Ransomware var överflödig år 2017, och missgynnade användare blev fångade avskydda. Detta sprängde i utbredd panik som offer förvrängde för att skydda värdefulla data, ofta underkastade kriminella krav på att betala alltmer dyra lösen genom kryptokurrency, som höjde sig i värdet självt. Tyvärr uppfyllde dessa krav inte att filer skulle återlämnas oskadade, om det överhuvudtaget gör det till ett gynnsamt år för ransomware författare.

Med tiden blir det allt svårare för ransomware författare att skrämma offer för att betala för att rädda sina data, med mer adoption av enkla bästa praxis som snabb och säkerhetskopiering av moln. Detta kombinerat med fler användare som vänder sig till Windows 10, ett säkrare operativsystem, har tvingat hackare att bli mer kreativa. Ransomware-hotet är fortfarande riktigt och antar faktiskt en mer riktade affärsmodell genom oskydda fjärrskrivbordsprotokoll (RDP) -anslutningar som attack vektor.

  • Vi har också markerat det bästa antivirusprogrammet

Använda osäkrade RDP-anslutningar

Medan RDP-anslutningar stöder moderna arbetssätt, genom att möjliggöra tillgång till en maskin och ett nätverk utan möjlighet, kan de fungera som en svag länk i en organisations säkerhetsskydd. Den här attackervektorn blir populärare med cyberkriminella som använder verktyg som Shodan för att söka efter företag som inte har skapat tillräckliga RDP-inställningar och lämnar sina miljöer öppna för infiltration. Även de mindre sofistikerade cyberkriminella kan besöka den "mörka webben" för att köpa RDP-åtkomst till redan hackade maskiner. När ett visst system har nåts kan brottslingar bläddra igenom alla data på systemet eller delade enheter för att bedöma dess värde. Detta hjälper brottsmännen att bestämma om man ska använda ransomware eller andra nyttolast - vilket som har störst inverkan och lönsamhet. Detta riktade tillvägagångssätt förbättrar chanserna för en organisation som betalar lösenordningen, eftersom det krypterade innehållet kommer att vara av högsta värde och vikt.

Cyberkriminella i åtgärd

Detta är inte teoretiskt. Den ökända SamSam Ransomware-gruppen och deras kampanjer gjorde miljoner i kryptocurrency tidigare i år tack vare felaktigt konfigurerad RDP. Högprofilattacker dominerade rubriknyheter när de stängde av statliga sektorer i Atlanta och Colorado, tillsammans med medicinsk testjätte LabCorp. I fallet Atlanta och Colorado valde dessa stater att inte betala lösenbeloppet och bestämde sig istället för att bygga om sina IT-system till över 2,5 miljoner dollar (för Atlanta). Men det finns nu flera lönsamma val för nyttolast i en RDP-kompromiss. Eftersom den brottsliga kan se all hårdvara installerad, är det lätt att avgöra om den installerade CPU och GPU skulle leverera mer vinstminskning cryptocurrency än om angripare enkelt distribuerade en ransomware infektion.

Försvara mot attacker

Utbildnings betydelse kan inte underskattas och spelar en avgörande roll för att skydda en organisation mot kompromisser. IT-avdelningar lämnar ofta standardportar öppna och är lax om lösenordsprinciper, vilket understryker verkligheten att anställda är den svagaste länken. Kontinuerlig utbildning om hur man konfigurerar miljön och etablerar en basilja av motståndskraft är lika viktigt för ett företag med 50 anställda som för ett multinationellt företag. Enligt Webroot Mid-Year Threat Report 2018 såg organisationer som genomförde 11 eller fler säkerhetsmedvetenhetskampanjer att deras phishing-e-post-klickfrekvens sjönk till 13%. Dessutom bör bedömningen av effekten av denna utbildning göras, förstärkt av en omfattande katastrofåterställningsplan.

Ransomware fortsätter att plåga organisationer av olika storlekar och branscher. De senaste attackerna på San Diego hamnmyndighet och Bristol flygplats markerar direkt påverkan och störningar som kan uppstå, även till offentliga tjänster. Det bästa försvaret är utbildning av säkerhetsmedvetenhet för anställda - särskilt kring att undvika phishing-attacker som kan äventyra systemets referensförmåga - i kombination med att man installerar anti-malware-programvara för att skydda värdefull information. Ingen organisation är befriad från attacker och endast en robust säkerhetsställning kommer att mildra dessa hot.

Tyler Moffitt, Senior Threat Research Analyst på Webroot