Ransomware

I takt med att ransomware-attackerna ökar kraftigt och 2023 nådde en rekordhög nivå på 1,1 miljarder dollar i lösenbetalningar, intensifierar de amerikanska och brittiska regeringarna och ett stort antal internationella brottsbekämpande partner sina ansträngningar för att störa, ta ner eller på annat sätt störa hotaktörer inom ransomware. I januari 2023 meddelade USA:s justitiedepartement att man stoppat ransomware-gruppen Hive. I samarbete med tysk polis och Nederländernas nationella enhet för högteknologisk brottslighet tog departementet kontroll över Hives servrar och webbplatser för att kommunicera med dess medlemmar, vilket avbröt Hives förmåga att angripa och utpressa offer.

I augusti 2023 tillkännagav justitiedepartementet en multinationell operation som omfattade åtgärder i USA, Frankrike, Tyskland, Nederländerna, Storbritannien, Rumänien och Lettland för att störa botnätet och gisslanprogrammet som kallas Qakbot och slå ut dess infrastruktur.

På senare tid har brottsbekämpande myndigheter vidtagit samordnade åtgärder för att hantera hotet från ransomware och riktat in sig på två av de mest produktiva och skadliga grupperna. I december 2023 tillkännagav det amerikanska justitiedepartementet en störningskampanj mot ransomware-gruppen ALPHV/BlackCat och erbjöd ett dekrypteringsverktyg från FBI till 500 offer.

Förra månaden meddelade brittiska National Crime Agency, i samarbete med amerikanska justitiedepartementet, FBI och andra internationella polismyndigheter, att de hade stoppat ransomware-gruppen Lockbits verksamhet genom att beslagta ett stort antal offentliga webbplatser. De gjorde också dekrypteringsfunktioner tillgängliga för att göra det möjligt för hundratals offer att återställa system.

Cybersäkerhetsexperter är överens om att dessa åtgärder, även om de är nödvändiga, sannolikt inte kommer att minska frekvensen av ransomware-attacker permanent. De är också överens om att det inte finns några enkla lösningar för att effektivt hantera det pågående ransomware-hotet på kort sikt.

Vad ligger bakom nedtagningarna?

Precis som all organiserad brottslighet har ransomware-attacker uppmärksammats av brottsbekämpande myndigheter. De senaste åtgärderna för att ta ner stora ransomware-grupper som ALPHV/BlackCat och LockBit utgör dock en utveckling av brottsbekämpningens förmåga att ta itu med ransomware-epidemin.

– Antalet högprofilerade nedtagningar verkar ha accelererat, säger Ciaran Martin, ledare för SANS CISO Network och grundare av Storbritanniens National Cyber Security Centre.  

– Det finns två förklaringar till det. En är att de lägger ner mycket mer arbete på det. Den andra är att de har varit lite mer framgångsrika än tidigare.

Utöver det finns det två anledningar till att nedtagningar som görs av brottsbekämpande myndigheter är mer frekventa, säger Martin. 

– Det ena är cyberbrottslighet. Ransomware är ett mycket mer påtagligt hot mot oss och orsakar verkliga skador, särskilt inom områden där människors säkerhet är i fara, som hälso- och sjukvård. För det andra är nedtagningar något vi kan göra. Vi kan inte gripa dem. Vi kan prata om att detta är ett brott och skicka polisen efter dem, men vi kan inte göra det. Nedtagningar är något vi faktiskt kan göra.

– De brottsbekämpande åtgärderna blir definitivt snabbare, säger Jon DiMaggio, chefsstrateg för säkerhet på Analyst1.

– Jag tror att en del av det beror på att de börjar förstå de statiska stegen, det vill säga de aspekter som inte förändras, som infrastruktur och sådant som är relaterat till det. De har också haft mycket kontakt med den privata sektorn under det senaste året eller två. Det har hjälpt dem oerhört mycket eftersom det i slutändan är den privata sektorn som har de flesta uppgifterna och informationen om dessa grupper.

Bob Kolasky, senior vice president för kritisk infrastruktur på Exiger och grundare av CISA:s National Risk Management Center, tillskriver Biden-administrationens ökade fokus på att sätta dit ransomware-aktörer för den senaste tidens ökade aktivitet. 

