Hjemmesikkerhet advarer om at svake passord kan føre til angrep på Ransomware

Det er en stund siden ransomware-operatører begynte å fokusere mer på bedrifter og organisasjoner fremfor individuelle brukere. Det var et ganske stort skifte, og ganske mange mennesker var noe stumme over det, men når du tenker på det, vil du se at det var noen gode grunner til det.

For en, jo mer folk lærte om viktigheten av sikkerhetskopier, jo mindre vellykkede ble utpressingsforsøkene. Cryptojacking-angrep viste seg ikke bare å være mye lettere å trekke av, men mer lønnsomt også, takket være de stigende cryptocurrency-prisene.

I tillegg til alt dette, skjønte kjeltringene at i bedriftsverdenen kunne et ransomware-angrep vise seg å være mye mer forstyrrende. Å gjenopprette fra en sikkerhetskopi er mer komplisert for en virksomhet enn for en enkelt bruker, og et vellykket angrep kan faktisk tvinge et selskap til å stenge dørene midlertidig, noe som kan være ødeleggende. Både angripere og selskaper bør være klar over dette nå, men det ser ut som om mange organisasjoner fortsetter å overbevise seg om at det ikke vil skje med dem.

Nefilim ransomware treffer organisasjoner på New Zealand

Forrige uke ga New Zealands Computer Emergency Response Team (NZ-CERT) en rådgivning for å advare organisasjonen om en ransomware-kampanje som var i ferd med å gjøre rundene. NZ-CERTs eksperter hadde lagt merke til økt aktivitet fra en ransomware-familie kalt Nefilim, og de prøvde å advare selskaper om farene de står overfor.

Nefilim er basert på Nemty ransomware, men kjeltringene har gjort flere viktige modifikasjoner som gjør det mye mer egnet for å angripe organisasjoner. I følge Trend Micro blir ikke Nefilim i motsetning til Nemty tilbudt som en tjeneste, men drives i stedet av en enkelt gruppe som organiserer målrettede angrep. I følge NZ-CERTs rådgivning, når hackerne når fotfeste i et bedriftsnettverk, bruker de en rekke verktøy for å bevege seg sideveis og stjele data, som de senere truer med å selge hvis offeret ikke betaler opp. Etter det blir offerets filer kryptert med en kombinasjon av AES og RSA.

Dette er ikke grunnen til at NZ-CERT ga sin rådgivning. Det gjorde det fordi det i det hele tatt ikke er vanskelig å forhindre angrepet.

DHS og NZ-CERT: Lapp opp systemene dine og styr passordene dine samtidig

Når angrepene er rettet mot organisasjoner i stedet for individuelle brukere, har skurkene en tendens til å unngå å bruke den tradisjonelle spam-e-posten. I bedriftsmiljøet har spamfiltrene en tendens til å være litt mer sofistikerte, og noen organisasjoner gjennomfører opplæringsprogrammer mot phishing som hjelper ansatte til å forstå trusselen bedre.

Som så mange andre ransomware-angrep er Nefilim-kampanjen avhengig av sårbare nettverk, svake passord og mangel på tofaktorautentisering. I følge rådgivningen retter skurkene seg mot organisasjoner som bruker Remote Desktop Protocol og Virtual Private Networks uten å sikre dem med riktig godkjenning. Nettverk som ikke har mottatt de viktige sikkerhetsoppdateringene, er også på hackernes meny, og selv om vi snakker om relativt enkle feil, er antall potensielle mål så stort at US Cybersecurity & Infrastructure Security Agency (CISA), som er en del av Department of Homeland Security, gjentok NZ-CERTs advarsler.

Hvis det er noe å gjøre med erfaring, vil disse advarslene likevel ikke være nok til å få sysadminer over hele verden til å sette opp systemene sine på riktig måte. Dette er langt fra det første angrepet som utnytter dårlig nettverkskonfigurasjon, og det vil sannsynligvis ikke være det siste. Sikkerhetseksperter har varslet brukere og bedrifter om farene i en stund nå, men dette har tydeligvis ikke hatt så stor effekt. Det virkelig uheldige er at det på dette tidspunktet ikke er noe som tyder på at situasjonen vil forbedre seg i nær fremtid.