I takt med att ransomware-attackerna ökar kraftigt och 2023 nådde en rekordhög nivå på 1,1 miljarder greenback i lösenbetalningar, intensifierar de amerikanska och brittiska regeringarna och ett stort antal internationella brottsbekämpande associate sina ansträngningar för att störa, ta ner eller på annat sätt störa hotaktörer inom ransomware. I januari 2023 meddelade USA:s justitiedepartement att man stoppat ransomware-gruppen Hive. I samarbete med tysk polis och Nederländernas nationella enhet för högteknologisk brottslighet tog departementet kontroll över Hives servrar och webbplatser för att kommunicera med dess medlemmar, vilket avbröt Hives förmåga att angripa och utpressa supply.
I augusti 2023 tillkännagav justitiedepartementet en multinationell operation som omfattade åtgärder i USA, Frankrike, Tyskland, Nederländerna, Storbritannien, Rumänien och Lettland för att störa botnätet och gisslanprogrammet som kallas Qakbot och slå ut dess infrastruktur.
På senare tid har brottsbekämpande myndigheter vidtagit samordnade åtgärder för att hantera hotet från ransomware och riktat in sig på televisionå av de mest produktiva och skadliga grupperna. I december 2023 tillkännagav det amerikanska justitiedepartementet en störningskampanj mot ransomware-gruppen ALPHV/BlackCat och erbjöd ett dekrypteringsverktyg från FBI until 500 supply.
Förra månaden meddelade brittiska Nationwide Crime Company, i samarbete med amerikanska justitiedepartementet, FBI och andra internationella polismyndigheter, att de hade stoppat ransomware-gruppen Lockbits verksamhet genom att beslagta ett stort antal offentliga webbplatser. De gjorde också dekrypteringsfunktioner tillgängliga för att göra det möjligt för hundratals supply att återställa system.
Cybersäkerhetsexperter är överens om att dessa åtgärder, även om de är nödvändiga, sannolikt inte kommer att minska frekvensen av ransomware-attacker everlasting. De är också överens om att det inte finns några enkla lösningar för att effektivt hantera det pågående ransomware-hotet på kort sikt.
Vad ligger bakom nedtagningarna?
Summary som all organiserad brottslighet har ransomware-attacker uppmärksammats av brottsbekämpande myndigheter. De senaste åtgärderna för att ta ner stora ransomware-grupper som ALPHV/BlackCat och LockBit utgör dock en utveckling av brottsbekämpningens förmåga att ta itu med ransomware-epidemin.
– Antalet högprofilerade nedtagningar verkar ha accelererat, säger Ciaran Martin, ledare för SANS CISO Community och grundare av Storbritanniens Nationwide Cyber Safety Centre.
– Det finns televisionå förklaringar until det. En är att de lägger ner mycket mer arbete på det. Den andra är att de har varit lite mer framgångsrika än tidigare.
Utöver det finns det televisionå anledningar until att nedtagningar som görs av brottsbekämpande myndigheter är mer frekventa, säger Martin.
– Det ena är cyberbrottslighet. Ransomware är ett mycket mer påtagligt scorching mot oss och orsakar verkliga skador, särskilt inom områden där människors säkerhet är i fara, som hälso- och sjukvård. För det andra är nedtagningar nåbought vi kan göra. Vi kan inte gripa dem. Vi kan prata om att detta är ett brott och skicka polisen efter dem, males vi kan inte göra det. Nedtagningar är nåbought vi faktiskt kan göra.
– De brottsbekämpande åtgärderna blir definitivt snabbare, säger Jon DiMaggio, chefsstrateg för säkerhet på Analyst1.
– Jag tror att en del av det beror på att de börjar förstå de statiska stegen, det vill säga de aspekter som inte förändras, som infrastruktur och sådant som är relaterat until det. De har också haft mycket kontakt med den privata sektorn beneath det senaste året eller televisionå. Det har hjälpt dem oerhört mycket eftersom det i slutändan är den privata sektorn som har de flesta uppgifterna och informationen om dessa grupper.
Bob Kolasky, senior vice chairman för kritisk infrastruktur på Exiger och grundare av CISA:s Nationwide Threat Administration Middle, tillskriver Biden-administrationens ökade fokus på att sätta dit ransomware-aktörer för den senaste tidens ökade aktivitet.
