Et cyberangreb er et bevidst og ondsindet forsøg på at få uautoriseret adgang til et computersystem eller netværk gennem eksisterende sårbarheder. Dette kan gøres for at stjæle følsomme oplysninger og forstyrre normal drift.
I nyere tid er ransomware blevet det bedste cyberangrebsværktøj blandt cyberkriminelle. Ransomware spredes normalt gennem blandt andet phishing-e-mails, drive-by-downloads, piratkopieret software og remote desk-protokol.
Når en computer er blevet inficeret med ransomware, krypterer ransomwaren kritiske filer på computeren. Hackere kræver derefter en løsesum for at gendanne de krypterede data.
Cyberangreb kan kompromittere et lands nationale sikkerhed, lamme operationer i nøglesektorer af en økonomi og forårsage enorm skade og alvorlige økonomiske tab. Det er præcis, hvad der skete med WannaCry ransomware-cyberangrebet.
Den 12. maj 2017, menes ransomware kaldet WannaCry at stamme fra Nordkorea, spredt rundt i verden og inficeret over 200.000 computersystemer i over 150 lande på under to dage. WannaCry målrettede computersystemer, der kører Windows-operativsystemet. Den udnyttede en sårbarhed i operativsystemets servermeddelelsesblokprotokol.
Et af de største ofre for angrebet var United Kingdom National Health Service (NHS). Over 70.000 af deres enheder, inklusive computere, teater, diagnostisk udstyr og MR-scannere, var inficeret. Læger kunne ikke få adgang til deres systemer eller patientjournaler, der var nødvendige for at behandle patienter. Dette angreb kostede NHS tæt på 100 millioner dollars.
Så slemt kan man blive. Det kan dog blive meget værre, især med ny og mere farlig Ransomware som BlackCat, der efterlader en sti fuld af ofre.
Indholdsfortegnelse
BlackCat Ransomware
BlackCat-ransomwaren, kaldet ALPHV af dens udviklere, er ondsindet software, der ved infektion af et system eksfiltrerer og krypterer data i det berørte system. Eksfiltrering involverer kopiering og overførsel af data, der er gemt i et system. Når BlackCat har eksfiltreret og krypteret kritiske data, stilles der krav om løsesum, der skal betales i kryptovaluta. BlackCat-ofre skal betale den krævede løsesum for at få adgang til deres data igen.
BlackCat er ingen almindelig ransomware. BlackCat var den første succesrige ransomware, der blev skrevet i Rust, i modsætning til anden ransomware, der typisk er skrevet i C, C++, C#, Java eller Python. Derudover var BlackCat også den første ransomware-familie, der havde en hjemmeside på det klare web, hvor de lækker stjålet information fra deres angreb.
En anden vigtig forskel fra andre Ransomware er, at BlackCat fungerer som Ransomware som en tjeneste (RaaS). Raas er en forretningsmodel for cyberkriminalitet, hvor ransomware-skabere lejer eller sælger deres ransomware som en service til andre enkeltpersoner eller grupper.
I denne model leverer ransomware-skabere alle de nødvendige værktøjer og infrastruktur til, at andre kan distribuere og udføre ransomware-angreb. Dette er til gengæld for en del af deres overskud fra ransomware-betalinger.
Dette forklarer, hvorfor BlackCat mest har målrettet organisationer og virksomheder, da de normalt er mere villige til at betale løsesum sammenlignet med enkeltpersoner. Organisationer og virksomheder betaler også en større løsesum sammenlignet med enkeltpersoner. Menneskelig vejledning og beslutningstagning i cyberangreb er kendt som Cyber Threat-aktører (CTA).
For at tvinge ofrene til at betale løsesummen bruger BlackCat den ‘tredobbelte afpresningsteknik’. Dette involverer kopiering og overførsel af ofrenes data og kryptering af data på deres systemer. Ofrene bliver derefter bedt om at betale løsesum for at få adgang til deres krypterede data. Undladelse af at gøre det resulterer i, at deres data bliver lækket til offentligheden og/eller denial of service (DOS)-angreb lanceret på deres systemer.
Endelig kontaktes de, der vil blive berørt af datalækket, og informeres om, at deres data vil blive lækket. Disse er normalt kunder, medarbejdere og andre tilknyttede virksomheder. Dette gøres for at presse offerorganisationerne til at betale løsesum for at undgå tab af omdømme og retssager som følge af datalækage.
