Af LogPoint CTO Christian Have

Ransomware-angreb bliver stadigt mere ødelæggende for virksomheder. De medfører ikke kun massive driftsforstyrrelser, men kriminelle beder også om stadigt flere løsepenge for at låse op for de krypterede filer og maskiner, der bliver ramt af angrebene. 

Gennem de seneste måneder har statssponsorerede ransomware-angreb, der påfører skade på kritisk infrastruktur, domineret overskrifterne. JBS betalte for nylig 11 millioner dollars efter et angreb, der lukkede alle virksomheders amerikanske kvægslagterier. Lige inden da blev Irlands sundhedsvæsen paralyseret i ugevis midt i en pandemi. Angrebet skete i kølvandet på Colonial Pipeline-angrebet, der forårsagede frygt for benzinmangel.

CNA Financial, et af de største forsikringsselskaber i USA, betalte angiveligt 40 millioner dollars for at få adgang til sine filer og genoprette sine aktiviteter, hvilket gør det til den største rapporterede løsesum, der er betalt til dato. Til sammenligning er 40 millioner dollars mere, end de fleste virksomheder bruger på deres budget for cybersikkerhed – det er endda endnu mere, end hvad mange virksomheder bruger på hele deres it-budget.

På grund af stigningerne i statssponsorerede ransomware-angreb i USA og Europa har mange statslige institutioner, herunder Det Hvide Hus, opfordret virksomheder til at styrke deres forsvar for at hjælpe med at stoppe ransomware-grupperne. G7-gruppen har især opfordret Rusland til at identificere, forstyrre og stille dem inden for deres grænser, der udfører ransomware-angreb og anden cyberkriminalitet, til ansvar. Et af de få resultater af Biden-Putin-topmødet er en aftale om at konsultere om cybersikkerhed. Aftalen er dog tvetydig uden konkrete handlinger.

Ransomware-økosystemet forklaret – en udbetaling af løsepenge er ikke altid slutmålet

Det er ikke nogen lille opgave at stoppe ransomware-grupper. Omfanget af økonomien bag disse grupper er betydeligt. Mange aktive grupper har virksomhedsstrukturer med roller og ansvarsområder, der svarer til dem i almindelige softwareudviklingsorganisationer. 

the-defendants
co conspirators

Source: Twitter

TrickBots medlemmer, som havde definerede roller i håndteringen af malwaren, blev tiltalt.

Disse kriminelle organisationer er velfinansierede og meget motiverede til at udvikle deres angreb – men deres indtægtskilder hverken begynder eller slutter ikke med ofre, der betaler en løsesum. Der er et helt ransomware-økosystem, der drager fordel af vellykket udførelse af angreb, såsom:

  • Grupper, der sælger adgang til platforme, der leverer end-to-end ransomware-as-a-service, som andre grupper kan bruge.
  • Mæglere, der leverer teams af højt specialiserede udviklere, der kan opbygge og implementere malware. Tænk på dette som malware-rekruttering.
  • Visse grupper får kun adgang til virksomhedens netværk. De vil ikke aktivt afbryde driften eller kræve løsepenge, de vil i stedet sælge adgang til ofrene til andre grupper, som så kan udnytte denne adgang.

Den stigende grad af raffinement hos ransomware-grupper har fået mange organisationer til at implementere en lang række værktøjer, der kan hjælpe med at opdage og forhindre angreb. Men hvad virker egentlig?

Grundlæggende sikkerhed er afgørende for at forhindre ransomware-angreb

I de seneste 15 år har CISO’er, sikkerhedsdriftsteams og sikkerhedsleverandører sat betydeligt fokus på komplekse angreb og været på forkant med, hvad modstandere kan gøre. Eksempelvis lancerer den ondsindede computerorm Stuxnet ekstremt avancerede kampagner. Resultatet er, at mange organisationer har en relativt omfattende portefølje af avancerede teknologier. Disse teknologier er dyre, komplekse at bruge og endnu mere komplekse at integrere med hinanden og det omkringliggende sikkerhedsøkosystem.

Bruddet hos Colonial Pipeline skete, fordi en fjernadgangsplatform ikke kunne håndhæve eller kræve multifaktorgodkendelse. Kombineret med en fælles adgangskode, der blev brugt af flere brugere, fandt angriberne en vej ind i infrastrukturen. Avancerede identifikationsværktøjer er ikke beregnet til at identificere sådanne grundlæggende fejl.

Manglende dækning af det grundlæggende – fejlretning, sikre konfigurationer eller overholdelse af bedste praksis – er et mønster, der gentager sig i mange af de seneste angreb. Det er ikke uden grund, at enhver myndighed inden for cybersikkerhed har fejlrettelse og grundlæggende konfigurationer som nogle af de første anbefalinger til virksomheder, der ønsker at styrke deres indsats inden for cybersikkerhed.

Så hvorfor retter virksomheder ikke bare alle fejl og implementerer Zero Trust-modellen  og gennemtvinger multifaktorgodkendelse overalt? Især når den væsentligste risiko for organisationens drift og eksistens er et ransomware-angreb?

