Infostealer-malware omgår nuværende cybersikkerhedspraksisser, og dens optræden kan give spor til en forestående ransomware-angreb, viser en ny undersøgelse.
IT-sikkerheds virksomheden SpyCloud opdagede for nylig en "kritisk kløft" i forhold til at afhjælpe malware i deres nyligt udgivne Ransomware Defense Report 2023, baseret på input fra omkring 300 cybersikkerhedspraktikere og ledere.
"Den hastigt voksende trussel fra infostealer-malware er afgørende for diskussionen om forsvar mod ransomware, da forskning nu viser, at tilstedeværelsen af visse infostealere kan være forløberen for et ransomware-angreb" - SpyCloud
Infostealer-infektioner udløser ransomware-hændelser
Faktisk havde mere end en femtedel (22%) af de 1.831 nordamerikanske og europæiske virksomheder, der var kendt for at have oplevet et ransomware-angreb i 2023, mindst én infostealer-infektion inden angrebet, udtalte SpyCloud.
Andre hovedpunkter i rapporten inkluderer følgende (ifølge SpyCloud):
- 81% af de undersøgte organisationer blev påvirket på en eller anden måde af ransomware mindst én gang i de sidste 12 måneder, hvilket viser, at ransomware fortsat er en toptrussel for flertallet af organisationerne.
- 98% af de adspurgte sagde, at bedre synlighed af malware-eksfiltrerede data og automatiserede rettelsesprocesser ville forbedre deres evne til at bekæmpe ransomware og forbedre sikkerhedspositionen. Disse overbevisninger afspejles dog ikke i deres gældende sikkerhedspraksis og planlagte forbedringer.
- 60% af organisationerne identificerede forebyggelse af ransomware som deres øverste prioritet i de næste 12 måneder, hvilket understreger vigtigheden af at tage fuldstændige skridt til efterinfektionsafhjælpning for at negere virkningen af infostealer-tappede data.
Yderligere resultater inkluderer:
- Færre end 12% af de adspurgte organisationer, der blev ramt af ransomware, beskrev deres samlede omkostninger over 12 måneder som ubetydelige, og 39% brugte mere end 1 million dollar. Disse tal inkluderer sandsynligvis ikke de sværere at måle omkostninger som omdømmeskader, påvirkning på driften og brug af ressourcer.
- Ransomware forbliver et stort problem uanset organisationens størrelse, på trods af troen på, at større organisationer er i en bedre defensiv position på grund af større budgetter og flere ressourcer.
- Selvom organisationer med færre end 1.000 medarbejdere havde den værste påvirkning (hvor 90% blev påvirket), blev store virksomheder med 10.000 eller flere medarbejdere påvirket på samme skala som mellemstore virksomheder (med mindst 70% påvirket).
- Næsten 80% af de adspurgte følte sig trygge ved deres evne til at forhindre et fuldskala ransomware-angreb, herunder 91% af ledelsen. På den anden side var SecOps-praktikere meget mindre sikre end ledelsen, med 71%.
- Dog advarede SpyCloud om, at denne tillid måske er misplaceret, givet det store antal organisationer, der er ramt af ransomware, og hullerne i deres forsvar.
- Cyberkriminelle innoverer hurtigt, og selv modforholdsregler, der er tilstrækkelige i dag, vil ikke følge med i den innovationstakt, da SecOps-teams i vid udstrækning stoler på traditionelle modforholdsregler som datalagring og endepunktsbeskyttelse til forebyggelse.
- Cyberkriminelle har skiftet til at bruge malware-eksfiltrerede data som stjålne sessionscookies til at kapre sessioner og ubesværet udgive sig for medarbejdere, omgående autentificeringslag fra multifaktorautentificering til passkeys.
- Hændelsesrespons i denne udviklede miljø skal bevæge sig ud over den konventionelle enhedscentrerede metode til identitetscentreret malware-afhjælpning for at forhindre efterfølgende ransomware-angreb, der stammer fra brugen af data stjålet fra inficerede enheder.
- SecOps-teams skifter fokus fra brugerbevidsthed og træning til teknologidrevne modforholdsregler.
En sammenfatning af rapporten fra Spycloud
- SecOps-teams skal omfavne paradigmeskiftet fra efterinfektionsafhjælpning, der bevæger sig fra maskincentreret respons til en identitetscentreret tilgang.
- Denne next-gen-tilgang går ud over at rense en inficeret enhed og involverer yderligere skridt som nulstilling af stjålne legitimationsoplysninger og ugyldiggørelse af aktive web sessioner i eksponerede applikationer.
- Disse ekstra skridt til malware-afhjælpning er nødvendige for at beskytte en organisation mod et ransomware-angreb, men de mangler i de fleste hændelsesrespons-playbooks.
- Indtil SecOps-teams opdaterer deres playbooks med next-gen-taktikker, vil cyberkriminelle forblive flere skridt foran.
Comments