Sådan virker BlackCat Ransomware
Ifølge en flash-advarsel udgivet af FBI, bruger BlackCat ransomware tidligere kompromitterede brugeroplysninger til at få adgang til systemer.
Når det er lykkedes i systemet, bruger BlackCat den adgang, den har, til at kompromittere bruger- og administratorkonti, der er gemt i den aktive mappe. Dette giver den mulighed for at bruge Windows Task Scheduler til at konfigurere ondsindede gruppepolitikobjekter (GPO’er), der tillader BlackCat at implementere sin ransomware til at kryptere filer i et system.
Under et BlackCat-angreb bruges PowerShell-scripts sammen med Cobalt Strike til at deaktivere sikkerhedsfunktioner i et offers netværk. BlackCat stjæler derefter ofrenes data, hvorfra de er gemt, herunder fra cloud-udbydere. Når dette er gjort, implementerer den cybertrusselsaktør, der leder angrebet, BlackCat ransomware til at kryptere data i ofrets system.
Ofre får derefter en løsesum, der informerer dem om, at deres systemer har været udsat for et angreb, og vigtige filer krypteres. Løsesummen giver også instruktioner om, hvordan løsesummen betales.
Hvorfor er BlackCat farligere end den gennemsnitlige ransomware?
BlackCat er farlig sammenlignet med den gennemsnitlige ransomware af en række årsager:
Det er skrevet i Rust
Rust er et programmeringssprog, der er hurtigt, sikkert og tilbyder forbedret ydeevne og effektiv hukommelsesstyring. Ved at bruge Rust høster BlackCat alle disse fordele, hvilket gør det til en meget kompleks og effektiv ransomware med hurtig kryptering. Det gør også BlackCat vanskelig at reversere engineering. Rust er et sprog på tværs af platforme, der gør det muligt for trusselsaktører nemt at tilpasse BlackCat til at målrette mod forskellige operativsystemer, såsom Windows og Linux, hvilket øger deres række af potentielle ofre.
Det bruger en RaaS forretningsmodel
BlackCats brug af ransomware som en servicemodel giver mange trusselsaktører mulighed for at implementere kompleks ransomware uden at skulle vide, hvordan man opretter en. BlackCat udfører alt det tunge løft for trusselsaktører, som blot skal implementere det i et sårbart system. Dette gør sofistikerede ransomware-angreb nemme for trusselsaktører, der er interesserede i at udnytte sårbare systemer.
Det giver enorme udbetalinger til affilierede
Med BlackCat, der anvender en Raas-model, tjener skaberne penge ved at tage et stykke fra løsesummen, der betales til trusselsaktører, der implementerer den. I modsætning til andre Raas-familier, der tager op til 30 % af en trusselsaktørs løsesum, tillader BlackCat trusselsaktører at beholde 80 % til 90 % af den løsesum, de betaler. Dette øger BlackCats appel til trusselsaktører, hvilket giver BlackCat mulighed for at få flere tilknyttede selskaber, der er villige til at implementere det i cyberangreb.
Det har en offentlig lækageside på det klare web
I modsætning til anden ransomware, der lækker stjålne oplysninger på det mørke web, lækker BlackCat stjålne oplysninger på et websted, der er tilgængeligt på det klare web. Ved at lække stjålne data frit kan flere mennesker få adgang til dataene, hvilket øger følgerne af et cyberangreb og lægger mere pres på ofrene for at betale løsesummen.
Rust-programmeringssproget har gjort BlackCat meget effektiv i sit angreb. Ved at bruge en Raas-model og tilbyde en enorm udbetaling appellerer BlackCat til flere trusselsaktører, som er mere tilbøjelige til at implementere den i angreb.
BlackCat Ransomware infektionskæde
BlackCat får indledende adgang til et system ved hjælp af kompromitterede legitimationsoplysninger eller ved at udnytte Microsoft Exchange Server-sårbarheder. Efter at have fået adgang til et system, fjerner de ondsindede aktører systemets sikkerhedsforsvar og samler information om ofrets netværk og ophøjer deres privilegier.
BlackCat ransomware bevæger sig derefter sideværts i netværket og får adgang til så mange systemer som muligt. Dette er praktisk under kravet om løsesum. Jo flere systemer der er under angreb, jo mere sandsynligt vil et offer betale løsesummen.
