Av LogPoint CTO Christian Have

Løsepengevirusangrep blir stadig mer ødeleggende for selskaper. Ikke bare forårsaker de store driftsforstyrrelser, men kriminelle ber også om stadig større løsepengevirus for å låse opp krypterte filer og maskiner som rammes av angrepene. 

De siste månedene har statssponsede ransomware-angrep som påfører kritisk infrastruktur skade dominert overskriftene. JBS betalte nylig 11 millioner dollar etter et angrep som stengte alle selskapenes amerikanske storfekraftverk. Like før det, et angrep paralyserte Irlands helsetjenester i flere uker midt i en pandemi. Angrepet skjedde i kjølvannet av Colonial Pipeline-angrepet som forårsaket frykt for gassmangel.

CNA Financial, et av de største forsikringsselskapene i USA, betalte 40 millioner dollar for å få tilgang til filene sine og gjenopprette driften, noe som gjør dem til den største rapporterte løsepengene så langt. Til sammenligning er 40 millioner dollar mer enn de fleste bedrifter bruker på nettsikkerhetsbudsjettet – det er enda mer enn det mange selskaper bruker på hele IT-budsjettet.

På grunn av økningene i statssponsede ransomware-angrep i USA og Europa har mange statlige institusjoner, inkludert White House, oppfordret selskaper til å styrke forsvaret sitt for å bidra til å stoppe ransomware-gruppene. G7-gruppen har bedt Russland spesielt om å identifisere, avbryte og holde øye med de innenfor sine grenser som utfører ransomware-angrep og annen nettkriminalitet. Et av de få resultatene av Biden-Putin-toppmøtet er en avtale om å konsultere om nettsikkerhet. Avtalen er imidlertid tvetydig uten noen spesifikke handlinger.

Det forklarte økosystemet av løsepengevirus – en løsepengeutbetaling er ikke alltid det endelige målet

Det er ingen liten oppgave å stoppe løsepengevirusgrupper. Omfanget av økonomien bak disse gruppene er betydelig. Mange aktive grupper har selskapsstrukturer, med roller og ansvar som gjenspeiler vanlige programvareutviklingsorganisasjoner. 

the-defendants
co conspirators

Source: Twitter

Indiktering av TrickBots medlemmer, som hadde definerte roller i administrasjonen av ondsinnet kode.

Disse kriminelle organisasjonene er godt finansiert og svært motivert til å utvikle angrepene sine, men inntektene deres begynner eller slutter ikke med at ofrene betaler opp løsepengene sine. Det finnes et helt ransomware-økosystem som utnytter vellykket utføring av angrep, som:

  • Grupper som selger tilgang til plattformer som leverer ransomware-as-a-service for andre grupper å bruke.
  • Meglere som leverer team med høyt spesialiserte utviklere som kan bygge opp og distribuere ondsinnet programvare. Tenk på dette som ondsinnet rekruttering.
  • Enkelte grupper får bare tilgang til bedriftsnettverk. De vil ikke aktivt forstyrre driften eller kreve løsepenger; i stedet selger de tilgang til ofre for andre grupper å kapitalisere på.

Den økende finessen i ransomware-grupper har ført til at mange organisasjoner har implementert en rekke verktøy for å bidra til å oppdage og forebygge angrep. Men hva fungerer egentlig?

Grunnleggende sikkerhet er avgjørende for å hindre ransomware-angrep

De siste 15 årene har CISO-er, sikkerhetsoperasjonsteam og sikkerhetsleverandører satt stort fokus på komplekse angrep og å holde seg oppdatert om hva inntrengere kan gjøre. Den ondsinnede dataormen Stuxnet lanserer for eksempel svært avanserte kampanjer. Resultatet er at mange organisasjoner har en relativt omfattende portefølje av avansert teknologi. Disse teknologiene er dyre, komplekse å bruke og enda mer komplekse å integrere med hverandre og det omkringliggende sikkerhetsøkosystemet.

Bruddet på Colonial Pipeline oppstod fordi en plattform for ekstern pålogging ikke kunne håndheve eller kreve godkjenning med flere faktorer. I kombinasjon med et felles passord som brukes av flere brukere, fant angriperne en vei inn i infrastrukturen. Avanserte deteksjonsverktøy er ikke ment å oppdage slike grunnleggende feil.

Manglende dekning av det grunnleggende – patching, sikre konfigurasjoner eller å følge beste praksis – er et mønster som gjentar seg selv i mange av de siste angrepene. Det er ikke uten grunn at enhver autoritet på nettsikkerhet har patching og grunnlinjekonfigurasjoner som noen av de første anbefalingene for selskaper for å styrke deres arbeid med nettsikkerhet.

Så hvorfor oppdaterer ikke selskaper alt, implementerer Zero Trust-modellen og tvinger frem godkjenning med flere faktorer overalt? Spesielt når den største risikoen for driften og eksistensen til organisasjonen er et ransomware-angrep?

