Skydd mot utpressningstrojaner i Azure

  • Artikel

Utpressningstrojaner och utpressning är ett företag med hög vinst och låg kostnad, som har en försvagande inverkan på riktade organisationer, nationell/regional säkerhet, ekonomisk säkerhet och folkhälsa och säkerhet. Det som började som enkel utpressningstrojan med en enda dator har vuxit till att omfatta en mängd olika utpressningstekniker som riktas mot alla typer av företagsnätverk och molnplattformar.

För att säkerställa att kunder som körs i Azure skyddas mot utpressningstrojanattacker har Microsoft investerat mycket i säkerheten på våra molnplattformar och tillhandahåller säkerhetskontroller som du behöver för att skydda dina Azure-molnarbetsbelastningar

Genom att använda azure-skydd för inbyggda utpressningstrojaner och implementera de bästa metoderna som rekommenderas i den här artikeln vidtar du åtgärder som säkerställer att din organisation är optimalt placerad för att förhindra, skydda och identifiera potentiella utpressningstrojanattacker på dina Azure-tillgångar.

Den här artikeln beskriver viktiga inbyggda Azure-funktioner och skydd för utpressningstrojanattacker och vägledning om hur du proaktivt kan utnyttja dessa för att skydda dina tillgångar i Azure-molnet.

Ett växande hot

Utpressningstrojanattacker har blivit en av de största säkerhetsutmaningarna som företag står inför idag. Vid lyckade attacker kan utpressningstrojaner inaktivera en IT-infrastruktur i affärskärnan och orsaka förstörelse som kan ha en försvagande inverkan på den fysiska, ekonomiska säkerheten eller säkerheten i ett företag. Utpressningstrojanattacker riktas mot företag av alla typer. Detta kräver att alla företag vidtar förebyggande åtgärder för att säkerställa skyddet.

Den senaste tidens trender när det gäller antalet attacker är ganska alarmerande. Även om 2020 inte var ett bra år för utpressningstrojanattacker mot företag, började 2021 på en dålig bana. Den 7 maj stängde den koloniala pipelineattacken (Colonial) tjänster som rörledningstransport av diesel, bensin och jetbränsle tillfälligt stoppades. Colonial stängde det kritiska bränslenätet som försörjer de befolkade öststaterna.

Historiskt sett sågs cyberattacker som en sofistikerad uppsättning åtgärder riktade mot vissa branscher, vilket gjorde att de återstående branscherna trodde att de var utanför cyberbrottslighetsområdet och utan sammanhang om vilka cybersäkerhetshot de borde förbereda sig för. Utpressningstrojaner representerar en stor förändring i detta hotlandskap, och det har gjort cyberattacker till en mycket verklig och allestädes närvarande fara för alla. Krypterade och förlorade filer och hot om lösensummor har nu blivit den främsta rädslan för de flesta ledningsgrupper.

Utpressningstrojanens ekonomiska modell utnyttjar missuppfattningen att en utpressningstrojanattack enbart är en incident med skadlig kod. Medan utpressningstrojaner i verkligheten är ett brott som involverar mänskliga angripare som attackerar ett nätverk.

För många organisationer uppväger kostnaden för att återuppbygga från grunden efter en utpressningstrojanincident den ursprungliga lösensumman som krävdes. Med en begränsad förståelse för hotlandskapet och hur utpressningstrojan fungerar verkar betalning av lösensumman vara det bättre affärsbeslutet att återgå till verksamheten. Men den verkliga skadan görs ofta när cyberbrottslighet exfiltrates filer för release eller försäljning, samtidigt lämnar bakdörrar i nätverket för framtida brottslig verksamhet, och dessa risker kvarstår oavsett om lösensumman betalas eller inte.

Vad är utpressningstrojaner?

