactieplan van uw bedrijf is in het geval van een aanval.

Veel grote ondernemingen zullen een plan hebben, met de belangrijkste stappen die moeten worden genomen bij een inbreuk, van communicatie in de eerste fase tot hoe het interne team kan samenwerken om de aanval zo snel mogelijk te verhelpen. Hoe gaan ze bijvoorbeeld gegevens herstellen, back-uppen en versleutelen? De snelheid waarmee u op een inbreuk kunt reageren, is van cruciaal belang om de schade van een aanval te minimaliseren.

Zorg ervoor dat u in het geval van een inbreuk snel toegang krijgt tot een gevechtsbox met alle kritieke bedrijfsinformatie, zoals deze incidentresponsplannen, cyberverzekeringsdocumenten, kritieke telefoonnummers enz. Bewaar deze

gescheiden van het bedrijfsnetwerk, zoals op Google of een andere provider, zodat het niet kan worden aangetast. Hetzelfde geldt om ervoor te zorgen dat u een goed back-upsysteem hebt dat zich niet in het hoofdbedrijfsnetwerk bevindt, zodat hackers zich niet zijdelings over uw systemen kunnen verplaatsen. Ik heb incidenten gezien waarbij organisaties de aanvallers vertelden dat ze de eisen niet konden betalen, waarop de aanvallers reageerden door de organisatie hun eigen cyberverzekeringspolis te sturen, wat aantoonde waarom organisaties dergelijke gegevens extern zouden moeten opslaan.

Voor bedrijven die de extra kosten van het op afstand bewaren van hun battlebox misschien niet willen, is het alternatief om een ​​afdruk veilig in een kluis te bewaren, maar dit betekent dat u ervoor moet zorgen dat deze up-to-date blijft en opnieuw wordt afgedrukt, wat gemakkelijk kan worden vergeten.

Ransomware-aanvallen met dubbele afpersing zullen alleen maar geavanceerder en gebruikelijker worden naarmate organisaties bekend raken met de capriolen van cybercriminelen en hun eisen. De manier om ze te stoppen is om voorbereid te zijn en dat betekent mensen, processen en technologie.