Homeland Security varnar för att svaga lösenord kan leda till Ransomware-attacker

DHS Warns about Weak Passwords and Ransowmare Attacks

Det har gått ett tag sedan ransomware-operatörer började fokusera mer på företag och organisationer snarare än enskilda användare. Det var ett ganska stort skifte, och en hel del människor var något dumma av det, men när du tänker på det ser du att det fanns några goda skäl till det.

För det första, ju fler människor lärde sig om vikten av säkerhetskopior, desto mindre framgångsrika blev utpressningsförsöken. Dessutom visade sig cryptojacking-attacker inte bara mycket lättare att dra av utan också mer lönsamma tack vare de stigande cryptocurrency-priserna.

Utöver allt detta insåg skurkarna att i företagsvärlden kunde en ransomware-attack visa sig mycket mer störande. Att återställa från en säkerhetskopia är mer komplicerat för ett företag än för en enskild användare, och en framgångsrik attack kan faktiskt tvinga ett företag att stänga sina dörrar tillfälligt, vilket kan vara förödande. Både angripare och företag borde vara väl medvetna om detta nu, men det ser ut som att många organisationer fortsätter att övertyga sig själva om att det inte kommer att hända dem.

Nefilim ransomware träffar organisationer i Nya Zeeland

Förra veckan utfärdade Nya Zeelands Computer Emergency Response Team (NZ-CERT) ett rådgivande för att varna organisationen om en ransomware-kampanj som genomförde rundorna. NZ-CERTs experter hade märkt ökad aktivitet från en ransomware-familj som heter Nefilim, och de försökte varna företag om farorna de står inför.

Nefilim är baserat på Nemty ransomware, men skurkarna har gjort flera avgörande ändringar som gör det mycket lämpligare för attackerande organisationer. Enligt Trend Micro, till skillnad från Nemty, erbjuds inte Nefilim som en tjänst utan drivs istället av en enda grupp som organiserar riktade attacker. Enligt NZ-CERTs rådgivning, när hackarna en gång har fotfäste i ett företagsnätverk, använder de olika verktyg för att röra sig i sidled och stjäla data, som de senare hotar att sälja om offret inte betalar upp. Därefter krypteras offrets filer med en kombination av AES och RSA.

Detta är dock inte anledningen till att NZ-CERT gav ut sin rådgivande. Det gjorde det eftersom det inte alls är svårt att förhindra attacken.

DHS och NZ-CERT: Lappa dina system och stärka dina lösenord på en gång

När attackerna är inriktade på organisationer snarare än enskilda användare tenderar skurkarna att använda det traditionella skräppostmeddelandet. I företagsmiljön tenderar skräppostfiltrarna att vara lite mer sofistikerade, och vissa organisationer genomför antiphishing-utbildningsprogram som hjälper anställda att förstå hotet bättre.

Nefilim-kampanjen, som så många andra ransomware-attacker, förlitar sig på sårbara nätverk, svaga lösenord och brist på tvåfaktorautentisering. Enligt rådgivningen riktar skurkarna organisationer som använder Remote Desktop Protocol och Virtual Private Network utan att säkra dem med korrekt verifiering. Nätverk som inte har fått de viktiga säkerhetsuppdateringarna finns också på hackarens meny, och även om vi talar om relativt enkla misstag, är antalet potentiella mål så stort att den amerikanska byrån för cybersecurity & Infrastructure Security (CISA), som ingår i Department of Homeland Security, upprepade NZ-CERT: s varningar.

Om erfarenhet är något att gå, men dessa varningar kommer dock fortfarande inte att räcka för att få sysadmins över hela världen för att korrekt installera sina system. Detta är långt ifrån den första attacken som utnyttjar dålig nätverkskonfiguration, och det kommer förmodligen inte att vara det sista. Säkerhetsexperter har varnat användare och företag om farorna ett tag nu, men detta har uppenbarligen inte haft så mycket effekt. Det riktigt olyckliga är att det för närvarande inte finns något som tyder på att situationen kommer att förbättras inom en snar framtid.

June 26, 2020

Lämna ett svar