Hotet från Ransomware och Interna Samarbetspartners
Ransomware utgör en av de allvarligaste formerna av nätbrottslighet. I en värld där data ständigt ökar i värde har kriminella insett att de kan tjäna stora summor pengar genom att utpressa företag. Dessa attacker har blivit oroväckande frekventa, och vissa ransomware-grupper går så långt som att rekrytera anställda inom företagen för att assistera dem.
Företag som vill skydda sig mot ransomware måste nu beakta mer än bara externa risker. Nästa attack kan mycket väl komma inifrån.
Varför eftersträvar Ransomware-grupper Interna Kontakter?
Att söka hjälp från anställda i samband med brottslig verksamhet kan tyckas vara en stor risk, så varför väljer ransomware-grupper den här strategin? Det beror till stor del på att interna medarbetare ökar chanserna för en lyckad attack.
Många experter är överens om att interna hot utgör en större risk än externa, eftersom de anställda redan har tillgång till känslig information. Tyvärr förbiser många företag just dessa interna risker. Detta gör att anställda kan vara en stor tillgång för ransomware-grupper om de kan förmås att hjälpa till. Istället för att tvingas hacka sig igenom komplexa säkerhetssystem, kan nätbrottslingar helt enkelt skicka en fil till en anställd som sedan installerar den på företagets datorer.
Att bryta sig in i ett företags system kan vara en svår uppgift, särskilt om säkerhetsåtgärderna är starka. Däremot är människor fortfarande lika lätta att manipulera som tidigare. Att rekrytera en intern medarbetare underlättar avsevärt genomförandet av en lyckad ransomware-attack, vilket ofta resulterar i en betydande ekonomisk vinning.
Metoder för Intern Rekrytering
För att stoppa ransomware-grupperna från att använda interna medarbetare måste man först förstå deras metoder. Här är några av de vanligaste strategierna:
Social Manipulation
Nätfiske och andra metoder för social manipulation är vanliga vid ransomware-attacker, och det är inte svårt att förstå varför. Det är lättare att få någon att hjälpa till med ett brott om de inte är medvetna om vad de gör. Ransomware-grupper kan lura anställda att installera skadlig programvara utan att de förstår det.
Dessa attacker utförs ofta via e-post eller SMS och innehåller vanligtvis en länk eller bilaga som ser legitim ut. När en intet ont anande anställd klickar på den, installeras ransomware på deras arbetsenhet. På så sätt får ransomware-grupperna intern tillgång utan att behöva övertala någon att avsiktligt begå ett brott.
Direkt Kontakt
Ransomware-grupper har även blivit mer direkta i sin rekrytering under de senaste åren. Enligt en undersökning från Bravur Säkerhet uppger 65 procent av IT-proffsen att de eller deras medarbetare har kontaktats direkt av brottslingar som försöker få hjälp med ransomware-attacker. Detta är en ökning med 17 procent jämfört med 2021.
Precis som vid nätfiske sker dessa kontaktförsök oftast via e-post, men vissa ransomware-grupper tar även kontakt via telefonsamtal eller sociala medier. I de flesta fall försöker de övertala anställda att samarbeta genom att erbjuda dem mutor. Grupper erbjuder ofta hundratusentals dollar i kontanter, kryptovaluta eller en del av lösensumman i utbyte mot att de installerar ransomware.
Crowdsourcing
Säkerhetsforskare har observerat att vissa ransomware-grupper försöker sig på crowdsourcing av sina attacker. Nätbrottslingar gör inlägg på offentliga forum eller krypterade sociala plattformar, som Telegram, där de uppmanar personer med intern tillgång att kontakta dem. De kan till och med ordna omröstningar om vilka företag som ska angripas eller vilken information som ska läckas.
Dessa offentliga inlägg når en bredare publik och ökar därmed chanserna att hitta interna samarbetspartners. Enligt Comparitech är den genomsnittliga lösensumman över 2 miljoner dollar, vilket gör att ransomware-grupperna tjänar mer än tillräckligt för att betala flera samarbetspartners.