Ondsindede aktører eksfiltrerer derefter systemets data, som skal bruges til afpresning. Når kritiske data er blevet eksfiltreret, er scenen sat til, at BlackCat-nyttelasten skal leveres.
Ondsindede skuespillere leverer BlackCat ved hjælp af Rust. BlackCat stopper først tjenester såsom sikkerhedskopier, antivirusprogrammer, Windows internettjenester og virtuelle maskiner. Når dette er gjort, krypterer BlackCat filer i systemet og ødelægger et systems baggrundsbillede og erstatter det med løsesumsedlen.
Beskyt mod BlackCat Ransomware
Selvom BlackCat har vist sig at være farligere end anden ransomware, der er set før, kan organisationer beskytte sig selv mod ransomware på en række måder:
Krypter kritiske data
En del af Blackhats afpresningsstrategi involverer at true med at lække et offers data. Ved at kryptere kritiske data tilføjer en organisation et ekstra lag af beskyttelse til sine data, og dermed ødelægger de afpresningsteknikker, der bruges af BlackHat-trusselsaktører. Selvom det er lækket, vil det ikke være i et menneskeligt læsbart format.
Opdater jævnligt systemer
I undersøgelser foretaget af Microsoft blev det afsløret, at BlackCat i nogle tilfælde udnyttede upatchede udvekslingsservere for at få adgang til en organisations systemer. Softwarevirksomheder udgiver regelmæssigt softwareopdateringer for at løse sårbarheder og sikkerhedsproblemer, som kunne være blevet opdaget i deres systemer. For at være sikker skal du installere softwarerettelser, så snart de er tilgængelige.
Sikkerhedskopier data på et sikkert sted
Organisationer bør prioritere regelmæssigt at sikkerhedskopiere data og gemme dataene på en separat og sikker offline lokation. Dette er for at sikre, at selv i tilfælde af, at kritiske data krypteres, kan de stadig gendannes fra eksisterende sikkerhedskopier.
Implementer multi-faktor autentificering
Ud over at bruge stærke adgangskoder i et system skal du implementere multifaktorgodkendelse, som kræver flere legitimationsoplysninger, før der gives adgang til et system. Dette kan gøres ved at konfigurere et system til at generere en engangsadgangskode sendt til et linket telefonnummer eller e-mail, som er påkrævet for at få adgang til et system.
Overvåg aktivitet på et netværk og filer i et system
Organisationer bør konstant overvåge aktivitet på deres netværk for at opdage og reagere på mistænkelige aktiviteter i deres netværk så hurtigt som muligt. Aktiviteter på et netværk bør også logges og gennemgås af sikkerhedseksperter for at identificere potentielle trusler. Endelig bør der etableres systemer til at spore, hvordan filer i et system tilgås, hvem der får adgang til dem, og hvordan de bruges.
Ved at kryptere kritiske data, sikre systemerne er opdaterede, regelmæssigt sikkerhedskopiere data, implementere multi-faktor autentificering og overvåge aktivitet i et system. Organisationer kan være skridt foran og forhindre angreb fra BlackCat.
Læringsressourcer: Ransomware
For at lære mere om cyberangreb og hvordan du beskytter dig selv mod angreb fra ransomware såsom BlackCat, anbefaler vi at tage et af disse kurser eller læse bøgerne foreslået nedenfor:
#1. Sikkerhedsbevidsthedstræning
Dette er et fantastisk kursus for alle interesserede i at være sikker på internettet. Kurset udbydes af Dr. Michael Biocchi, en Certified Information Systems Security Professional (CISSP).
Kurset dækker phishing, social engineering, datalækage, adgangskoder, sikker browsing og personlige enheder og giver generelle tips til, hvordan du er sikker online. Kurset bliver løbende opdateret, og alle, der bruger internettet, får glæde af det.
#2. Sikkerhedsbevidsthedstræning, internetsikkerhed for medarbejdere
Dette kursus er skræddersyet til almindelige internetbrugere og har til formål at uddanne dem om sikkerhedstrusler, som folk ofte ikke er klar over, og hvordan de beskytter sig selv mod truslerne.
