Ransomware te domineren cybercrime in 2020

Over de auteur
Als mijn team zijn de ‘first responders’ voor cyberaanvallen, krijgen we een interessante kijk op cybersecurity – in termen van wat aanvallen zijn echt raken van organisaties en hoe ze invloed hebben op hen, en in termen van inzicht in de motieven van degenen die de lancering van de aanvallen. Overweldigend, de aanvallen zien we bedoeld zijn af te persen of geld te stelen.

We doorgaans zien infecties met Emotet en Trickbot voor de implementatie van Ryuk: deze pre-infecties beginnen meestal een week of twee voor Ryuk is geleverd, zodat IT-teams moeten kijken uit voor het tekenen van deze sluipende agenten. Wij adviseren u een volledige compromis assessment enige tijd zijn er tekenen van een inbraak.
In conclusie, de oude trucs die hackers en criminelen zijn gebruikt voor jaren worden nog steeds gebruikt in de overgrote meerderheid van de aanvallen. Dit betekent dat relatief eenvoudige preventieve maatregelen kunnen voorkomen dat deze aanvallen van het veroorzaken van schade en ontwrichting.

E-mail exploits

Een belangrijke trend die we hebben gezien in 2019 wordt het bedrag van het verzamelen van inlichtingen die aanvallers doen op hun slachtoffers. Dit omvat het bestuderen van de SEC rapportages van de onderneming in de financiële positie, en het gebruik van deze schaal hun losgeld eisen. Terwijl wij onderhandelen niet met actoren op betalingen in één geval een klant verzekeringsmaatschappij aangesloten met een bedreiging van de acteur om te onderhandelen over een betaling.
E-mail is de methode van de levering voor meer dan een derde van de incidenten die wij behandelen. Hoewel dit lijkt misschien voor de hand liggende opgave, de enorme omvang van de succesvolle aanvallen gelanceerd vanaf de kwaadaardige e-mails maakt dit probleem de moeite waard te onderzoeken. We vinden op e-mail gebaseerde incidenten vallen in drie categorieën:
Ik geloof dat de bedreigingen zien we in 2020 zal deze niet erg verschillen met die bedreigingen we al weten maar al te goed. Terwijl mijn team af en toe bezig met een aantal nieuwe geavanceerde bedreigingen, deze zijn altijd enorm in de minderheid door common-of-tuin-e-fraude, ransomware aanvallen en de versleten oude exploits. Hier, ik zal het verkennen van de drie belangrijkste soorten incidenten die we zien, en een deel van de lessen die de organisaties van hen kunnen leren om te verbeteren van hun beveiliging.
Identificatie diefstal is een zeer effectieve manier om door te dringen in een bedrijf. We zien veel verschillende campagnes, zowel gericht en massa-mail. Het merendeel van de succesvolle exploits worden beperkt tot 2 of 3 gebruikers per organisatie met de aanvaller de uitbreiding van hun bereik intern met extra phishing-e-mails, die zich voordeed als een vertrouwde medewerker. De meeste bedrijven hebben geen bescherming, hetzij om het te beveiligen tegen aangetast referenties, of blokkeren van phishing-e-mails – dit is een gebied dat aandacht nodig heeft.

Ransomware nog steeds actief

Helaas voor netwerk beheerders, die we meestal zien ransomware aanvallen die ontstaan is tijdens het weekend of feestdagen wanneer de middelen zijn het meest beperkt. Dus als patches, upgrades en andere IT-activiteiten nog niet genoeg is, bereid je voor op een ernstige verstoring als u geen controles te beschermen tegen ransomware. Als je het niet voor te bereiden, kun je verwachten dat je het weekend en op feestdagen worden verstoord.
Dan Wiley is het Hoofd van Check Point‘s Incident Response Team.
Ransomware incidenten goed voor ongeveer 30% van de incidenten die wij behandelen, maar die zijn veruit de meest indrukwekkende incidenten. Elke ransomware geval hanteren wij veroorzaakt aanzienlijke verstoring van klanten van financiële verliezen voor het bedrijfsleven shutdowns dat meestal duurde overal 5 tot 10 dagen, te weken van de schoonmaak, waarin opgenomen het volledige systeem opnieuw opgebouwd en merk herstel werken. In een aantal gevallen verliezen werden gemeten in miljoenen dollars en duizenden uren van de sanering.
Tijdens die onderhandelingen is de acteur op de hoogte van de verzekeringsmaatschappij dat ze wist precies hoe veel contant geld bij de hand de klant had en niet zou onderhandelen over een lagere betaling.
Ryuk ransomware is verantwoordelijk voor de meerderheid van de gevallen hebben we behandeld in de eerste helft van het jaar 2019. In de meeste van deze, Ryuk was nooit rechtstreeks, maar een cast van andere malware werd gebruikt om te dienen tot de laatste Ryuk infectie.
We zien ook EternalBlue kwetsbaarheden nog steeds actief misbruikt binnen van klanten omgevingen. Deze werden uitgebuit door WannaCry en NotPetya, en patches zijn beschikbaar voor meer dan twee jaar. We kunnen niet genoeg benadrukken dat strenge patchen is effectief in het stoppen van veel van de aanvallen die wij regelmatig behandelen.

Oude aanvallen, nieuwe doelen

Vallen bots en malware: een e-mail met een bijlage, zoals een factuur, verzending van de aankondiging of van een soortgelijk document anders dat mensen verwachten dat de levering methode is nog steeds zeer effectief, simpelweg omdat veel organisaties nog niet over een geavanceerde controles rond e-mail, hetzij op de toepassing of het eindpunt.
Je zou denken dat de aanval vectoren die we hebben gezien voor jaren zou uiteindelijk sterven ze af met de introductie van nieuwe maatregelen of technieken. Maar dat is niet het geval. 16% van de incidenten die we behandeld in Q1 werden in verband met een cast van ‘oldies maar goodies, zoals de brute kracht aanmeldingen, identificatie-vulling, en aanslagen tegen PowerShell en RDP.
Dan Wiley is het Hoofd van Check Point ‘ s Incident Response Team.
Het interessante is dat deze aanvallen zijn nu gericht op de cloud, eerder dan de legacy-infrastructuur van het netwerk. Als een resultaat, is het cruciaal om ervoor te zorgen dat u de zichtbaarheid en controle over de cloud diensten die u gebruikt, zoals SaaS, IaaS en PaaS. In andere woorden, zorg ervoor dat uw aaS ‘ s zijn gedekt. Zakelijke e-mail compromis (BEC) is een verlenging van de identificatie diefstal, waar de aanvaller doet zich voor als een vertrouwde medewerker, of wanneer aanvallers zelf invoegen in een e-mail conversatie ofwel van externe of interne bronnen, en het aanpassen van belangrijke informatie op het juiste moment, zoals de bank routing informatie. Wij hebben gezien dat deze aanval zeer succesvol met meerdere klanten te verliezen miljoenen dollars om te misrouted betalingen aan een aanvaller bankrekening. Gebruiker onderwijs is een belangrijk onderdeel van het stoppen van dure BEC incidenten bij de bron.