Secuestro de data.
Det är ett ord som kan skicka rysningar längs ryggarna på vem som helst, från en företags C-svit till en hemanvändare. Det är ibland svårt att få en bild av hela ransomware-branschen (och ja, det är en bransch nu). Men baserat på anekdotiska recensioner på forum och sociala medier verkar det som att attackerna mot människor saktar ner. Jag ser inte längre människor som rapporterar att de har blivit attackerade av ransomware på sin dator.
Men angripare kan ha insett att inriktning på "engångsmål" inte är den bästa affärsplanen. Faktum är att i ett nyligen genomfört Microsoft Secure-webinarium (registrering krävs), diskuterar Jessica Payne och Geoff McDonald hur ransomware nu är big business, som erbjuds som en tjänst av de som säljer åtkomst till komprometterade nätverk till andra.
När angripare går efter högprofilerade mål skapar de ofta dålig press för ransomware-branschen. Därför samordnar de nu sina ansträngningar för att undvika rubriker som kan uppmana leverantörer att skärpa säkerheten, slutanvändare att applicera patchar och företag att implementera bättre säkerhetslösningar.
Utöver det riktar angripare också sökresultat för informationsverktyg som IT-team behöver för att utföra sitt jobb. Ett sökresultat kan till exempel leda administratörer till ett skadligt verktyg som lurar dem att installera en potentiell bakdörr. Denna tillgång säljs sedan på den svarta marknaden. (Ransomware-aktörer vet att det enklaste sättet att få tillgång till ett nätverk är att lura den "olappade människan.") Även om företag kan ha större framgång med att patcha operativsystem och Office-paket, är de fortfarande för beroende av slutanvändare för att vara smarta. Såvida inte användare är lätt paranoida – det vill säga stannar upp och tänker efter innan de klickar på länkar och nätfiskesystem – förblir nätverk sårbara.
Ransomware kan också komma in i system på grund av dåliga säkerhetskonfigurationer eller förbisedda sårbarheter. Payne lyfte fram den ytterligare informationen i ett 2022 Ransomware as a Service-blogginlägg. Regler för attackytareduktion (ASR) är fortfarande en verktygsuppsättning som många organisationer inte drar nytta av. ASR-regler kan aktiveras i Windows 10 och 11 Professional-versioner för att förbättra Windows förmåga att blockera angripare.
Även om du inte är en Microsoft 365 Defender-kund kan du implementera ASR-regler; Specifika regler som riktar sig mot ransomware-processer:
- Blockera körbara filer från att köras om de inte uppfyller kriterierna för prevalens, ålder eller förtroendelista.
- Blockera identitetsstöld från Windows Local Security Authority Subsystem (lsass.exe).
- Blockera processskapelser från PsExec- och WMI-kommandon.
- Och använd avancerat skydd mot ransomware.
ASR-regler, som i allmänhet inte har några biverkningar på normal PC-bearbetning, kan konfigureras för att "granska" system istället för att införa begränsningar. Det är ett sätt att testa effekten på ett nätverk.
Dessutom har Microsoft gjort ändringar i Office för att bromsa utplaceringen av ransomware. En ny förändring gäller VBA-makron. Som Microsoft noterade, "VBA-makron är ett vanligt sätt för skadliga aktörer att få tillgång till att distribuera skadlig programvara och ransomware. Därför, för att förbättra säkerheten i Office, ändrar Microsoft standardbeteendet för applikationer Office för att blockera makron i Internetfiler Med denna förändring , när användare öppnar en internetfil, till exempel en e-postbilaga, och den filen innehåller makron, visas ett rött meddelande överst i den öppna filen.
Användare bör identifiera de filer de behöver arbeta med och se till att de inte längre anses vara misstänkta och är markerade som på en betrodd plats. (Du kan kolla in tips här för att se till att du inte låser de filer du behöver.) Som det sägs i presentationen, "Både QakBot och Emotet förlitade sig starkt på skadliga makron för initial åtkomst. Men efter att Microsoft inaktiverat makron globalt, bytte den till andra tekniker, som att använda direktlänkar till nyttolaster och e-postmeddelanden från nätfiske eller bifoga OneNote-bilagor till dessa nätfiske-e-postmeddelanden.
Och från och med den här månaden i OneNote på Windows erbjuds ytterligare skydd för användare som öppnar eller laddar ner en fil inbäddad i OneNote. Användare kommer att få meddelande om filer som anses osäkra, en ändring utformad för att förbättra filskyddsupplevelsen i OneNote. Uppenbarligen försöker Microsoft ligga steget före angriparna.
Vissa ransomware-operatörer övergår nu till utpressning. Genom att helt enkelt visa för ett företag att det kan förstöra data (på plats eller i molnet) utan att faktiskt göra det, kan angripare tjäna pengar utan att orsaka skada. Microsoft är värd för ett uppföljande evenemang från 11 till 13 april för att utöka de ämnen som Microsoft Secure täcker. För ytterligare resurser och information erbjuder SANS-organisationen också ett kostnadsfritt endagsmöte om Ransomware den 23 juni för att diskutera initiala åtkomstvektorer och defensiva tekniker.
Även om situationen med ransomware kan förbättras för hemanvändare, är det inte nödvändigtvis sant för företag. Nu är det dags att undersöka dessa resurser och göra det svårt för angripare att förvandla ditt företag till en inkomstkälla för dem.
Copyright © 2023 IDG Communications, Inc.