Homeland Security advarer om, at svage adgangskoder kan føre til Ransomware-angreb

Det er et stykke tid siden ransomware-operatører begyndte at fokusere mere på virksomheder og organisationer snarere end individuelle brugere. Det var et temmelig stort skift, og ganske mange mennesker var lidt forbløffet over det, men når du tænker over det, vil du se, at der var et par gode grunde til det.

For det første, jo flere mennesker lærte om vigtigheden af sikkerhedskopier, jo mindre vellykkede blev afpresningsforsøgene. Desuden viste kryptojackingangreb ikke kun meget lettere at trække af, men også mere rentable takket være de stigende cryptocurrency-priser.

Ud over alt dette forstod skurkerne, at i virksomhedsverdenen kunne et ransomware-angreb vise sig at være meget mere forstyrrende. Gendannelse fra en sikkerhedskopi er mere kompliceret for en virksomhed end for en enkelt bruger, og et vellykket angreb kan faktisk tvinge et firma til at lukke sine døre midlertidigt, hvilket kan være ødelæggende. Både angribere og virksomheder burde være opmærksomme på dette nu, men det ser ud til, at masser af organisationer fortsat overbeviser sig om, at det ikke vil ske med dem.

Nefilim ransomware rammer organisationer i New Zealand

I sidste uge udsendte New Zealands Computer Emergency Response Team (NZ-CERT) en rådgivning for at advare organisationen om en ransomware-kampagne, der var i gang med runderne. NZ-CERTs eksperter havde bemærket øget aktivitet fra en ransomware-familie kaldet Nefilim, og de forsøgte at advare virksomhederne om de farer, de står overfor.

Nefilim er baseret på Nemty ransomware, men skurkerne har foretaget adskillige vigtige ændringer, der gør det meget mere velegnet til angreb på organisationer. Ifølge Trend Micro tilbydes Nefilim i modsætning til Nemty ikke som en service, men drives i stedet af en enkelt gruppe, der organiserer målrettede angreb. I henhold til NZ-CERTs rådgivning, når hackerne når fodfæste på et virksomhedsnetværk, bruger de en række forskellige værktøjer til at bevæge sig sideværts og stjæle data, som de senere truer med at sælge, hvis offeret ikke betaler sig. Derefter krypteres offerets filer med en kombination af AES og RSA.

Dette er ikke grunden til, at NZ-CERT udstedte sin rådgivning. Det gjorde det, fordi det overhovedet ikke er svært at forhindre angrebet.

DHS og NZ-CERT: Opdater dine systemer og styr dine adgangskoder på én gang

Når angrebene er rettet mod organisationer snarere end individuelle brugere, har skurkerne en tendens til at undgå at bruge den traditionelle spam-e-mail. I virksomhedsmiljøet har spamfiltrene en tendens til at være lidt mere sofistikerede, og nogle organisationer gennemfører anti-phishing-uddannelsesprogrammer, der hjælper medarbejderne med at forstå truslen bedre.

Nefilim-kampagnen, som så mange andre angreb fra ransomware, er afhængig af sårbare netværk, svage adgangskoder og mangel på tofaktorautentisering. I henhold til det rådgivende mål er skurkerne målrettet mod organisationer, der bruger Remote Desktop Protocol og Virtual Private Networks uden at sikre dem med korrekt godkendelse. Netværk, der ikke har modtaget de vitale sikkerhedsrettelser findes også på hackernes menu, og selv om vi taler om relativt enkle fejl, er antallet af potentielle mål så stort, at det amerikanske agentur for cybersecurity & infrastruktur (CISA), som er en del af Department of Homeland Security, gentog NZ-CERT's advarsler.

Hvis der er noget at gå hen over, vil disse advarsler dog stadig ikke være tilstrækkelige til at få sysadmins overalt i verden til korrekt installation af deres systemer. Dette er langt fra det første angreb, der drager fordel af dårlig netværkskonfiguration, og det vil sandsynligvis ikke være det sidste. Sikkerhedseksperter har advaret brugere og virksomheder om farerne i et stykke tid nu, men dette har tydeligvis ikke haft meget effekt. Den virkelig uheldige ting er, at der på nuværende tidspunkt intet tyder på, at situationen vil forbedre sig i den nærmeste fremtid.