Hur Ransomware-gäng värvar insiders (och hur man stoppar dem)

Ransomware är en av de mest skadliga typerna av cyberbrottslighet. I takt med att data blir mer värdefulla har brottslingar funnit att de kan få större lönedagar genom att hålla dem för lösen. Dessa attacker har blivit skrämmande vanliga och vissa ransomware-gäng rekryterar till och med företagsinsiders för att hjälpa dem.

Företag som vill skydda sig från ransomware måste nu överväga mer än bara externa hot. Nästa attack kan komma inifrån.

Varför vill Ransomware-gäng ha insiders?

Att be anställda om hjälp med ett brott verkar vara ett bra sätt att larma, så varför skulle ransomware-gäng ta den risken? Det mesta beror på insiders som gör dessa attacker mer benägna att lyckas.

Många håller med om att insiders utgör större risker än hot utifrån eftersom de redan har tillgång till känslig information – och många företag förbiser interna risker. Som ett resultat kan anställda vara till stor hjälp för ransomware-gäng om de är övertygade om att hjälpa till. Istället för att behöva hacka sig förbi lager av komplexa säkerhetssystem kan cyberbrottslingar helt enkelt maila en anställd en fil att installera på verkens datorer.

Det kan bli allt svårare att hacka sig in i ett företag när säkerhetsförsvaret är så starkt. Däremot är människor lika lätta att manipulera som någonsin. Att rekrytera en insider gör det mycket lättare att utföra en framgångsrik ransomware-attack, vilket ofta innebär en stor utbetalning.

Insiderrekryteringsmetoder

Att stoppa ransomware-gäng från att få insiders att göra sitt smutsiga arbete börjar med att lära sig hur de gör det. Här är några av de vanligaste metoderna.

Social ingenjörskonst

Nätfiske eller andra former av social ingenjörskonst står för en stor andel av ransomware-attacker, och det är uppenbart att förstå varför. Det är lättare att rekrytera någon att hjälpa till med ett brott om de inte vet att det är vad de gör. Ransomware-gäng kan få anställda att installera skadlig programvara utan att de ens är medvetna om det.

Dessa attacker kommer vanligtvis via e-post eller text, ofta innehållande en länk eller bilaga som ser legitim ut. När den intet ont anande insidern klickar på den installerar filen eller länken ransomware på deras arbetsenhet. Som ett resultat ger det ransomware-gäng insideråtkomst utan att behöva övertyga någon att medvetet begå ett brott.

Direktkontakt

Ransomware-gäng har också blivit mer direkta de senaste åren. Enligt Bravur Säkerhetchockerande 65 procent av IT-proffs säger att brottslingar direkt har kontaktat dem eller deras anställda om att hjälpa till med en ransomware-attack – det är en ökning med 17 procent jämfört med 2021 års nivåer.

Precis som nätfiske kommer dessa förfrågningar vanligtvis via e-post, men vissa ransomware-gäng når ut via telefonsamtal eller sociala medier. I de flesta fall försöker de övertyga anställda att hjälpa till genom att muta dem. Gangs kommer att erbjuda hundratusentals dollar i kontanter, kryptovaluta eller en nedskärning av lösensumman i utbyte mot att de installerar ransomware.

Crowdsourcing

Säkerhetsforskare har också märkt att några gäng med ransomware försöker crowdsourca sina attacker. Cyberbrottslingar gör inlägg på offentliga forum eller krypterade sociala plattformar som Telegram och uppmanar personer med insideråtkomst att kontakta dem. De kan till och med hålla offentliga omröstningar om vem de ska rikta in sig på eller vilken data som ska läcka.

Dessa offentliga inlägg når en bredare publik, vilket potentiellt ökar chanserna att få insiderhjälp. Enligt Comparitechen genomsnittlig lösensumma är över 2 miljoner dollar, ransomware-gäng kommer att tjäna mer än tillräckligt på en framgångsrik attack för att betala flera samarbetspartners också.

