Ransomware is bekend dat verschillende bekende kwetsbaarheden om toegang tot systemen te krijgen hefboomeffect. Sommige kwetsbaarheden komen vaker voor bij ransomware aanvallen, dus de veiligheid onderzoekers van RiskSense besloten om de meest voorkomende, die over meerdere gezinnen worden gebruikt om te richten op ondernemingen en overheidsorganisaties te analyseren.
De onderzoekers ontdekten dat bijna 65% van hen gerichte hoogwaardige activa, zoals servers. 35% van de kwetsbaarheden waren oud, van 2015 of eerder, met de WannaCry gebreken nog steeds ingezet.
Volgens de bevindingen, “ransomware kost bedrijven meer dan $8 miljard in 2018. Als benchmark, de stad Atlanta, die werd geraakt door SamSam vorig jaar, gemaakte kosten naar schatting in het bereik van $17 miljoen.”
Het is interessant om op te merken dat er een verschil is in het soort kwetsbaarheden gebruikt door ransomware consument en het bedrijfsleven aanvallen. In het eerste geval, individuele gebruikers in het gedrang komen met de hulp van Windows en Adobe gebreken, terwijl enterprise doelen worden hit op de server einde. In enterprise aanvallen, applicatie-infrastructuur en collaboration tools worden ook ingezet, als ze bevatten essentiële gegevens.
“Hoewel niet geheel onverwacht, het feit dat oudere kwetsbaarheden en mensen met lagere ernst scores worden uitgebuit door ransomware laat zien hoe gemakkelijk het is voor organisaties om belangrijke kwetsbaarheden te missen als ze niet over de echte wereld bedreiging context,” merkte Srinivas Mukkamala, CEO van RiskSense.
Hoe was de verzamelde gegevens?
Uit diverse bronnen zoals RiskSense eigen gegevens, publiek beschikbare bedreigingendatabases, plus bevindingen uit RiskSense bedreiging onderzoekers en penetratie testers. De analyse is gericht op de top ransomware families targeting bedrijven en overheidsorganisaties. De onderzoekers geïdentificeerd 57 kwetsbaarheden die in ransomware aanvallen tegen ondernemingen meest voorkomende zijn, evenals een aantal “trending” kwetsbaarheden in 2018 en 2019.
Hier zijn enkele interessante bevindingen uit het rapport:
Enterprise Ransomware jaagt High-Value Assets
63% (36 uit 57) van de CVE's geanalyseerd werden gebonden aan hoogwaardige enterprise activa, zoals servers, applicatieservers, en collaboration tools. 31 van deze CVE's populair waren in het wild in 2018 of 2019. Gericht op deze en andere belangrijke activa aanvallers de mogelijkheid om verstoring van de bedrijfsactiviteiten te maximaliseren en de vraag naar hoger losgeld betalingen.
Low CVSS Scores kunt dragen High Risk
52.6% (30 uit 57) van de ransomware kwetsbaarheden had een CVSS v2 scoren lager dan 8. Van deze, 24 van de kwetsbaarheden populair waren in het wild. Verrassend, sommige trending ransomware kwetsbaarheden had gescoord zo laag als 2.6. Dientengevolge, organisaties die CVSS scores te gebruiken als hun exclusieve middel om prioriteiten te stellen kwetsbaarheden voor de patching zal zeer waarschijnlijk missen belangrijke kwetsbaarheden die worden gebruikt door ransomware.Veel kwetsbaarheden worden Recidivisten
15 kwetsbaarheden werden gebruikt door meerdere families van enterprise ransomware. Aangezien dezelfde code vaak wordt hergebruikt in meerdere producten, 17 neigen kwetsbaarheden met actieve exploits in het wild getroffen meerdere technologieleverancier.
Meer informatie is beschikbaar in het proces-verbaal.