Kaspersky Lab upptäcker nya ransomware-attacker som skakar finansbranschen

Kaspersky Labs forskare har identifierat en alarmerande trend där allt fler cyberkriminella går från att rikta ransomware-attacker mot privatpersoner till att nu rikta dem mot företag.

Minst åtta cyberkriminella grupper som jobbar med att utveckla krypterad ransomware har identifierats och attackerna har i första hand drabbat finansiella organisationer. Kaspersky Labs experter har stött på fall där betalningskraven uppgick till över en halv miljon dollar.

PetrWrap som utfört attacker mot finansiella organisationer världen över och ökända Mamba group är två av de åtta grupper som planerat och riktat sina hot mot företag. Experterna på Kaspersky Lab ser en klar trend – brottslingar ser större potential i att rikta ransomware-attacker mot företag än i massattacker mot privatpersoner. En framgångsrik attack mot ett företag kan stoppa verksamheten i allt från några timmar till några dagar, vilket gör att företagsledare är mer benägna att betala lösensumman.

Det finns flera likheter mellan grupperna: De infekterar organisationerna med skadlig kod genom att utnyttja sårbarheter i servrar eller nätfiskemejl och håller sig kvar i offrens nätverk för att identifiera värdefulla resurser att kryptera. För att dekryptera materialet kräver de sedan offret på en lösensumma.

Vissa av grupperna har dock egna unika egenskaper. Mamba group använder en egen krypteringskod som baserats på den öppna källkoden DiskCryptor. När angriparna fått fotfäste i nätverket kan de installera krypteringen över källkoden med hjälp av Windows lagliga fjärrstyrningsverktyg. Forskare på Kaspersky Lab har sett fall där lösensumman uppgått till en bitcoin (runt 1000 dollar) för varje del av dekrypteringen.

Ett annat unikt exempel på verktyg som används i riktade ransomware-attacker kommer från PetrWrap, som främst riktar sina hot mot stora företag med ett stort antal nätverksnoder. Brottslingarna väljer omsorgsfullt ut måltavlor för varje attack och kan sedan stanna kvar i företagens nätverk i upp till ett halvår.

– Vi måste alla bli medvetna om att de riktade ransomware-attackerna mot företag blir allt fler och att de ger konkreta ekonomiska förluster. Trenden är alarmerande eftersom brottslingar hittar nya och mer lönsamma offer att kräva på lösensummor. Det finns många fler potentiella måltavlor för ransomware-attacker vilket kan resultera i katastrofala konsekvenser, säger Anton Ivanov, senior säkerhetsforskare på Kaspersky Lab.

Kaspersky Labs säkerhetsexperter tipsar om hur du kan skydda ditt företag från ransomware-attacker:

  • Genomför ordentlig och snabb säkerhetskopiering av all data för att kunna återställa originalfiler vid dataförluster
  • Använd en säkerhetslösning som har förmåga att upptäcka avvikandebeteenden. Dessa kan användas för att upptäcka hittills okänd skadlig kod och ransomware, genom att titta på hur de beter sig isystemet.
  • Besök hemsidan ”No More Ransom” som är ett gemensamt initiativ för att hjälpa ransomware-offer att återfå krypterad data utan att behöva betala angriparna
  • Granska installerad programvara på alla noder och servrar i nätverket
  • Genomför en säkerhetsanalys av nätverket för att upptäcka och ta bort eventuella säkerhetsluckor. Se över om leverantörer har en säkerhetspolicy som innebär att de har direkt tillgång till nätverket
  • Utnyttja kunskap från välrenommerade leverantörer för att förutspå attacker mot företaget
  • Utbilda dina anställda och kollegor, i synnerhet de som arbetar med drift och maskiner om senaste säkerhetshoten och attackerna
  • En ordentlig säkerhetsstrategi behöver ägna betydande resurser till att upptäcka, bekämpa och blockera attacker innan de når kritisk data i organisationen