Exempel på Interna Medarbetare Som Hjälpt Ransomware-Angripare
Flera kända företag har fallit offer för den här typen av attacker. Under 2021 rapporterade AP News att en cyberkriminell erbjudit en Tesla-anställd 500 000 dollar för att installera ransomware på företagets datorer. Den anställde valde att rapportera händelsen, men detta belyser allvaret i dessa attacker.
Andra företag har inte haft lika tur. År 2019 fick en missnöjd före detta anställd på tekniksupportföretaget Asurion 50 000 dollar per dag av sin tidigare arbetsgivare efter att ha stulit information om miljontals kunder (enligt Bitdefender). Myndigheterna lyckades gripa den före detta anställde, men inte förrän företaget redan betalat ut stora summor pengar.
Det är viktigt att notera att dessa attacker, även om de har blivit vanligare, inte är nya. Enligt FBI stal en Boeing-ingenjör hundratusentals dokument mellan sent 1970-tal och tidigt 2000-tal på uppdrag av kinesisk underrättelsetjänst. Detta exempel är från tiden före ransomware, men det visar hur allvarliga hot från interna medarbetare som samarbetar med externa krafter kan vara.
Hur Man Förebygger Interna Ransomware-Hot
Med tanke på de enorma riskerna måste företag göra allt de kan för att hindra anställda från att samarbeta med ransomware-grupper. Här följer tre viktiga steg för att uppnå detta:
Skapa en Positiv Arbetsplatskultur
En av de viktigaste åtgärderna är att se till att anställda trivs på sina arbetsplatser. Ju mindre en anställd gillar sin arbetsgivare, desto mer sannolikt är det att de accepterar en muta från en ransomware-grupp och hjälper till att attackera företaget. En mer positiv arbetsplats minskar risken för detta.
En konkurrenskraftig lön är en viktig faktor för medarbetarnas tillfredsställelse, men det är inte allt. En rapport från Gallup visar att endast 28 procent av de anställda anser att lön och förmåner är den viktigaste faktorn för att göra en arbetsplats bra, jämfört med 41 procent som anser att engagemang och kulturfrågor är viktigare. Att se till att anställda känner sig respekterade, trygga och omhändertagna är avgörande.
Utbilda Anställda
Företag måste utbilda sina anställda i att känna igen metoder för social manipulation. Många ransomware-attacker som involverar interna medarbetare sker oavsiktligt, till exempel genom att klicka på en nätfiskelänk. Att lära medarbetarna vad de ska vara uppmärksamma på är avgörande för att stoppa dessa incidenter.
Stavfel, ovanlig brådska och situationer som verkar för bra för att vara sanna är vanliga indikationer på nätfiske. Anställda bör i allmänhet undvika att klicka på eller svara på oönskade meddelanden och aldrig lämna ut känslig information via e-post.
Implementera Nollförtroendesäkerhet
Nollförtroendesäkerhet är en annan viktig åtgärd för att förebygga interna ransomware-hot. Nollförtroendemetoden behandlar allt som potentiellt fientligt och kräver verifiering i varje steg innan åtkomst tillåts. Detta inkluderar att begränsa åtkomsten så att varje anställd endast kan se den information de behöver för sitt arbete.
Dessa säkerhetsmodeller är svårare att implementera än traditionella metoder, men de är det bästa alternativet för att skydda sig mot interna hot. Eftersom även auktoriserade anställda endast har tillgång till en begränsad mängd resurser, kommer rekrytering av interna medarbetare inte att göra en ransomware-attack värd kostnaden.
Interna Ransomware-Hot Är Hanterbara
Trenden att ransomware-grupper rekryterar interna medarbetare är inte ny, men den ökar. Det är skäl till oro, men det betyder inte att det är omöjligt att skydda sig.
Interna ransomware-hot understryker vikten av att begränsa förtroendet inom cybersäkerhet. Hot kan komma från var som helst, även från betrodda anställda, så det är bäst att säkerställa maximalt skydd.