1. Supply Chain Attacks – Ransomware især – vil være den største trussel for enhver virksomhed på kloden.
Der er to aspekter, der virkelig generer mig om ransomware’s udvikling i 2022: leveringstilstanden og den mekanisme, hvorigennem kryptering er lavet.
LEVERINGSTILSTAND
De såkaldte Ransomware-at-the-Source og Brute Force Attacks med ransomware som slutmål har de sidste år vundet massiv popularitet blandt cyber-kriminelle og er bestemt en tendens, der vil udvikle sig i 2022.
- Både Windows- og Linux-operativsystemer er til en vis grad sårbare over for denne Ransomware-at-the-Source-tendens. For et par måneder siden afslørede en expert i sikkerhed en zero-day sårbarhed i Windows 10, der nemt kan give admin rettigheder.
- Fantom ransomware i operatørernes MO var en anden alarmerende hacking tilgang i forbindelse med Windows OS: som en del af en stigende tendens til trusler, der efterligner kendte og betroede applikationer, Fantom viste en Windows Update-lignende skærm til sine brugere, som faktisk var en virus, der krypterede filer i baggrunden.
Baseret på at Windows i dag har over 76% markedsandel på operativsystemer, mener jeg at Microsoft Windows vil være en Ransomware-at-the-Source / Supply-Chain-Attack som hackerne vil prioritere i 2022. Hvis Windows Update på nogen måde bliver kompromitteret, ville virkningerne være helt forbløffende, og jeg er sikker på et par meget avancerede hacker grupper allerede forsøger at ”arbejde” deres vej ind i Microsoft, og derefter videre til forsyningskæder via kunder ved hjælp af Windows Update-systemer.
Hvordan skærer man hurtigt opdatering af Windows 10 fra sine systemer?
- Angreb imod Linux udgør en alvorlig trussel. Et Linux-lager repræsenterer en lagerplacering, der er vært for de OS-opdateringer og -programmer, som systemet henter og installerer. Samlingerne af software fra et lager opbevares på fjernservere og bør være meget sikre, da de er omhyggeligt testet og designet til kun at være kompatible med bestemte versioner. Men, de kan stadig være sårbare over for angreb – en af de ældste og farligste cyber trusler, hvilket indebærer tilføjelse af upålidelige input til et program. Selv om tilføjelsen vil blive fortolket som en naturlig forespørgsel eller kommando, vil det yderligere forstyrre softwarens udførelse på enheden det er installeret på og dermed være sårbar over for ransomware.
- På samme måde skal enhedsproducenterne også være opmærksomme på ikke at blive tilbehør til kriminelle operatører ved at frigive kompromitterede slutpunkter på markedet.
Brute Force angreb
Brute force angreb er sidst blevet hackernes foretrukne måde at levere ransomware, og jeg er sikker på, at denne tendens vil være attraktiv for dem i nogen tid fremefter.
Et brute force-angreb´s metode er enkel, men meget effektiv: Det indebærer at spille et gættespil for at bestemme en person´s brugernavn og adgangskode og derefter bruge kryptografiske funktioner til at opnå godkendelses-legitimationsoplysningerne.
For at omgå godkendelsesprocesser kan hackere anvende scriptede apps og bots, der tester populære eller endda reelle legitimationsoplysninger fra databrudslister, som er tilgængelige på ”The Dark Web”. I 2022 kan vi også se brute force-angreb, der gør brug af API’er og SSH for at få adgang til de målrettede enheder, samt en alarmerende udvikling af de værktøjer, hackere bruger til at afdække komplekse adgangskoder, der følger den klassiske formel med bogstaver, specialtegn og tal.
Ved at tvinge deres vej ind i dine slutpunkter får hackere adgang til alt, hvad du også har adgang til, og de vil desværre være i fuld kontrol. Dette vil uden tvivl få dig til at miste vigtige data, meget tid, måske endda kunder og forretningspartnere, og selvfølgelig massive mængder penge, som du ellers kunne investere i din virksomheds rejse fremadrettet.