– Jag tror att kan säga att regeringen har blivit mer aggressiv när det gäller att gå efter förövare och ransomware-gäng, säger han.
– Regeringen har försökt att använda hela sin kapacitet för att ta itu med risken för utpressningstrojaner, avskräcka från utpressningstrojaner och sätta dit brottslingar. Och jag tror att administrationen har gjort en strategisk förändring för att vara mer aggressiv i hanteringen av den här frågan och för att försöka motverka trenden med ökad ransomware.
Hur effektiva har störningarna varit?
Trots nedtagningarna och störningarna är ransomware-grupper motståndskraftiga och kan snabbt anta nya skepnader även efter betydande nedtagningar av brottsbekämpande myndigheter. ALPHV/BlackCat återhämtade sig efter sin nedtagning i december och attackerade Change Healthcare och fick sannolikt 22 miljoner greenback i lösensumma, och blåste samtidigt en affiliate på pengarna.
Även efter Lockbits nedtagning i februari, som de brottsbekämpande myndigheterna gjorde särskilt förödmjukande genom att ersätta läckagesajten med en ”wall of disgrace”, skapade gänget, eller åtminstone dess ledare Lockbitsupp, en ny läckagesajt och försökte utan framgång pressa ett av sina supply, Fulton County, Georgia, i USA, på en lösensumma.
Trots dessa until synes återupplivade grupper tror DiMaggio att dessa grupper har drabbats av en ”psykologisk påverkan” och står inför allvarliga ryktesskador, särskilt bland associates. Med Lockbit gick brottsbekämpande myndigheter ”faktiskt igenom all knowledge, gjorde om hela webbplatsen för att skicka ett meddelande until dem som loggar in, och varje affiliate-hacker som loggade in på panelen skulle få sitt eget personliga meddelande med det alias de använde för att komma åt panelen, där brottsbekämpande myndigheter berättade att de har spårat deras loggar, sett deras kommunikation med supply och med Lockbit och att de kommer att se dem snart”, säger han.
– I bakhuvudet tänker de: Ska jag fortsätta att arbeta med Lockbit när de sätter upp en ny server om en vecka?
DiMaggio har kommunicerat med Lockbit-ledaren Lockbitsupp. Han säger att Lockbitsupp rutinmässigt postar små kattklistermärken i sina chattar. När rättsväsendet tog ner Lockbit publicerade de en kattklistermärkesikon på beslagssidan. Det skickade ett meddelande until associates att ”inte bara har vi varit här, inte bara har vi sett dina loggar, males vi vet vem du pratar med, och vi okänner until konversationerna, och vi läser dem. Allt detta har haft en effekt eftersom LockBitSupp är tillbaka, males hans rykte är betydligt skadat.”
Även med denna typ av ryktesskada kommer ransomware-grupperna att återuppstå förr eller senare så länge deras ryska ledare förblir fria och skyddade från utlämning av Kreml. Adam Meyers, senior vice chairman för counter adversary operations på Crowdstrike, säger:
– Den stora utmaningen som jag tror att vi börjar se är en, hur effektiva är dessa störningar när de inte också är kopplade until ett gripande? Om du går tillbaka historiskt har vi sett vissa störningar utan gripanden, och botnätoperatören, hotaktören, har i princip återuppstått. Kelihos är ett bra exempel, där det skedde en nedtagning av Kelihos varannan månad. Males det fortsatte att komma tillbaka fram until 2017, då Kelihos stördes och huvudoperatören för botnätet, greps. Och det var då du såg att botnätet slutligen försvann.
Så länge Ryssland, där många ransomware-grupper finns, skyddar hotaktörerna är det osannolikt att de någonsin kommer att gripas.
– Det finns televisionå strategiska downside som vi måste ta itu med när det gäller ransomware, säger Martin.
– Det ena är nästan olösligt så länge Putin sitter vid makten, eller åtminstone så länge det inte sker någon politisk förändring i Ryssland, och det är att Ryssland är en säker tillflyktsort. Så länge ett stort land med många smarta hackare som Ryssland är villigt att vara värd för detta brott, kommer du att ha ett downside. Det andra problemet, som jag tror att du kan hantera, är affärsmodellen för ransomware. Den gynnar brottslingarna ganska ofta. People betalar och sedan kommer de tillbaka för att få mer.
