Welkom Gas, asseblief Teken aan | Registreer

'N Gids om 'n ransomware-aanval te oorleef

By - Junie 30, 2022 | Categories: Wetenskap en Tegnologie Etikette:

Share this post:

Oliver Tavakoli, CTO by Vectra AI, gee ons hoop dat dit moontlik is om 'n ransomware-aanval te oorleef, solank ons voorbereiding en opsetlikheid toepas op ons verdedigingshouding.

Oorlewende ransomware is moontlik met 'n kombinasie van voorbereiding en opsetlikheid. Dikwels is daar 'n verkeerde karakterisering van ransomware-aanvalle wat impliseer dat verdedigers óf 'n aanval heeltemal dwarsboom óf dat aanvallers volledige beheer oor hul teikens se IT-infrastruktuur vestig. Maar die afgelope paar jaar het geïllustreer dat verdedigers se sukses in die hantering van ransomware-aanvalle langs 'n breë spektrum van potensiële uitkomste val, sommige natuurlik beter as ander.

Dit is ook maklik om te dink dat alle groepe wat in die ransomware-onderneming is, dieselfde vaardighede het, dieselfde doelwitte bereik en onder dieselfde sakemodelle werk. Maar soos in enige vertikale bedryf, het ransomware-groepe 'n wye verskeidenheid vaardighede en 'n verskeidenheid doelwitte en sakemodelle.Infosec Insiders Nuusbrief

En hoewel dit in die mode is om na REvil en DarkSide te verwys as 'franchise-modelle' wat Ransomware-as-a-Service verskaf, is dit belangrik om te onthou dat die franchisenemers effektief vryskut-kubermisdadigers is. Die franchisenemer bied kantoorbedrywighede vir hierdie vryskutwerkers, terwyl hy min invloed uitoefen op hoe hulle andersins werk.

Gegewe bogenoemde, kom ons kyk na elk van die faktore wat die uitkoms van 'n aanval kan beïnvloed.

Aanvaller vaardigheid en volharding

Die vaardighede van die aanvallers en die vaardighede van die verdedigers – plus 'n paar gelukselemente – bepaal gewoonlik die moontlike mate waarin 'n aanval kan vorder:

  • Lae vaardighede: Sommige aanvallers kan vaardig wees om organisasies met agtergeblewe veiligheidspraktyke aan te val, maar sal dikwels hul wedstryd ontmoet in organisasies wat robuuste verdediging het
  • Verkeerde vaardighede: Aanvallers met vaardighede en gereedskap wat nuttig is om tradisionele datasentrums aan te val, sal probleme ondervind om in teikens in te breek wat alles na die wolk verskuif het
  • Slegte geluk: Organisasies wat oor die algemeen gesluit is, maar 'n tydelike blootstelling kan hê waaroor 'n aanvaller toevallig struikel
  • Beste wense: Organisasies wat 'n aanhoudende opening gelaat het (byvoorbeeld oop HOP-toegang na buite in 'n AWS-enklawe) kan baie geluk hê, aangesien geen aanvaller dit teëkom nie

Aanvaller doel

Aanvalsgroepe kan ook spesialiseer in lekgesentreerde teenoor operasiegesentreerde doelwitte.

Lekgesentreerde doelwitte behels die uitwissing en dreiging om vertroulike data wat aan die geteikende organisasie behoort, uit te lek. Die waardevolste gegewens in hierdie verband is dikwels data wat verband hou met kliënte en werknemers van die teiken, aangesien die potensiaal vir reputasie- en regsaanspreeklikheid 'n sterk aansporing vir losprysbetaling is.

Alternatiewelik kan openbare openbaarmaking of verkoop van intellektuele eiendom of handelsgeheime ook die betaling van losprys regverdig. Die speelboek vir sulke aanvalle behels gewoonlik dat die slagoffer 'n voorbeeld van die data stuur om aan te toon wat die aanvaller het. Van daar af kan dit eskaleer tot die bekendmaking van 'n datamonster en kontak met die slagoffer se kliënte om druk op die slagoffer toe te pas om die losprys te betaal.

'N Voorbeeld van 'n aanval met 'n lekgesentreerde doel was die REvil-geassosieerde aanval op Quanta, wat spesifikasies van toekomstige Apple-produkontwerpe geëksfiltreer het. Die aanvallers het eers 'n losprys van $ 50 miljoen van Quanta geëis, maar het gou besluit dat Apple dieper sakke het en probeer om $ 50 miljoen af te pers in ruil daarvoor dat hy nie die data in die openbaar uitgelek het of aan 'n Apple -mededinger verkoop het nie.