Kurset tilbudt af Roy Davis, en CISSP-certificeret informationssikkerhedsekspert, dækker bruger- og enhedsansvarlighed, phishing og andre ondsindede e-mails, social engineering, datahåndtering, adgangskode og sikkerhedsspørgsmål, sikker browsing, mobile enheder og Ransomware. Ved at gennemføre kurset får du et færdiggørelsesbevis, som er nok til at overholde datareguleringspolitikkerne på de fleste arbejdspladser.
#3. Cybersikkerhed: Bevidsthedstræning for absolutte begyndere
Dette er et Udemy-kursus, der tilbydes af Usman Ashraf fra Logix Academy, en Training and Certifications startup. Usman er CISSP certificeret og har en Ph.D. i computernetværk og masser af branche- og undervisningserfaring.
Dette kursus giver eleverne et dybt dyk ned i social engineering, adgangskoder, sikker bortskaffelse af data, virtuelle private netværk (VPN’er), malware, ransomware og tips til sikker browsing og forklarer, hvordan cookies bruges til at spore mennesker. Kurset er ikke-teknisk.
#4. Ransomware afsløret
Dette er en bog af Nihad A. Hassan, en uafhængig informationssikkerhedskonsulent og ekspert i cybersikkerhed og digital efterforskning. Bogen lærer, hvordan man afbøder og håndterer ransomware-angreb og giver læserne et dybdegående kig på de forskellige typer af ransomware, der findes, deres distributionsstrategier og gendannelsesmetoder.
Bogen dækker også trin, der skal følges i tilfælde af ransomware-infektion. Dette omfatter, hvordan man betaler løsesum, hvordan man udfører sikkerhedskopier og gendanner berørte filer, og hvordan man søger online efter dekrypteringsværktøjer til at dekryptere inficerede filer. Det dækker også, hvordan organisationer kan udvikle en ransomware-hændelsesvarsplan for at minimere ransomware-skader og genoprette normal drift hurtigt.
#5. Ransomware: Forstå. Forhindre. Gendanne
I denne bog svarer Allan Liska, en senior sikkerhedsarkitekt og ransomware-specialist hos Recorded Future, på alle de svære spørgsmål vedrørende Ransomware.
Bogen giver en historisk kontekst af, hvorfor ransomware er blevet udbredt i de senere år, hvordan man stopper ransomware-angreb, sårbarheder, som ondsindede aktører retter sig mod ved hjælp af ransomware, og en guide til at overleve et ransomware-angreb med minimal skade. Derudover besvarer bogen det altafgørende spørgsmål, skal du betale løsesummen? Denne bog tilbyder en spændende udforskning af ransomware.
#6. Spillebog til beskyttelse af ransomware
For enhver person eller organisation, der ønsker at bevæbne sig mod ransomware, er denne bog et must-read. I denne bog tilbyder Roger A. Grimes, en ekspert i computersikkerhed og penetration, sin store erfaring og viden på området for at hjælpe mennesker og organisationer med at beskytte sig selv mod ransomware.
Bogen tilbyder en handlingsplan for organisationer, der søger at formulere robuste forsvar mod ransomware. Det lærer også, hvordan man opdager et angreb, begrænser skader hurtigt og bestemmer, om man skal betale løsesummen eller ej. Den tilbyder også en spilleplan, der hjælper organisationer med at begrænse omdømme og økonomisk skade forårsaget af alvorlige sikkerhedsbrud.
Endelig lærer det, hvordan man kan skabe et sikkert grundlag for cybersikkerhedsforsikring og juridisk beskyttelse for at afbøde forstyrrelsen af erhvervslivet og hverdagen.
Forfatterens note
BlackCat er en revolutionerende ransomware, der er bundet til at ændre status quo, når det kommer til cybersikkerhed. I marts 2022 havde BlackCat med succes angrebet over 60 organisationer og formået at få opmærksomhed fra FBI. BlackCat er en alvorlig trussel, og ingen organisation har råd til at ignorere den.
Ved at anvende et moderne programmeringssprog og ukonventionelle metoder til angreb, kryptering og løsepengeafpresning har BlackCat ladet sikkerhedseksperter spille indhentning. Men krigen mod denne ransomware er ikke tabt.
Ved at implementere strategier fremhævet i denne artikel og minimere muligheden for menneskelige fejl for at afsløre computersystemer, kan organisationer forblive et skridt foran og forhindre det katastrofale angreb af BlackCat ransomware.