ANNONSEBILAG FRA DATA EQUIPMENT

Det er leveringstid på ransomware

Lang leveringstid er ikke uvanlig i den fysiske verden. Dette henger sammen med etterspørsel, tilgjengelighet på råvarer, produksjon og forsendelse.

ANNONSEBILAG FRA DATA EQUIPMENT
ANNONSEBILAG FRA DATA EQUIPMENT

Litt det samme er det i den digitale verden når det kommer til levering av utpressingskode. Ting har nemlig endret seg med hensyn til kompleksitet. Vi snakker nå ransomware v1 vs ransomware v2.

Erfaringer fra markedet ga meg inspirasjon til denne artikkelen. En hendelse der det gikk 7 måneder fra innbrudd til utpressing. For det er leveringstid på slike ting om dagen.

Ransomware v1 vs v2

Når man snakker om ransomware v1 og v2 snakker man om raskt og enkelt vs omfattende og komplekst. Enkel vs dobbel utpressing og gjenopprettelig vs delvis gjenopprettelig.

Ransomware v1

Tidligere, og nå for den del, kunne dette bare være en e-post som noen uheldigvis ble lurt av, klikket på link eller vedlegg, og skaden var et faktum. Andre tilfeller var supply chain tilsvarende Maersk-hendelsen. Enkelt, raskt og skadelig for oppetiden. Av de som ble angrepet hadde noen backup de kunne bruke for å komme raskt tilbake i drift. Noen hadde ikke backup, betalte de kriminelle og kom etter hvert opp igjen, mens de siste ikke betalte og tok jobben med å få ting opp igjen uansett hvor lang tid dette ville ta.

Ransomware v2

Dagens trusselbilde er fundamentalt endret. Nå snakker man dobbel utpressing.

Akkurat det samme skjedde med Østre Toten kommune. Angrepene i dag gjøres på en måte der de kriminelle bruker lengre tid. De kommer seg inn i nettverkene og systemene til målene før skadevare leveres. Dette kan gjøres på flere måter som f.eks via systemer uten MFA eller sårbarheter i Exchange (ref. Stortinget og mange andre) eller Log4J.

Når de har kommet seg på innsiden etableres ofte en såkalt callback, phone home, eller bakdør. Dette gjøres for å ha en permanent forbindelse inn i nettverket til målet. Skulle man finne på å betale for å få tilbake dataene vil disse forbindelsene overleve, og de kriminelle kan fortsette å eksistere i systemene i lang tid. Spørsmålet er hva kan og vil de bruke dette til neste uke, neste måned eller enda senere? Hvem vet?

Deretter jobber de kriminelle videre for å danne seg et bilde av nettverk og systemer, og dermed få mulighet til å hente ut relevant, sensitiv, verdifull og viktig informasjon. Dette tar tid.

De jobber for å finne backupløsningen, for å slette alt av innhold.En slik prosess tar tid. Stadig mer blir automatisert, men mye krever fortsatt menneskelig innsats. Derfor blir dette et kapasitetsproblem for de kriminelle, og derfor blir det leveringstid på løsepengeangrep.

7 måneder - en hendelse fra virkeligheten.

I et konkret tilfelle vi kjenner til ble Exchange sårbarheten i mars 2021 misbrukt for etablering av bakdør. Exchange sårbarheten ble kjent 2. mars og kunden patchet 6. mars. I dette tidsrommet rakk de kriminelle å etablere fotfeste. Ingen skade skjedde med kunden på dette tidspunktet, og ingenting ble oppdaget. De kriminelle startet ikke arbeidet med skade før i september. De påfølgende 3 ukene ble brukt til kartlegging, uthenting av data, sletting av backup. I oktober gikk systemene ned med ransomware. All backup var borte. Krav om 300.000 USD.

Oppsummering

I disse Log4J tider vil det være naturlig at de kriminelle så raskt som mulig etablerer disse bakdørene. Det er viktig å gjøre dette mens sårbarheten fortsatt eksisterer. Etableres bakdørene før man oppdaterer systemene sine sammen med andre sikkerhetstiltak, har man en viktig oppgave med å ettergå logger for mange systemer. Har det skjedd et innbrudd? Har de fått fotfeste? Har de benyttet mindre kjente forbindelser? Har de beveget seg?

  • Sikre at dere har logging på all kommunikasjon i forbindelse med servere, mellom servere og til og fra internett
  • Verifiser om det er mistenkelig kommunikasjon fra servere mot internett?
  • Sikre alarmering ved avvik fra normal adferd for serverne
  • Sikre at servere kun får snakke med godkjente destinasjoner og tjenester på internett med hvitelisting i brannmuren, og på den måten redusere muligheten for uønskede callback
  • Sikre at alle servere har endepunktsikkerhet som tilfredsstiller MITRE ATT&CK på en god måte for å være best mulig rustet mot alle angrepsmetoder

Se mer i anbefalingene fra NSM nederst i artikkelen.Det er viktig å fjerne skylapper når man undersøker, ellers kan man bli lurt. Les artikkel vi har skrevet om at du alltid patcher for sent, og derfor alltid må tenke at de er på innsiden.

Les også: Så, du utsetter å patche systemer fordi du skal kvalitetssikre sikkerhetsoppdateringene?

En sammenligning av Ransomware v1 og v2

✅ Ransomware v1.0 vs Ransomware v2.0
✅ Hærverk vs alvorlig kriminalitet
✅ Støy vs alvorlig problem
✅ «Simpelt» vs sofistikert
✅ Gjenopprettelig vs permanent skade
✅ Avhengig av å lure mennesker vs rent teknisk
✅ Mennesker vs teknologi
✅ Operativt problem vs alvorlig forretningsproblem
✅ Ikke GDPR vs GDPR bot
✅ Enkelt vs komplisert
✅ Teknikk A vs Teknikk B, C, D, E, F, G, H
✅ Angrep fra utsiden vs angrep fra innsiden
✅ Ikke fotfeste vs fotfeste
✅ E-post-basert vs innbrudd basert
✅ Lite Cyber Kill Chain vs mye Cyber Kill Chain
✅ Ikke sensitivt vs sensitivt
✅ CIA A(I) vs CIA CIA

Les også Nasjonal sikkerhetsmyndighet sin nye samleside «Digital utpressing (løsepengeangrep)»

Skrevet av Gøran Tømte,
CISO, Data Equipmen
t