IT-driften er vanskelig. Sikkerhetsoperasjonsteamet, IT-driftsteamet og risikohåndteringsteamet har ofte en silo-tankegang med ulike mål og incentiver. Å samkjøre aktiviteter og mål på tvers av ulike avdelinger er uten tvil en del av problemet.

En av tingene vi hører fra kundene våre er at de trenger en samlet oversikt over de tekniske risikoaspektene. Implementering av en enhetlig løsning som ZeroTrust orkestrering eller XDR er komplekst og i mange tilfeller dyrt. Noen av våre kunder henvender seg til færre leverandører og stoler på åpne standarder, for eksempel MITRE for en taksonomi av angrep, MISP for å dele trusselobservasjoner og YARA for å identifisere indikatorer på ondsinnet programvare for å avlaste noen av hodepinene ved å samkjøre ulike avdelingers arbeidsmetoder.

LogPoint jobber for å styrke ransomware-forsvaret

LogPoint kan hjelpe organisasjoner med å samkjøre deteksjons- og responsaktiviteter. LogPoint inntar loggdata, som sikkerhetsteam kan bruke til å enkelt oppdage ransomware-varianter som FiveHands, Egregoreller Ryuk. REvil-gruppen som traff JBS bruker en taktikk til å slette skyggekopier før kryptering. Sletting av skyggekopier gjør det betydelig vanskeligere å gjenopprette. LogPoint kan umiddelbart oppdage sletting av skyggekopier ved å se etter følgende kommando på tvers av alle loggkilder:

cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet & bcdedit /set {default} recoveryenabled No & bcdedit /set {default} bootstatuspolicy ignoreallfailures

Ved å integrere loggdata kan analytikere utspørre systemer for mer informasjon om kjente problemer, for eksempel påviste sårbarheter, avvik fra beste praksis eller bedriftspolicyer. Ved å kombinere loggdata med sårbarhetsdata, konfigurasjonssamsvar og mer avansert kontrolldialog av systemet, kan vi imidlertid avdekke de ukjente problemene ved å formulere mer nøyaktige risikoskårer for infrastrukturen og dens komponenter.

SIEM-orchestration-observations-and-automation

Med risikoskårene nedslørt arbeider vi for tiden med å koble indikatorer på løsepengevirus, for eksempel sletting av skyggekopier, med trusseletterretning og forskning på ondsinnet programvare for å identifisere dokumenterte motstridende teknikker. Målet er at systemet kan konkludere med typen ransomware-gruppe eller -variant, slik at vi er mer forberedt på å håndtere og respondere på trusselen. Systemet vårt bruker en kombinasjon av naturlig språkprosessering og maskinlæring for å koble sammen punktene. 

Vi samarbeider også med kundene våre om å bygge det siste trinnet – å automatisere og organisere responsen med situasjonsforståelse og forståelse for neste fase av angrepet. Vi har små agenter distribuert på våre kunders maskiner som kan håndheve policyer, koble maskiner fra nettverk og ellers handle basert på hvordan sikkerhetsoperatører ønsker å håndtere et potensielt problem. 

Trinn for å avslutte den onde ransomware-syklusen

På slutten av dagen blir det tydelig for sikkerhetsforskere som følger løsepengegrupper at asymmetrien mellom evnene og incentivet for angriperne og forsvarsmennenes modenhet og budsjetter blir mer uttalt. Når kritisk infrastruktur er under angrep fra store og små bedrifter, er det åpenbart at mer teknologi ikke vil løse problemet alene. Outsourcing av IT-drift eller sikkerhetsoperasjoner alene løser heller ikke problemet.

Med det i tankene ser jeg tre veier fremover: 

  • Myndighetsorganer må samarbeide på tvers av landegrenser for å finne ransomware-grupper, spore betalinger og til syvende og sist endre den operasjonelle risikoen for disse gruppene slik at det blir dyrere å gjøre ulovlige forretninger.
  • Bryter ned siloer i organisasjoner, får informasjonssikkerheten, IT-driften og risikostyringsteamene til å snakke samme språk og justere forventningene. Hvem eier backupen – IT? Hvem er ansvarlig for katastrofegjenopprettingen – Sikkerhet? Hvem eier forretningskontinuitetsplanleggingen – Enterprise risk management?
  • Flere lover og forskrifter om saken. GDPR har gjort mye for å skape fokus og bevissthet om rapportering av brudd på infrastrukturen. Men det trengs mer. GPDR arbeider for personopplysninger, men forstyrrelser i kritisk infrastruktur etter et ransomware-angrep er ikke nødvendigvis underlagt GDPR, og kan derfor gå under radaren. Med mer deling, økt fokus og potensielt bøter mot organisasjoner som ikke har tilstrekkelig forebygging eller beskyttelse av sin infrastruktur, vil styrerommene begynne å ta trusselen på alvor. 

Kontakt Logpoint

Kontakt os og lær hvorfor markedsledende firmaer vælger Logpoint:

Kontakt LogPoint

Learn more about Logpoint

Bestill en demo
Kundesaker
Kunde anmeldelser