Utpressningstrojan är en typ av skadlig kod som infekterar en dator och begränsar en användares åtkomst till det infekterade systemet eller specifika filer för att utpressa dem för pengar. När målsystemet har komprometterats låser det vanligtvis ut de flesta interaktioner och visar en avisering på skärmen, vilket vanligtvis anger att systemet har låsts eller att alla deras filer har krypterats. Det kräver sedan att en betydande lösensumma betalas innan systemet släpps eller filer dekrypteras.

Utpressningstrojaner utnyttjar vanligtvis svagheterna eller sårbarheterna i organisationens IT-system eller infrastrukturer för att lyckas. Attackerna är så uppenbara att det inte krävs mycket undersökning för att bekräfta att ditt företag har attackerats eller att en incident bör deklareras. Undantaget skulle vara ett skräppostmeddelande som kräver lösensumma i utbyte mot förmodat komprometterande material. I det här fallet bör dessa typer av incidenter hanteras som skräppost om inte e-postmeddelandet innehåller mycket specifik information.

Alla företag eller organisationer som driver ett IT-system med data i det kan angripas. Även om individer kan riktas mot en utpressningstrojanattack riktas de flesta attacker mot företag. Medan colonial ransomware-attacken i maj 2021 väckte stor offentlig uppmärksamhet, visar vårt team för identifiering och svar (DART) utpressningstrojanagemang att energisektorn representerar en av de mest riktade sektorerna, tillsammans med finans-, hälso- och sjukvårds- och underhållningssektorerna. Och trots fortsatta löften om att inte attackera sjukhus eller vårdföretag under en pandemi är sjukvården fortfarande det främsta målet för mänskligt drivna utpressningstrojaner.

Cirkeldiagram som illustrerar branscher som omfattas av utpressningstrojaner

Hur dina tillgångar är riktade

När du angriper molninfrastrukturen angriper angripare ofta flera resurser för att försöka få åtkomst till kunddata eller företagshemligheter. Molnmodellen "kill chain" förklarar hur angripare försöker få åtkomst till alla dina resurser som körs i det offentliga molnet genom en fyrastegsprocess: exponering, åtkomst, lateral förflyttning och åtgärder.

  1. Exponering är där angripare letar efter möjligheter att få åtkomst till din infrastruktur. Angripare vet till exempel att kundinriktade program måste vara öppna för att legitima användare ska kunna komma åt dem. Dessa program exponeras för Internet och är därför känsliga för attacker.
  2. Angripare försöker utnyttja en exponering för att få åtkomst till din offentliga molninfrastruktur. Detta kan göras genom komprometterade användarautentiseringsuppgifter, komprometterade instanser eller felkonfigurerade resurser.
  3. Under den laterala förflyttningsfasen upptäcker angripare vilka resurser de har åtkomst till och vad åtkomstens omfattning är. Lyckade attacker på instanser ger angripare åtkomst till databaser och annan känslig information. Angriparen söker sedan efter ytterligare autentiseringsuppgifter. Vår Microsoft Defender för molndata visar att utan ett säkerhetsverktyg för att snabbt meddela dig om attacken tar det i genomsnitt 101 dagar för organisationer att upptäcka ett intrång. Under tiden, bara 24–48 timmar efter en överträdelse, har angriparen vanligtvis fullständig kontroll över nätverket.
  4. De åtgärder som en angripare vidtar efter lateral förflyttning är till stor del beroende av de resurser som de kunde få åtkomst till under den laterala förflyttningsfasen. Angripare kan vidta åtgärder som orsakar dataexfiltrering, dataförlust eller starta andra attacker. För företag når den genomsnittliga ekonomiska effekten av dataförlust nu 1,23 miljoner dollar.

