Af Eskil Sørensen, 16/06/20
Hvis cyberkriminelle må narre ikke-kriminelle folk, så må ikke-kriminelle vel også narre cyberkriminelle. Sådan synes tankegangen at være, efter at sikkerhedsvirksomheden Cyberreason ifølge TechRepublic har fået cyberkriminelle til at afsløre deres metoder til, hvordan de arbejder med at installere ransomware i en større organisation.
Honeypot som lokkedue
Ved at etablere en honeypot har Cyberreason lokket cyberkriminelle til at installere ransomware i det, der synes at være et elselskab, der arbejder i Nordamerika og Europa. Altså en del af den kritiske infrastruktur, som tilmed opererer i den del af verden, hvis økonomi er bundet op på en dyb afhængighed af el, og som antages at have penge til at betale anseelig løsesum. Guf for cyberkriminelle, hvis det kunne lykkes dem at sætte el-distrubtionen / elproduktionen ud af kraft. Og dermed indhente storskala løsepenge.
Honeypotten har været designet således, at Cyberreason har kunne iagttage hvert skridt, der blev taget.
Fx viste iagttagelserne, at angriberne ikke skød hele arsenalet af i første omgang, men stille og roligt bevægede sig ind gennem netværket, og først da alle enheder var kompromitteret, blev der slået til. Dette for at opnå den størst mulige effekt og skade på offeret. Dermed udgør det også en større risiko for organisationer sammenlignet med angreb, der kun påvirker enkelte maskiner.
Det kræver så også flere ressourcer af angriberne at gennemføre operationen.
Mere og mere udbredte
Når angrebet foregår på denne måde, giver det til gengæld mulighed for virksomhederne at opdage angrebet på dets tidlige stadier og reagere effektivt, før ransomwaren når at påvirke miljøet. Det kræver så blot en hurtig detekterings- og responsproces.
På baggrund af resultaterne i undersøgelsen konkluderer Cyberreason, at fler-trins ransomware-angreb på leverandører af kritisk infrastruktur bliver mere og mere farlige og mere udbredte.
Links:
https://www.cybereason.com/blog/cybereason-honeypot-multistage-ransomware