Ransomware har raskt blitt mer sofistikert, og har fått økt angrepshastighet i løpet av de siste par årene, til det punktet hvor det representerer den mest umiddelbare og potensielt mest ødeleggende trusselen for organisasjoner og individer. Dette har vært kjent for sikkerhetssektoren i et tiår eller mer, men på grunn av den økte effektiviteten i å omgå eksisterende sikkerhetsprotokoller er det et umiddelbart behov for å ta grep. Richard Foulkes, konsulent på cybersikkerhet, mener at økt opplæring er en nøkkelfaktor i å vinne krigen mot disse opportunistiske kriminelle foretakene.
Næring til flammene
Tidligere var ransomware mer som et DDOS-angrep, med ett spesifikt mål i sikte. Der hvor angrepet var mer spredt, ble også effektiviteten redusert. Disse angrepene var mer av irritasjon, og ikke spesielt utbredte, så den generelle advarselen i selskaper var å unngå mistenkelige nettsider og e-poster. Kort fortalt var ryktene og oppfatningen av slike angrep verre enn selve angrepet. Det som har endret seg nå er teknologien brukt i angrepene og angripernes muligheter for anonym inntjening.
- Ankomsten av CryptoLocker bragte kryptering på banen, med ødeleggende effekt for noen.
- Ankomsten av Tor (The Onion Router), opprinnelig utviklet for bruk i hemmelig etterretning, samt utviklingen av Bitcoins, har gitt kriminelle det de setter mest pris på – anonymitet. Evnen til å operere og bli belønnet anonymt har fungert som bensin på bålet.
- Siden kriminelle ikke legger ære i det, har spredningen av ransomware aksellerert gjennom deling av teknologi – til en fast pris kan en ikke-hacker få verktøyene til å starte et angrep, med et garantert minimums-utbytte. Det har blitt en “as a service”-operasjon, og gjøres mulig gjennom anledningen til å være anonym.
Disse tre akselleratorene har endret det som tidligere var et minimalt problem, til dagens “inferno” av trusler mot selskaper og individer, og dette har skapt en situasjon som vil bli enda mer alvorlig dersom den ikke håndteres nå.
VI LÅNER EN SITAT FRA NELSON MANDELA
Overskriftene om angrep er mange, og alle organisasjoner kan potensielt bli berørt. Mens antallet berørte fortsatt er relativt lavt, så har mange av disse måttet betale seg ut av uføret. Det er selskaper innen SMB-segmentet, multinasjonale selskaper eller individer – angrepene diskriminerer ikke. Det trengs bare en liten åpning i rustningen for å lykkes med et angrep – en uerfaren resepsjonist på vikaroppdrag, f.eks. Et par faktorer må være fremst i tankene:
Den potensielle trusselen er enorm og mange kan være sårbare. De nye angriperne vokser raskt i antall, har stor rekkevidde og bryr seg ikke om den “normale angrepsmåten”, med foregående undersøkelser og planlegging – de kaster seg i det og håper de har flaks. Muligheten for å angripe er billigere og enklere nå enn noen sinne, så det er stadig flere “krokodiller som jakter på gnuflokken”.
I følge FBI har mer enn 40 % av organisasjoner utsatt for angrep betalt seg ut av det, og med det er de med på å drive hele det kriminelle foretaket videre. Det er også de som mener at det å betale en liten sum løsepenger er det beste for alle. Hvis de kriminelle får enkel tilgang til pengene har de en tendens til å holde løftet sitt og frigi dekrypterings-nøkkelen, og dermed holdes løsepengesummen lav. Dette er ikke et synspunkt vi deler.
Å slåss mot en slik “bransje” krever en endring i adferd – sikkerhetsadferd og brukeradferd. Den mest sårbare sektoren er kanskje SMB-sektoren, da de mest sannsynlig ikke har ekspertisen, evnene og kunnskapen til å skjønne risikoen og faren, samt vite hvordan de skal respondere på den. For å endre adferden, gjør som Nelson Mandela sa:
“UTDANNING ER DET STERKESTE VÅPEN DU KAN BRUKE FOR Å ENDRE VERDEN” – KUNNSKAP GIR TRYGGHET
Opplæring er den viktigste, men likevel mest oversette faktoren i kampen mot angrep. Kun ved å forstå hva man slåss mot kan man håndtere det korrekt teknologisk og adferdsmessig innen selskapet – hva gjør man idet man blir angrepet? Et omfattende, koordinert opplæringsprogram er påkrevd, da ransomware for det meste er opportunistisk. Ved å fjerne muligheten flytter man trusselen til et annet sted, og ved å gjøre det kollektivt fjerner man den globale trusselen. Krokodillene må gå sulten hvis gnuflokken finner seg en ny plass å krysse elven.
Det er flere aspekter ved opplæringen man må ta hensyn til, for å bli motstandsyktig mot angrep:
- Opplæring av forretningseierne om realiteten av hva som kommer, og behovet for å styrke sikkerhetsteamet, slik at de kan agere i henhold til fastsatte planer, uten å måtte få godkjenning av hvert steg på veien.
- Opplæring av sikkerhetsteamet om neste generasjons sikkerhet og hvorfor behovet for strategier i flere lag nå er en realitet. Tankegangen må være “når” angrepet skjer, i stedet for “hvis” angrepet skjer, og dermed ha planene klare.
- Opplæring av brukerne på hvordan de skal opptre på en årvåken og bevisst måte og rollen de spiller i å beskytte organisasjonen. Det er på tide med et skikkelig opplæringsprogram for ansatte, hvor de lærer hvordan f.eks. phising-epost ser ut. Det holder ikke lenger med gode råd over en kaffekopp.
Øk forståelsen og opplæringen internt, og skaff en tilstrekkelig god løsning for forsvar – motstandsdyktigheten og sikkerheten til organisasjonen blir bedre. Med IoT og et stadig økende antall endepunkter vil neste generasjons malware bli enda mer avansert og man må ta grep nå.
Vårt CARM-rammeverk setter våre partnere i stand til anbefale de riktige løsningene til sine kunder, slik at de kan møte angrep på en sikker måte. CARM setter kundene i stand til å beskytte seg og agere korrekt når angrep skjer, og sikrer den rette løsningen for alle organisasjoner, alle budsjetter og alle situasjoner.
Det er på tide å la krokodillene sulte!
Vi i Exclusive Networks har erfaring på ransomware og har store ressurser og kunnskaper som vi kan dele for å hjelpe alle med å bli oppmerksomme på, motstandsdyktige mot og trygge fra ransomware-angrep.