Infostealer-malware omgår nuværende cybersikkerhedspraksisser, og dens optræden kan give spor til en forestående ransomware-angreb, viser en ny undersøgelse.

IT-sikkerheds virksomheden SpyCloud opdagede for nylig en "kritisk kløft" i forhold til at afhjælpe malware i deres nyligt udgivne Ransomware Defense Report 2023, baseret på input fra omkring 300 cybersikkerhedspraktikere og ledere.

Infostealer-infektioner udløser ransomware-hændelser

Faktisk havde mere end en femtedel (22%) af de 1.831 nordamerikanske og europæiske virksomheder, der var kendt for at have oplevet et ransomware-angreb i 2023, mindst én infostealer-infektion inden angrebet, udtalte SpyCloud.

Andre hovedpunkter i rapporten inkluderer følgende (ifølge SpyCloud):

- 81% af de undersøgte organisationer blev påvirket på en eller anden måde af ransomware mindst én gang i de sidste 12 måneder, hvilket viser, at ransomware fortsat er en toptrussel for flertallet af organisationerne.

- 98% af de adspurgte sagde, at bedre synlighed af malware-eksfiltrerede data og automatiserede rettelsesprocesser ville forbedre deres evne til at bekæmpe ransomware og forbedre sikkerhedspositionen. Disse overbevisninger afspejles dog ikke i deres gældende sikkerhedspraksis og planlagte forbedringer.

- 60% af organisationerne identificerede forebyggelse af ransomware som deres øverste prioritet i de næste 12 måneder, hvilket understreger vigtigheden af at tage fuldstændige skridt til efterinfektionsafhjælpning for at negere virkningen af infostealer-tappede data.

Yderligere resultater inkluderer:

- Færre end 12% af de adspurgte organisationer, der blev ramt af ransomware, beskrev deres samlede omkostninger over 12 måneder som ubetydelige, og 39% brugte mere end 1 million dollar. Disse tal inkluderer sandsynligvis ikke de sværere at måle omkostninger som omdømmeskader, påvirkning på driften og brug af ressourcer.

- Ransomware forbliver et stort problem uanset organisationens størrelse, på trods af troen på, at større organisationer er i en bedre defensiv position på grund af større budgetter og flere ressourcer.

- Selvom organisationer med færre end 1.000 medarbejdere havde den værste påvirkning (hvor 90% blev påvirket), blev store virksomheder med 10.000 eller flere medarbejdere påvirket på samme skala som mellemstore virksomheder (med mindst 70% påvirket).

- Næsten 80% af de adspurgte følte sig trygge ved deres evne til at forhindre et fuldskala ransomware-angreb, herunder 91% af ledelsen. På den anden side var SecOps-praktikere meget mindre sikre end ledelsen, med 71%.

- Dog advarede SpyCloud om, at denne tillid måske er misplaceret, givet det store antal organisationer, der er ramt af ransomware, og hullerne i deres forsvar.

- Cyberkriminelle innoverer hurtigt, og selv modforholdsregler, der er tilstrækkelige i dag, vil ikke følge med i den innovationstakt, da SecOps-teams i vid udstrækning stoler på traditionelle modforholdsregler som datalagring og endepunktsbeskyttelse til forebyggelse.

- Cyberkriminelle har skiftet til at bruge malware-eksfiltrerede data som stjålne sessionscookies til at kapre sessioner og ubesværet udgive sig for medarbejdere, omgående autentificeringslag fra multifaktorautentificering til passkeys.

- Hændelsesrespons i denne udviklede miljø skal bevæge sig ud over den konventionelle enhedscentrerede metode til identitetscentreret malware-afhjælpning for at forhindre efterfølgende ransomware-angreb, der stammer fra brugen af data stjålet fra inficerede enheder.

- SecOps-teams skifter fokus fra brugerbevidsthed og træning til teknologidrevne modforholdsregler.

En sammenfatning af rapporten fra Spycloud

- SecOps-teams skal omfavne paradigmeskiftet fra efterinfektionsafhjælpning, der bevæger sig fra maskincentreret respons til en identitetscentreret tilgang.

- Denne next-gen-tilgang går ud over at rense en inficeret enhed og involverer yderligere skridt som nulstilling af stjålne legitimationsoplysninger og ugyldiggørelse af aktive web sessioner i eksponerede applikationer.

- Disse ekstra skridt til malware-afhjælpning er nødvendige for at beskytte en organisation mod et ransomware-angreb, men de mangler i de fleste hændelsesrespons-playbooks.

- Indtil SecOps-teams opdaterer deres playbooks med next-gen-taktikker, vil cyberkriminelle forblive flere skridt foran.