Cyberbrottslingar blir allt mer sofistikerade och riktar sina ransomware-attacker mot kritiska sektorer som sjukvård och fordonsindustri. En ny analys från Cisco Talos visar hur flera stora ransomware-grupper anpassar sina metoder för att utnyttja sårbarheter och öka sin slagkraft.
Nätfiskekampanjer och sårbarheter utnyttjas flitigt
Ransomware-attacker har blivit en betydande säkerhetsutmaning för företag över hela världen. Enligt Cisco Talos senaste analys använder de mest framträdande ransomware-grupperna, som AlphV/Blackcat och Rhysida, en rad tekniker för att ta sig in i företags nätverk. Dessa inkluderar nätfiskekampanjer, skadlig e-post och utnyttjande av kända sårbarheter i programvara och system. Särskilt oroväckande är att vissa grupper, som Clop, fokuserar på så kallade ”zero day”-sårbarheter, som kan vara okända för säkerhetsteam och därmed mycket svåra att försvara sig mot.
En metod som blivit vanlig är att cyberbrottslingar använder kommersiellt tillgängliga verktyg och applikationer. Genom att missbruka dessa välkända verktyg kan de lättare smälta in i den normala nätverkstrafiken och undgå upptäckt, vilket gör deras attacker svårare att identifiera i tid.
Sårbarheter som fortsätter utnyttjas
Cisco Talos lyfter fram flera specifika sårbarheter som ofta utnyttjas av ransomware-grupper. En av dessa är Zerologon (CVE-2020-1472), som gör det möjligt för angripare att få domänadministratörsåtkomst utan autentisering. Även SSL VPN-sårbarheter (CVE-2018-13379) är återkommande mål för cyberbrottslingar, som använder dem för att ta sig in i företags interna nätverk och sedan sprida ransomware.
– Det vi ser är en ökning av attacker där kända sårbarheter utnyttjas, eller där cyberbrottslingar drar nytta av felkonfigurationer i internetanslutna system, skriver Cisco Talos i sin analys. Det här är en trend som går igen i flera av de mest uppmärksammade attackerna den senaste tiden.
Skyddsåtgärder mot ransomware
För att försvara sig mot dessa ständigt utvecklande hot, rekommenderar Cisco Talos en flerskiktsförsvarsstrategi. Det inkluderar regelbundna säkerhetsutbildningar för personalen och att både säkerhetsteam och anställda hålls informerade om nya hotbilder och sårbarheter.
– Att vara vaksam och ha en tydlig strategi för cybersäkerhet är avgörande i dagens digitala landskap, säger en talesperson för Cisco Talos.
Rekommenderade åtgärder för att minska riskerna
Cisco Talos listar flera rekommendationer som företag bör följa för att försvåra ransomware-attacker:
- Regelbundna uppdateringar: Håll alla system och programvaror uppdaterade för att snabbt åtgärda sårbarheter.
- Starka lösenordspolicyer: Använd komplexa och unika lösenord, och implementera multifaktorautentisering (MFA) för ökad säkerhet.
- Nätverkssegmentering: Använd tekniker som VLAN och 802.1x för att isolera känsliga data och minska risken för att hela nätverket påverkas vid en attack.
- Minskad exponering mot internet: Begränsa antalet externa tjänster och säkerställ starkt skydd för nödvändiga gränssnitt.
Ett växande hot som kräver ökad medvetenhet
Ransomware-attacker är ett ständigt växande hot som kräver att företag håller sig uppdaterade och proaktiva. Med cyberbrottslingar som ständigt utvecklar sina metoder blir det allt viktigare att företag implementerar robusta cybersäkerhetslösningar och utbildar sina anställda för att minimera riskerna. Cisco Talos betonar att det inte räcker med tekniska lösningar – medvetenhet och kontinuerliga insatser från både säkerhetsteam och personal är avgörande för att motverka hoten.
