2019-09-18

Feriebrev fra Ateas Incident Response Team

Er du blant de som har fulgt nøye med på NRK-serien 113? I sommer, mens du koste deg med strandliv og late feriedager satt Ateas egen blålysgjeng, Incident Response Team, beredt til digital førstehjelp.

Vegard Kjerstad Leder Atea Incident Response Team (IRT)
Blålys.Foto

Mange forbinder sommer med fint vær, familietid og avbrekk fra hverdagens rutiner. Mailvarselet blir skrudd av og telefonen satt på lydløs. Dette gjelder imidlertid ikke alle. Vårt Incident Response Team (IRT) har vært på vakt i hele sommer og mottatt telefoner og mailer fra virksomheter som har blitt hacket og som trenger deres unike kompetanse for å kunne reddes.

 

En av telefonene som kom i sommer var en bedrift som ønsket hjelp fra en aktør med Nasjonal Sikkerhetsmyndighets (NSM) godkjenningsordning. Bedriften hadde blitt hacket; alt av servere og klienter var berørt og filene var kryptert. IRT gikk gjennom loggene for å se hva som kan ha skjedd, men på grunn av mangelfull logg innsamling, fikk de ikke tilstrekkelig svar. Basert på erfaring og funn viser det seg at angrepet er relatert til en eksponert RDP-tjeneste. Bedriftens eneste håp for å få igjen driften var backup.

 

IRT ba om innsikt på hvilken backupløsning de hadde og begynte arbeidet, men de fant fort ut at også hackerne hadde tenkt på dette; backupen til bedriften var slettet og med det ingen quickfix for å få bedriften i drift igjen. Hackerne kom så med et krav på flere hundre tusen kroner for å gi tilbake tilgangen til filene. Som tommelfingerregel anbefaler alltid IRT å finne andre måter å løse dette på enn å betale pengene, men på grunn av tiden det krever å bygge opp igjen løsningen fra bunn så ikke bedriften en annen mulighet enn å betale hackerne for å få tilgang til sine egne data.

 

Å betale hackerne er ikke anbefalt og det er heller ikke garantert at man får som man blir lovet – det er umulig å forutsi utfallet av en sånn utbetaling til kriminelle. Etter mye dialog mellom hackerne og IRT ble kravet vesentlig redusert og løsepenger utbetalt. Det blir satt opp et nytt IT-miljø og servere og applikasjoner fra bedriftens gamle miljø ble ikke gjenbrukt, så da de endelig fikk tilbake tilgangen ble filene og dataene overført til det nye miljøet.

 

Digital hackerspanning

Ved å gjøre seg kjent med og overvåke miljøet til bedriften over en lengre periode fikk hackerne brukt denne kunnskapen for egen vinning ved å få tilgang til hele bedriftens miljø.

Nøkkelen her lå i backupløsningen: Dersom det hadde eksistert en offline backup eller backup-leverandør som sørget for å ivareta backupen en periode etter sletting, kunne de unngått tapt inntekt ved å være ute av drift i flere uker, kostnaden med løsepengeutbetalingen, tapt arbeidstid og mye mer. Det er en stor risiko forbundet med eksponerte RDP tjenester – en relativt lav investering av en enkel VPN-løsning med 2-faktor som fjerntilgangsløsning kunne avverget hendelsen allerede fra start.

 

Denne typen hendelser er noe vi dessverre ser altfor ofte, og som mange kunder opplever som en svært dyrekjøpte erfaring.

 

Vil du lese mer om om løsepenger? Ateas leder for IT-sikkerhet, Thomas Tømmernes tar opp problematikken ved å betale løsepenger til hackere i kronikken Når norske virksomheter frivillig finansierer flere dataangrep og mer utpressing.