Ransomware-attacker är den största cyberrisken för nätbolag och kritisk infrastruktur globalt. Kärnan i varje cybersäkerhetsstrategi är att upptäcka skadlig aktivitet under förberedelsefasen av en attack för att förhindra störningar och spridning.
Den senaste tidens ESXiArgs ransomware-attack på VMware-servrar har oroat företag världen över. Denna senaste utbredda cyberincident understryker inte bara risken varje företag står inför genom kompromisser i leveranskedjan – den är ett också bevis på att idén om ”100 % säkert” hör till det förflutna.
En orsak bakom är den ökade användningen av tjänster och leverantörer av tredje part, vilket alltid kommer att lämna ett säkerhetsglapp eftersom deras säkerhetssköld ligger utanför räckvidden för företaget som distribuerar den. Faktum är att företagen aldrig kan vara säkra på vilken säkerhetsnivå en mjukvaru- eller hårdvarukomponent har – om de ens har någon. Detta stämmer särskilt i kritisk infrastruktur och industriella miljöer, där komponenter och system i operativa tekniknätverk (OT) fortfarande saknar säkerhetsfunktioner eller är byggda på osäkra ramverk med ännu oupptäckta dagnollsårbarheter. Samtidigt står de inför ett hot på över 247 miljoner angrepp av skadlig programvara varje år.
Gäller inte ransomware endast IT?
Systemintegration, (I)IoT-applikationer och anslutningen mellan OT och IT-nätverk exponerar de osäkra industriella systemen och komponenter för hela hotbilden som är kända från IT. Denna överlappning gör OT lika sårbart som IT, om inte mer.
Ser man på scenariot ovan, finns det en stor risk att industriella processer påverkas när en ransomware-attack slår mot ett industriföretag. Särskilt kritisk infrastruktur kan starta en kedja av förödande (sociala, politiska) konsekvenser. I januari 2023 meddelade Anonymous undergrupp GhostSec att de kunde kryptera en fjärrterminalenhet (RTU) som körs i industriella nätverk. Dessa nya eskaleringar gör att riktade ransomware-attacker på OT-nätverk blir till en mycket verklig risk.
Är inte ransomware-attacker för snabba att upptäcka?
Ransomware-attacker upplevs som en nästan omedelbar attack. Plötsligt är alla datorer krypterade och alla data förlorad. Denna uppfattning stämde förut när skadlig programvara levererades till en dator genom försåtsminering i en e-postbilaga, som började kryptera datorn omedelbart.
I dag är ransomware-attackerna mycket mer avancerade och sträcker sig långt. Det kan finnas kryptoprogram som är paketerade som datormaskar (dvs med replikeringsmöjligheter) och som kommunicerar med en kommando- och kontrollserver som är värd för en offentlig IP-adress. Denna strategi gör det möjligt för angriparna att noggrant planera sin attack och få ut den största möjliga vinsten på sin investering. De:
- laddar upp diverse crackningsprogram,
- laddar ner och analyserar företagsdata för värdering, använder informationen för utpressning eller för att sälja på svarta marknaden (om förhandlingarna misslyckas),
- utforskar nätverket för ytterligare spridning, och
- infekterar så många enheter som möjligt innan krypteringen startas.
Denna förberedelseprocess kan ta flera dagar eller månader.
Det är under detta tidsfönster som ett NIDS (system för att avslöja obehöriga att tränga in i nätverk), kan upptäcka angriparens förberedande aktiviteter, särskilt i det tidiga stadiet av cyberdödskedjan, under intern övervakning och laterala rörelser. Denna tidiga upptäckt som bygger på idén om insyn inom operativ teknik, gör det möjligt för operatörer att stoppa attacken innan den stör system och tjänster.
Vi kommer att förklara hur OT-övervakning med anomalidetektering hjälper till att identifiera dessa aktiviteter med ransomware-attacker i del 2 av detta blogginlägg, som kommer snart.
