Ransomware är en speciell form av cyberbrottslighet. Ordet säger allt: gisslantagande. Den benchmarkundersökning om cybersäkerhet som Conscia genomfört i samarbete med det kommersiella marknadsundersökningsföretaget The Blue Hour visar att ransomware anses vara det största hotet (82%).

Samtidigt visar flera studier om ransomware siffrorna för 2021. Slutsats: lösensumman som krävs fortsätter att öka, liksom de betalningar som görs. Betyder detta att organisationer är utlämnade till "gängen" som hanterar utpressningstrojaner? Absolut inte! Även om vi inte ser dem samlas och delas mycket värdefull information om de taktiker och tekniker som används av dessa "gäng".

Vi vet t.ex. att 35 nya ransomeware-"gäng" tillkom under 2021. [1] Vissa grupper går under missvisande namn som Hello Kitty och Robinhood. Kort sagt är de grupper av brottslingar som har hittat en lukrativ verksamhet i ransomware. Så "framgångsrik" att Ransomware as a Service (RaaS) erbjuds av kriminella till kriminella. Deras verksamhet förväntas bara öka under de kommande åren.

Fakta och siffror i överblick

Denna tillväxt var märkbar redan förra året. Antalet offer ökade med 85%, där Nord- och Sydamerika var den största måltavlan med 60%. Därefter följde EMEA med 31% och Asien och Stillahavsområdet med 9%. Lösenbeloppet som krävdes ökade också med 144% till 2,2 miljoner dollar. Det belopp som slutligen betalades var i genomsnitt ca 500 000 USD, 78% högre än 2020. [1] Av de organisationer som drabbats av ransomware fortsätter 58% att betala. 14% betalar mer än en gång. 41% återhämtade sig från attacken inom en månad, 61% inom tre månader.

Enligt Maarten Werff, Solution Consultant Cybersecurity på Conscia, är det faktum att de ofta betalas för en ögonöppnare. "Det är en alltmer mogen bransch och ofta utför de en dubbelattack. Först krypterar de data så att de blir otillgängliga. Om du inte betalar tillräckligt snabbt tar de fram de stulna uppgifterna - till exempel personuppgifter. Den affärsmässiga effekten är då inte bara att organisationen lamslås, utan även att imagen skadas."

Metod för upplösning

Strukturen för en ransomware-attack är ofta densamma. Efter att ha kommit in, vanligtvis via en phishing-attack, förblir de tysta ett tag innan de rör sig i sidled. Det är inte förvånande att majoriteten (67%) av respondenterna i benchmark-undersökningen säger att de inte vet hur många dagar det tar innan en attack märks. Det ligger i angriparnas intresse att stanna kvar så länge som möjligt och stjäla så mycket som möjligt.

När de väl avslöjats är det ofta tydligt vilket "gäng" man har att göra med. Vanligtvis har den kriminella organisationen en servicedesk (konstigt men sant!). Men det är inte det enda som avslöjar ransomware-gruppens identitet. Över hela världen delas kunskap och information om dessa "gäng", om de taktiker och tekniker de använder. Conscia tar också del av detta genom MITRE ATT&CK-ramverket. Kunskap ger makt och det säkerställer att attackerade organisationer kan stå emot, även om brottslingarna redan är inne. Även om organisationer vanligtvis inte offentliggör att de har betalat (av rädsla för fler attacker och skadat rykte), kan det ändå hjälpa till att bekämpa cyberbrottslighet att göra det. Enligt Werff finns det verkligen fall där detta har gjorts. "Mycket modigt och mycket lärorikt för andra experter!"

Försvar på djupet

100%-skydd mot Ransomware-relaterad skadlig kod är inte realistiskt, vilket är anledningen till att vi rekommenderar en "försvar på djupet"-strategi. Detta innebär att man tillämpar skiktad säkerhet från olika vinklar, från att genomföra tekniska åtgärder till att skapa policyer och förfaranden. På så sätt har du större chans att upptäcka och stoppa skadlig kod innan den skadar din organisation.

Utgångspunkten i djupförsvaret är "anta brott" där du antar att någon säkerhetsmekanismen så småningom bryts. Men istället för att kasta in handduken kan du vidta åtgärder för att mildra effekterna av detta genom att tillämpa stark detektering som gör att du kan påskynda responstiden vid incidenter. Dessa detektiva och responsiva åtgärder kräver dock kunskap, tid och expertis från IT/Security-personal. Vi ser därför att många organisationer (delvis) outsourcar dessa detekterings- och svarsaktiviteter till en leverantör av hanterad säkerhet. På så sätt kan IT-säkerhetsteamet fokusera på att stärka cyberresiliensen och säkerställa en bättre anpassning till organisationens mål. Det är viktigt att komma ihåg att cybersäkerhet är en fortlöpande process som ständigt måste utvärderas och anpassas för att hålla jämna steg med den ständigt föränderliga hotbilden.

Källa: Conscia