It-driften er hård. Sikkerhedsdriftsteamet, it-driftsteamet og virksomhedens risikostyringsteam har ofte silotænkning med forskellige mål og incitamenter. Ensretning af aktiviteter og mål på tværs af forskellige afdelinger er uden tvivl en del af problemet.

En af de ting, vi hører fra vores kunder, er, at de har brug for et samlet overblik over de tekniske risikoaspekter. Implementering af en samlet løsning som ZeroTrust orchestration eller XDR er komplekst og i mange tilfælde dyrt. Nogle af vores kunder henvender sig til færre leverandører og er afhængige af åbne standarder, f.eks. MITRE for taksonomi af angreb, MISP for at dele trusselsobservationer og YARA for at identificere malware-indikatorer for at fjerne nogle af hovedpinerne ved at tilpasse forskellige afdelingers arbejdsmetoder.

LogPoint arbejder på at styrke ransomware-forsvaret

LogPoint kan hjælpe organisationer med at tilpasse identifikations- og reaktionsaktiviteter. LogPoint indtager logdata, som sikkerhedsteams kan bruge til nemt at identificere ransomware-varianter som FiveHandsEgregoreller Ryuk.  REvil -gruppen, der ramte JBS, bruger en taktik til at slette Shadow Copies før kryptering. Sletning af Shadow Copies vanskeliggør en gendannelse betydeligt. LogPoint kan med det samme identificere sletning af Shadow Copies ved at søge efter følgende kommando på tværs af alle logkilder:

cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures

Indtagelse af logdata gør det muligt for analytikere at udspørge systemerne for at få flere oplysninger om kendte problemer, f.eks. identificerede sårbarheder, afvigelser fra bedste praksis eller virksomhedspolitikker. Ved at kombinere logdata med sårbarhedsdata, konfigurationscompliance og mere avanceret udspørgning af systemet kan vi imidlertid afdække de ukendte problemer ved at formulere mere nøjagtige risikoscorer for infrastrukturen og dens komponenter.

SIEM-orchestration-observations-and-automation

Med risikoscorerne slået fast arbejder vi i øjeblikket på at koble ransomware-indikatorer, såsom sletning af Shadow Copies, med threat intelligence og malware-forskning for at identificere modstandernes dokumenterede teknikker. Målet er, at systemet kan fastlægge typen af ransomware-gruppe eller -variant, så vi er mere parate til at håndtere og reagere på truslen. Vores system bruger en kombination af naturlig sprogbehandling og maskinlæring til at forbinde prikkerne. 

Vi arbejder også sammen med vores kunder på at opbygge det sidste trin – at automatisere og orkestrere reaktionen med situationsbevidsthed og forståelse for den næste fase af angrebet. Vi har små agenter lagt på vores kunders maskiner, der kan håndhæve politikker, frakoble maskiner fra netværk og på anden måde handle på baggrund af, hvordan sikkerhedsoperatører ønsker at håndtere et potentielt problem. 

Trin for at afslutte den ondsindede ransomware-cyklus

I sidste ende bliver det klart for sikkerhedsforskere, der følger ransomware-grupper, at asymmetrien mellem evnerne og incitamentet for angriberne og forsvarernes modenhed og budgetter bliver mere udtalt. Når kritisk infrastruktur bliver angrebet hos store og små virksomheder, er det tydeligt, at mere teknologi ikke alene vil løse problemet. Outsourcing af it-drift eller sikkerhedsdrift alene løser heller ikke problemet.

Med det i tankerne ser jeg tre veje frem: 

  • Retshåndhævende myndigheder skal samarbejde på tværs af grænserne for at målrette indsatsen mod ransomware-grupper, spore betalinger og i sidste ende ændre den operationelle risiko for disse grupper, så det bliver dyrere at udføre ulovlige forretninger.
  • Nedbrydning af siloer i organisationer, så man får cybersikkerhed, it-drift og risikostyringsteams til at tale samme sprog og afstemme forventninger. Hvem ejer sikkerhedskopien– It-afdelingen? Hvem er ansvarlig for disaster recovery – Sikkerhedsafdelingen? Hvem ejer forretningskontinuitetsplanlægningen – Virksomhedens risikostyringsafdeling?
  • Flere love og regler på området. GDPR har gjort en masse for at sætte fokus på og skabe opmærksomhed om rapportering af brud på infrastrukturen. Men der er brug for mere. GPDR virker for persondata, men afbrydelser af kritisk infrastruktur efter et ransomware-angreb falder ikke nødvendigvis under GDPR-paraplyen og kan som sådan gå under radaren. Med mere deling, øget fokus og potentielt bøder til organisationer, der ikke på passende vis forhindrer eller beskytter deres infrastruktur, vil bestyrelseslokalerne begynde at tage truslen alvorligt. 

Kontakt LogPoint

Kontakt os og lær hvorfor markedsledende firmaer vælger LogPoint:

Kontakt LogPoint

Lær mere om Logpoint

Book en demo
Kundesager
Kunde anmeldelser