Når vi taler om forebyggelsesstrategier, implementering af multifaktorgodkendelse og installation af en alsidig privilegeret adgangsstyringsløsning, der strengt kan kontrollere tildelingen af adgangsrettigheder og også deeskalere rettigheder ved trusselsregistrering, er helt sikkert fantastiske måder at afbøde denne fantastiske cybersikkerhedsmarkedsudfordring på.
KRYPTERINGSMEKANISMER
I klassisk ransomware grunder arbejdet i at kryptere filer ved hjælp af asymmetriske krypteringsteknikker. Den udsendte malware vil vise en besked med et par detaljer om, hvad der skete, og hvordan ofrene skal betale løsesummen for at få dekrypteringsnøglen til at inddrive deres filer.
Men cyberkriminelle er også innovatorer, og de fortsætter med at komme med nye metoder til at nå deres ulovlige formål.
- Dette er og vil helt sikkert være tilfældet med ransomware udvikling i de følgende år. Vi har set en udvikling i retning af kryptering af diskdrivere på servere ved hjælp af ellers legitime tredjeparts disk krypteringsværktøjer i en ny ransomware stamme, som vi har fundet i begyndelsen af august, DeepBlueMagic Ransomware.
- Et andet nyligt eksempel på, hvordan cyberkriminelle kan drage fordel af Windows-komponenter eller -processer, er relateret til kapring af Microsoft Windows Encrypting Filesystem, som giver brugerne mulighed for at kryptere bestemte mapper og filer. Denne kritiske tilgang vil kræve cybersikkerhed leverandører til hurtigst muligt at finde den bedste forebyggelse eller afbødningsmetode, ved at gå ud over de klassiske signatur-baserede værktøjer på markedet.
- Fremadrettet bør vi også være opmærksomme på en anden innovativ ransomware krypteringsmekanisme – den ”intermiterende kryptering” ” af LockFile-truslen, der for nylig blev opdaget af Sophos. LockFile ransomware virker ved at kryptere hver 16 byte af en fil, hvilket gør den beskadigede fil meget lig den ukrypterede oprindelige fil og meget svær at opdage.
Threatpost udtaler:
”Forskere forklarer at Ransomware, først udnytter unpatched ProxyShell fejl og derefter bruger, hvad der kaldes et PetitPotam NTLM relay-attack til at tage kontrol over et offers domæne. I denne type angreb benytter en hacker Microsofts Encrypting File System Remote Protocol (MS-EFSRPC) til at oprette forbindelse til en server, kapre godkendelses- session, og manipulere resultaterne, således at serveren derefter tror, at angriberen har en legitim ret til at få adgang til den.”
Når det kommer til de teknikker, som de cyberkriminelle bruger til at udføre ransomware angreb, er den dobbelte afpresning ransomware også noget, som er værd at nævne, da det gør denne monumentale cybertrussel endnu mere lammende. I et dobbelt afpresning ransomware angreb, er dataene først ex-filtreret, derefter krypteret, så hvis ofrene nægter at betale løsesummen, vil det blive lækket online eller endda solgt til højestbydende. Maze, Egregor, Sodinokibi Nefilim er blot et par eksempler på ransomware, hvis operatører benytter denne taktik.
En meget stærk indsats for ransomware i 2022 er, at vi vil se dobbelt afpresning med data korruption i stedet for traditionel kryptering, fordi det er hurtigere at korrupte en disk, end det er at kryptere den.
Uanset hvordan ransomware leveres, hvor vi ser bort fra krypteringsmekanismen, den bruger, er det klart, at ransomware nu er et globalt problem, og at vi har brug for internationale strategier til at bekæmpe det. Jeg ser frem til at se virksomhedsledere og regeringsrepræsentanter og institutioner, der arbejder sammen, da ofrene bør ikke se det som en mulighed at betale løsesummen og dermed tilskynde cyberkriminelle´s handllinger.