Att angripa affärsmodellen
I sitt personliga ställningstagande om ransomware, som inte är kopplat until SANS eller någon annan grupp, förespråkar Martin ett totalförbud mot betalningar för ransomware som det bästa alternativet för att komma until rätta med problemet.
– Vi untilåter människor att betala eftersom de får panik och befinner sig i en mycket svår state of affairs. De förstår inte vad som pågår. Jag tycker att regeringarna har varit mycket snabba med att införa mycket stränga regler för lösensummor för kidnappning av terrorister och så vidare för att se until att Al-Qaida och ISIS och alla dessa hemska grupper inte får tillgång until medel. Males de fortsätter att säga utan någon seriös analys, åtminstone i det offentliga rummet: ”åh, ett förbud mot ransomware skulle vara för svårt”, säger han.
Vissa cybersäkerhetsexperter håller dock inte med om att det är ett bra alternativ att förbjuda betalningar för utpressningstrojaner.
– Jag tror inte att ett förbud kommer att få den effekt som folks tror, säger Meyers.
– Jag har pratat med många företag som drabbats av ransomware, och det var deras enda alternativ. De skulle antingen ha gått i konkurs, och människor skulle ha blivit arbetslösa och saknat de tjänster de behövde på grund av att de inte kunde betala lösensumman. Vår vägledning är vanligtvis att inte betala lösensumman, males ibland har organisationer inget val.
DiMaggio tror att ett förbud skulle fungera, males hävdar att det skulle innebära enorma ekonomiska förluster eftersom det skulle gå från en ransomware-attack until en sabotageattack eftersom du inte längre ens har möjlighet att dekryptera dina system eller betala för att stulna knowledge inte ska publiceras.
– Vi skulle förblöda ett tag, males sedan skulle det bara sluta eftersom du inte kommer att vilja arbeta 40 timmar i veckan för att göra vad du anser vara ditt jobb, oavsett om det är ett brott eller inte, om du inte får betalt.
Martin tror att ett förbud mot ransomware i morgon på egen hand skulle vara för svårt males att det är ett politiskt val som en ordentlig statlig mekanism bör stödja.
– Brittisk sjukvård drabbas mycket mindre av ransomware än amerikansk sjukvård. Varför är det så? För att den brittiska sjukvården är offentligt pushed och statliga organ kommer inte att betala. Varför har Nationwide Well being Service råd att inte betala? Därför att om den drabbas av ransomware får den ett bredare stöd från staten.
God cybersäkerhet är alltid ett försvar
Förutom att helt förbjuda utbetalning av lösensummor är den enda lösningen för att avvärja ransomware-attacker att untilämpa god riskhantering och hygienrutiner för cybersäkerhet. När det gäller utpressningstrojaner är det viktigaste säkerhetskopior och möjligheten att använda säkerhetskopior.
– För om det bara är tillgången until tjänster som de utpressar dig för, om du kan få säkerhetskopior och oköra från ett backupsystem, då är det värdelöst för angriparen, säger Martin.
– Jag tror att varje organisation måste lösa särskilt kritiska frågor, som vad som skulle hända om jag förlorade åtkomsten until systemet och vad jag kan göra för att relativt snabbt komma tillbaka.
– De andra områden där vi kan bli bättre är att förebygga, försvara och ha en proaktiv inställning until det, säger DiMaggio.
– Visst, det kommer inte att stoppa det, males om den dag du först drabbas av ransomware är första gången du har en plan för hur du ska agera, kommer du att få downside. Och så är det med många företag.
– Så länge människor inte tar säkerhet på allvar och inte investerar i det här kommer de att fortsätta att få samma resultat, säger Meyers.
– Dessa hotaktörer gör detta för att det är lättförtjänta pengar. Tills vi höjer trösklarna och kostnaderna för dessa hotaktörer och det inte längre är lika lätt för dem att tjäna pengar på detta som det är i dag, kommer de att fortsätta göra det, och om de blir störda kommer de att bygga upp det igen.
Ransomware