– Jag tror att kan säga att regeringen har blivit mer aggressiv när det gäller att gå efter förövare och ransomware-gäng, säger han. 

– Regeringen har försökt att använda hela sin kapacitet för att ta itu med risken för utpressningstrojaner, avskräcka från utpressningstrojaner och sätta dit brottslingar. Och jag tror att administrationen har gjort en strategisk förändring för att vara mer aggressiv i hanteringen av den här frågan och för att försöka motverka trenden med ökad ransomware.

Hur effektiva har störningarna varit?

Trots nedtagningarna och störningarna är ransomware-grupper motståndskraftiga och kan snabbt anta nya skepnader även efter betydande nedtagningar av brottsbekämpande myndigheter. ALPHV/BlackCat återhämtade sig efter sin nedtagning i december och attackerade Change Healthcare och fick sannolikt 22 miljoner dollar i lösensumma, och blåste samtidigt en affiliate på pengarna.

Även efter Lockbits nedtagning i februari, som de brottsbekämpande myndigheterna gjorde särskilt förödmjukande genom att ersätta läckagesajten med en ”wall of shame”, skapade gänget, eller åtminstone dess ledare Lockbitsupp, en ny läckagesajt och försökte utan framgång pressa ett av sina offer, Fulton County, Georgia, i USA, på en lösensumma.

Trots dessa till synes återupplivade grupper tror DiMaggio att dessa grupper har drabbats av en ”psykologisk påverkan” och står inför allvarliga ryktesskador, särskilt bland affiliates. Med Lockbit gick brottsbekämpande myndigheter ”faktiskt igenom all data, gjorde om hela webbplatsen för att skicka ett meddelande till dem som loggar in, och varje affiliate-hacker som loggade in på panelen skulle få sitt eget personliga meddelande med det alias de använde för att komma åt panelen, där brottsbekämpande myndigheter berättade att de har spårat deras loggar, sett deras kommunikation med offer och med Lockbit och att de kommer att se dem snart”, säger han. 

– I bakhuvudet tänker de: Ska jag fortsätta att arbeta med Lockbit när de sätter upp en ny server om en vecka?

DiMaggio har kommunicerat med Lockbit-ledaren Lockbitsupp. Han säger att Lockbitsupp rutinmässigt postar små kattklistermärken i sina chattar. När rättsväsendet tog ner Lockbit publicerade de en kattklistermärkesikon på beslagssidan. Det skickade ett meddelande till affiliates att ”inte bara har vi varit här, inte bara har vi sett dina loggar, men vi vet vem du pratar med, och vi känner till konversationerna, och vi läser dem. Allt detta har haft en effekt eftersom LockBitSupp är tillbaka, men hans rykte är betydligt skadat.”

Även med denna typ av ryktesskada kommer ransomware-grupperna att återuppstå förr eller senare så länge deras ryska ledare förblir fria och skyddade från utlämning av Kreml. Adam Meyers, senior vice president för counter adversary operations på Crowdstrike, säger: 

– Den stora utmaningen som jag tror att vi börjar se är en, hur effektiva är dessa störningar när de inte också är kopplade till ett gripande? Om du går tillbaka historiskt har vi sett vissa störningar utan gripanden, och botnätoperatören, hotaktören, har i princip återuppstått. Kelihos är ett bra exempel, där det skedde en nedtagning av Kelihos varannan månad. Men det fortsatte att komma tillbaka fram till 2017, då Kelihos stördes och huvudoperatören för botnätet, greps. Och det var då du såg att botnätet slutligen försvann.

Så länge Ryssland, där många ransomware-grupper finns, skyddar hotaktörerna är det osannolikt att de någonsin kommer att gripas. 

– Det finns två strategiska problem som vi måste ta itu med när det gäller ransomware, säger Martin. 

– Det ena är nästan olösligt så länge Putin sitter vid makten, eller åtminstone så länge det inte sker någon politisk förändring i Ryssland, och det är att Ryssland är en säker tillflyktsort. Så länge ett stort land med många smarta hackare som Ryssland är villigt att vara värd för detta brott, kommer du att ha ett problem. Det andra problemet, som jag tror att du kan hantera, är affärsmodellen för ransomware. Den gynnar brottslingarna ganska ofta. Folk betalar och sedan kommer de tillbaka för att få mer.

