Under de senaste månaderna har ransomware-attacker i allt större utsträckning stört olika sektorer, allt från sjukvård till fordonsindustri. Cisco Talos har tagit fram en analys över flera stora ransomware-grupper för att identifiera vilka metoder man använder sig av för att utföra sina attacker.
Nätfiskekampanjer, skadlig e-post och utnyttjande av kända sårbarheter är metoder som primärt används för att cyberbrottslingar ska få en första åtkomst till kritiska system. De ökända grupperna AlphV/Blackcat och Rhysida använder en flera av dessa metoder, vilket gör dem mycket enligt Cisco gör dem anpassningsbara och utmanande att motverka. Andra grupper som Clop fokuserar primärt på är så kallade zero day-sårbarheter.
Dessutom ser man att aktörer fortsatt använder sig av verktyg som är kommersiellt tillgängliga och välkända. Att missbruka dessa ofta pålitliga applikationer gör det möjligt för cyberbrottslingar att enklare smälta in i företagets nätverkstrafik.
Flera sedan tidigare kända sårbarheter utnyttjas, inklusive Zerologon (CVE-2020-1472), som ger användare domänadministratörsåtkomst utan autentisering, och SSL VPN (CVE-2018-13379), som angripare utnyttjar för att få tillgång till interna nätverk.
Framför allt har man observerat ett ökande antal attacker där cyberbrottslingar försöker utnyttja kända sårbarheter eller felkonfigurationer i internetanslutna system. Det här är något som genomgående observerats i flera av de mer omskrivna ransomware-attackerna den senaste tiden.
Cisco Talos skriver i analysen att det är viktigt av att vara vaksam och implementera robusta cybersäkerhetsåtgärder. För att effektivt bekämpa dessa behövs en försvarsstrategi i flera lager, regelbundna säkerhetsutbildningar och att både säkerhetsavdelningen och personalen håller sig väl informerade om nya hot och sårbarheter.
Man rekommenderar dessutom följande åtgärder för att förhindra attacker och ytterligare försvåra för cyberbrottslingar.
- Kontinuerliga uppdateringar på alla system och all programvara för att snabbt åtgärda sårbarheter och minska risken för incidenter.
- Implementera starka lösenordspolicyer som kräver komplexa, unika lösenord för varje konto. Addera också multifaktorautentisering (MFA) för ett extra lager av säkerhet.
- Segmentera nätverk med hjälp av VLAN och 802.1x eller liknande tekniker för att isolera känsliga data och system.
- Minska exponering mot internet genom att begränsa antalet externa tjänster och säkerställ robusta skydd för alla nödvändiga externa gränssnitt.