Ransomware dominerar rubriker världen över.
Attacker mot till exempel Colonial Pipeline och Fujifilm har orsakat stora skador.
Men vilka är det som ligger bakom dessa attacker, och hur går de till?
Ransomware-attacker använder fortfarande e-post, men inte på det sätt man kanske kan tro. Ransomware-leverantörer köper ofta åtkomst från cyberkriminella grupper som redan har infiltrerat högprofilerade mål. Dessa grupper, ofta kallade ”initial access brokers” säljer sen åtkomsten för en procentandel av de slutliga intäkterna.
Tyvärr är det svårt att koppla dessa ”access brokers” till specifika ransomware-brottslingar, då de gör allt de kan för att dölja sin identitet.
Sedan avstängningen av malware-distributören Emotet har Proofpoint observerat frekvent aktivitet från liknande programvara som The Trick, Dridex, Qbot, IcedID, ZLoader – skadlig programvara som definieras under ”bank”-kategorin. Under de senaste sex månaderna har dessa kopplats samman med mer än 16 miljoner skadliga meddelanden – nästan 20 procent av all skadlig programvara. Det gör dem till den vanligaste typen av skadlig kod som Proofpoint har stött på.
Proofpoint spårar åtkomst som annonseras på diskussionsforum som drivs av olika cyberbrottslingar, och här kan man identifiera överlappningar mellan olika cyberkriminella grupper, malware och ransomware-infektioner. Beroende på den utsatta organisationen och dess vinstmarginaler, säljs tillgång från flera hundra dollar till tusentals dollar. Tillgång betalas även med kryptovaluta, vanligtvis bitcoin.
Förändringar i det kriminella landskapet
Proofpoints säkerhetsexperter har samlat in och analyserat data från 2013 till i dag för att bättre förstå trender för ransomware – och fann att ransomware som distribuerades direkt via e-post i form av en bilaga eller länk var relativt ovanliga fram till 2015. Därefter började cyberbrottslingar alltmer distribuera ransomware via e-post. Till exempel skickade Locky en miljon meddelanden om dagen under 2017, innan verksamheten stoppades.
Under de senaste två åren pekar flera rapporter på en minskning av tiden cyberbrottslingar tillbringar i en miljö innan de utför krypteringsaktiviteter. I vissa incidenter tar det bara två dagar mellan första åtkomst och spridning av ransomware. 2019 var siffran fortfarande 40 dagar i genomsnitt.
Korta uppehållstider, höga utbetalningar och samarbete mellan cyberbrottsekosystem har skapat en perfekt storm av cyberbrott som regeringar världen över börjar ta på allvar. Till exempel har USA:s regering föreslagit nya åtgärder för att bekämpa ransomware, efter senaste tidens attacker. Det var också ett hett ämne under årets G7-konferens.