Att angripa affärsmodellen

I sitt personliga ställningstagande om ransomware, som inte är kopplat till SANS eller någon annan grupp, förespråkar Martin ett totalförbud mot betalningar för ransomware som det bästa alternativet för att komma till rätta med problemet. 

– Vi tillåter människor att betala eftersom de får panik och befinner sig i en mycket svår situation. De förstår inte vad som pågår. Jag tycker att regeringarna har varit mycket snabba med att införa mycket stränga regler för lösensummor för kidnappning av terrorister och så vidare för att se till att Al-Qaida och ISIS och alla dessa hemska grupper inte får tillgång till medel. Men de fortsätter att säga utan någon seriös analys, åtminstone i det offentliga rummet: ”åh, ett förbud mot ransomware skulle vara för svårt”, säger han.

Vissa cybersäkerhetsexperter håller dock inte med om att det är ett bra alternativ att förbjuda betalningar för utpressningstrojaner. 

– Jag tror inte att ett förbud kommer att få den effekt som folk tror, säger Meyers. 

– Jag har pratat med många företag som drabbats av ransomware, och det var deras enda alternativ. De skulle antingen ha gått i konkurs, och människor skulle ha blivit arbetslösa och saknat de tjänster de behövde på grund av att de inte kunde betala lösensumman. Vår vägledning är vanligtvis att inte betala lösensumman, men ibland har organisationer inget val.

DiMaggio tror att ett förbud skulle fungera, men hävdar att det skulle innebära enorma ekonomiska förluster eftersom det skulle gå från en ransomware-attack till en sabotageattack eftersom du inte längre ens har möjlighet att dekryptera dina system eller betala för att stulna data inte ska publiceras. 

– Vi skulle förblöda ett tag, men sedan skulle det bara sluta eftersom du inte kommer att vilja arbeta 40 timmar i veckan för att göra vad du anser vara ditt jobb, oavsett om det är ett brott eller inte, om du inte får betalt.

Martin tror att ett förbud mot ransomware i morgon på egen hand skulle vara för svårt men att det är ett politiskt val som en ordentlig statlig mekanism bör stödja. 

– Brittisk sjukvård drabbas mycket mindre av ransomware än amerikansk sjukvård. Varför är det så? För att den brittiska sjukvården är offentligt driven och statliga organ kommer inte att betala. Varför har National Health Service råd att inte betala? Därför att om den drabbas av ransomware får den ett bredare stöd från staten.

God cybersäkerhet är alltid ett försvar

Förutom att helt förbjuda utbetalning av lösensummor är den enda lösningen för att avvärja ransomware-attacker att tillämpa god riskhantering och hygienrutiner för cybersäkerhet. När det gäller utpressningstrojaner är det viktigaste säkerhetskopior och möjligheten att använda säkerhetskopior. 

– För om det bara är tillgången till tjänster som de utpressar dig för, om du kan få säkerhetskopior och köra från ett backupsystem, då är det värdelöst för angriparen, säger Martin. 

– Jag tror att varje organisation måste lösa särskilt kritiska frågor, som vad som skulle hända om jag förlorade åtkomsten till systemet och vad jag kan göra för att relativt snabbt komma tillbaka.

– De andra områden där vi kan bli bättre är att förebygga, försvara och ha en proaktiv inställning till det, säger DiMaggio. 

– Visst, det kommer inte att stoppa det, men om den dag du först drabbas av ransomware är första gången du har en plan för hur du ska agera, kommer du att få problem. Och så är det med många företag.

– Så länge människor inte tar säkerhet på allvar och inte investerar i det här kommer de att fortsätta att få samma resultat, säger Meyers. 

– Dessa hotaktörer gör detta för att det är lättförtjänta pengar. Tills vi höjer trösklarna och kostnaderna för dessa hotaktörer och det inte längre är lika lätt för dem att tjäna pengar på detta som det är i dag, kommer de att fortsätta göra det, och om de blir störda kommer de att bygga upp det igen.