Operasiegesentreerde doelwitte behels pogings om die vermoë van die slagofferorganisasie om voort te gaan om te werk, lam te lê. Hierdie aanvalle fokus soms op tradisionele IT-stelsels en teiken ander kere stelsels wat as OT (Operasionele Tegnologie) dien, maar wat dikwels saamgestel word uit verouderde IT-tegnologie (bv.

Die infiltrasie van vertroulike data en openbare lekkasie of verkoop van die data is gewoonlik nie in hierdie skema teenwoordig nie. Die DarkSide-geassosieerde aanval op Colonial Pipeline (wat $ 4.5 miljoen in losprys betaal het) en die REvil-geassosieerde aanval op JBS Foods (wat $ 11 miljoen aan losprys betaal het) het hierdie doel vierkantig geteiken: die lospryse is betaal om vinnige herstel te probeer verseker in die vermoë van die maatskappye om normale bedrywighede te hervat.

Grade van sukses

Verskeie faktore (insluitend geluk) beperk die moontlike uitkomste van 'n ransomware-aanval. Moontlike uitkomste sluit in:

  • Die aanvallers maak onvoldoende vordering met 'n geteikende organisasie en gee moed op. Dit kan wees as gevolg van die waargenome moeilikheidsgraad om die aanval suksesvol uit te voer of omdat sommige ander teikens wat die aanvallers gelyktydig nastreef, meer belowend lyk. Dink hieraan as geleentheidskoste. Hoe dit ook al sy, geen losprys word geëis nie.
  • Die aanvallers slaag tot op 'n punt en glo dat hulle 'n mate van hefboom het om ' n losprys te eis, maar die losprys word uiteindelik nie betaal nie. Die uitkoms in hierdie gevalle is dikwels 'n operasionele impak of reputasieskade, maar uiteindelik oorlewing en (hopelik) 'n gevoel van hernieude verbintenis tot kuberveiligheid.
  • Die aanvallers slaag tot op 'n punt en die losprysversoek is beskeie genoeg dat die slagoffer kan kies om die losprys te betaal aangesien dit goedkoper is as wat die herstelpoging sou wees. Dit kan ook beïnvloed word deur die slagoffer wat 'n kuberversekeringspolis het wat ransomware-dekking bied.
  • Die aanvallers kry toegang tot die kroonjuwele en kan effektief verhoed dat die slagofferorganisasie hul besigheid bedryf. In hierdie geval kan die slagofferorganisasie die losprys betaal (Colonial Pipeline, JBS Foods) en dienste relatief vinnig herstel. Of hulle weier om dit te betaal (sien die RobbinHood-aanval van die stad Baltimore of die Samsam-aanval op die stad Atlanta) en eindig basies om hul IT-infrastruktuur van die grond af te herbou.

Wegneemetes

Jy moet verskeie scenario's dek wat aanvallers dek wat beide lekgesentreerde en operasiegesentreerde doelwitte nastreef en jou reaksies op gedeeltelike en volledige sukses deur die aanvallers oorweeg:

  • Weet wat die omvang van jou kuberversekeringspolis is en watter beperkings dit het.
  • As dit by 'n losprysversoek kom, sal jou kuberversekeringsverskaffer iemand verskaf om losprysonderhandelinge te hanteer?
  • Het jy 'n insidentreaksiefirma op houer?
  • Hoe robuust is jou rampherstelplan?

Baie van hierdie tipe vrae sal voortspruit uit tafelbladoefeninge wat jou sal help om meer voorbereid te wees indien die noodlottige dag aanbreek.

Oliver Tavakoli is CTO by Vectra AI.

Geniet bykomende insigte van Threatpost se Infosec Insiders-gemeenskap deur ons mikrosite te besoek.

Also Read >>>> 👇👇👇👇


Liverpool-eienaars FSG sal nuwe aandeelhouers 'oorweeg' te midde van verkoopsverslae

Man City teiken meer glorie nadat rekordinkomste gerapporteer is

Union Bank, Attijariwafa seëlverdrag om Afrika se voetspoor uit te brei

Hoe swak geregtelike, arbitrasiestelsels Nigerië se beleggingsdrang ondermyn

InfraCredit stel Gupta aan as voorsitter, Umar-Sadiq, Ihebuzor as direkteure

PEARL-toekenningstake gelys firmas oor innovasie

NAICOM om markgroei te verdiep met mikroversekeringskema