Exempel på insiders som hjälper Ransomware-angripare

Attacker som denna har riktat sig mot några av världens mest kända företag. År 2021, AP Nyheter rapporterade att en cyberkriminell erbjöd en Tesla-anställd $500 000 för att installera ransomware på företagets datorer. I det här fallet rapporterade den anställde händelsen istället för att ta pengarna, men det belyser omfattningen av dessa attacker.

Andra företag har haft mindre tur. Under 2019 fick en missnöjd före detta anställd från tekniska supportföretaget Asurion $50 000 per dag från sin tidigare arbetsgivare efter att ha stulit data om miljontals kunder (enligt Bitdefender). Brottsbekämpning lyckades fånga den före detta arbetaren, men inte efter att företaget redan hade spenderat tusentals i lösen.

Det är värt att notera att även om dessa attacker har blivit vanligare, är de inte nödvändigtvis nya heller. Enligt FBI, stal en Boeing-ingenjör hundratusentals dokument mellan slutet av 1970-talet och början av 2000-talet som rekrytering för kinesiska underrättelsetjänster. Denna instans är före ransomware men exemplifierar hur extrema insiderhot som arbetar för utomstående makter kan vara.

Hur man förhindrar Insider Ransomware-hot

Med tanke på de enorma riskerna måste företag göra allt de kan för att förhindra insiders från att arbeta med ransomware-gäng. Här är tre avgörande steg mot det målet.

Skapa en positiv arbetsplatskultur

En av de viktigaste åtgärderna du kan vidta är att se till att anställda är nöjda i sina positioner. Ju mindre en anställd gillar sin arbetsgivare, desto mer sannolikt är det att de tar en muta från ett ransomware-gäng och hjälper till att rikta in sig på sitt företag för att hämnas. Att bygga en mer positiv arbetsplats minimerar detta hot.

Konkurrenskraftig lön är en viktig del av medarbetarnas tillfredsställelse, men det är inte allt. A Gallup rapport visar att bara 28 procent av de anställda nämner löner och förmåner som den största förändringen som skulle göra deras arbetsplats bra, jämfört med 41 procent som nämnde engagemang och kulturfrågor. Att arbeta med anställda för att säkerställa att de känner sig respekterade, säkra och omhändertagna kommer att räcka långt.

Utbilda anställda

Företag måste utbilda sina anställda för att upptäcka social ingenjörstaktik också. Många insiderrelaterade ransomware-attacker kommer från olyckor som att klicka på en nätfiske-länk. Nyckeln till att stoppa dessa incidenter är att lära arbetarna vad de ska hålla utkik efter.

Stavningsfel, ovanlig brådska och situationer som låter för bra för att vara sanna är vanliga indikatorer på nätfiske. I allmänhet bör anställda inte klicka på eller svara på några oönskade meddelanden och aldrig ge känslig information via e-post.

Implementera Zero-Trust Security

Nollförtroendesäkerhet är ett annat viktigt steg för att förebygga insider ransomware-hot. Nollförtroendemetoden behandlar allt som potentiellt fientligt, och kräver verifiering vid varje steg innan man ger åtkomst till någonting eller någon. Som en del av det begränsar det också åtkomsten så att varje anställd bara kan se vad de behöver för sitt jobb.

Dessa säkerhetsmodeller är svårare att implementera än traditionella metoder, men de är det bästa alternativet mot insiderhot. Eftersom även auktoriserade insiders bara kan komma åt en begränsad mängd resurser, kommer rekrytering av insiders inte nödvändigtvis att göra en ransomware-attack värd kostnaden.

Insider Ransomware-hot är hanterbara

Trenden med gäng som lösenprogram rekryterar insiders är inte nödvändigtvis ny, men den är på uppgång. Det borde ge anledning till oro, men det betyder inte att du inte kan försvara dig mot det.

Insider ransomware-hot belyser vikten av att begränsa förtroendet för cybersäkerhet. Hot kan komma från var som helst, även från betrodda medarbetare, så det är bäst att låsa saker så mycket som möjligt.