Flödesschema som visar hur molninfrastrukturen attackeras: Exponering, åtkomst, lateral förflyttning och åtgärder

Varför attacker lyckas

Det finns flera orsaker till varför utpressningstrojanattacker lyckas. Företag som är sårbara faller ofta offer för utpressningstrojanattacker. Följande är några av attackens kritiska framgångsfaktorer:

  • Attackytan har ökat i takt med att allt fler företag erbjuder fler tjänster via digitala butiker
  • Det finns en stor lätthet att få skadlig kod utanför hyllan, Utpressningstrojan som en tjänst (RaaS)
  • Alternativet att använda kryptovaluta för utpressningsbetalningar har öppnat nya vägar för exploatering
  • Expansion av datorer och deras användning på olika arbetsplatser (lokala skoldistrikt, polismyndigheter, polisbilar osv.) som var och en är en potentiell åtkomstpunkt för skadlig kod, vilket resulterar i potentiell attackyta
  • Förekomsten av gamla, inaktuella och föråldrade infrastruktursystem och programvara
  • Dåliga korrigeringshanteringsregimer
  • Inaktuella eller mycket gamla operativsystem som är nära eller har gått längre än slutdatum för support
  • Brist på resurser för att modernisera IT-fotavtrycket
  • Kunskapsgap
  • Brist på kvalificerad personal och nyckelpersoners överberoende
  • Dålig säkerhetsarkitektur

Angripare använder olika tekniker, till exempel RDP-angrepp (Remote Desktop Protocol) för att utnyttja sårbarheter.

Simbanadiagram som illustrerar de olika tekniker som används av angripare

Ska du betala?

Det finns olika åsikter om vad det bästa alternativet är när man konfronteras med denna irriterande efterfrågan. Federal Bureau of Investigation (FBI) råder offren att inte betala lösensumma utan istället vara vaksamma och vidta proaktiva åtgärder för att skydda sina data före en attack. De hävdar att betalning inte garanterar att låsta system och krypterade data kommer att släppas igen. FBI säger att en annan anledning att inte betala är att betalningar till cyberbrottslingar uppmuntrar dem att fortsätta attackera organisationer.

Ändå väljer vissa offer att betala lösenkravet även om system- och dataåtkomst inte garanteras efter att ha betalat lösensumman. Genom att betala tar sådana organisationer den beräknade risken att betala i hopp om att få tillbaka sina system och data och snabbt återuppta normal drift. En del av beräkningen är att minska kostnaderna för säkerheter, till exempel förlorad produktivitet, minskade intäkter över tid, exponering av känsliga data och potentiella ryktesskador.

Det bästa sättet att förhindra att betala lösensumma är att inte falla offer genom att genomföra förebyggande åtgärder och ha verktyg mättnad för att skydda din organisation från varje steg som angriparen tar helt eller stegvis för att hacka sig in i ditt system. Dessutom kommer möjligheten att återställa påverkade tillgångar att säkerställa återställning av affärsverksamhet i tid. Azure Cloud har en robust uppsättning verktyg som hjälper dig hela vägen.

Vad är den typiska kostnaden för ett företag?

Effekten av en utpressningstrojanattack på en organisation är svår att kvantifiera korrekt. Beroende på omfattning och typ är effekten dock flerdimensionell och uttrycks brett i:

  • Förlust av dataåtkomst
  • Avbrott i verksamheten
  • Ekonomisk förlust
  • Stöld av immateriella rättigheter
  • Komprometterat kundförtroende och ett skamfilat rykte

Colonial Pipeline betalade cirka 4,4 miljoner dollar i lösensumma för att få sina data släppta. Detta inkluderar inte kostnaden för stilleståndstid, förlorad produktivitet, förlorad försäljning och kostnaden för att återställa tjänster. Mer allmänt är en betydande inverkan "dominoeffekten" av att påverka ett stort antal företag och organisationer av alla slag, inklusive städer i sina lokala områden. De ekonomiska effekterna är också häpnadsväckande. Enligt Microsoft beräknas den globala kostnaden i samband med återställning av utpressningstrojaner överstiga 20 miljarder dollar 2021.

Stapeldiagram som visar påverkan på verksamheten

Nästa steg

Se vitboken: Azure-skydd för white paper om utpressningstrojanattacker.

Andra artiklar i den här serien: