IT-sikkerhet 04-09-2019

Løsepengevirus: Det er ikke bare betale og gå videre

I min jobb som leder av Atea Incident Response Team (IRT), også populært kalt «Blålysteamet», kommer vi ukentlig borti mange problemstillinger. I det siste har løsepengevirus vært en av de største plagene for norske virksomheter.

Vegard Kjærstad
Vegard Kjerstad
Leder Incident Response Team (IRT)

Løsepengevirus har vært et kjent problem for norske virksomheter helt siden 2014. Siden den gang har det vært et utall versjoner og typer løsepengevirus.

I 2018 så vi faktisk en nedgang i løsepengevirus, men samtidig observerte vi en endring i form av større skadeomfang og dyrere løsepengesummer. Det var også en endring i angrepsvektor, fra at en ble kompromittert og skadelidende på grunn av e-poster med vedlegg, til internett-eksponerte tjenester som ble veien inn i virksomhetene.

Felles for de angrepene vi nå ser, er at angriperne skaffer seg godt fotfeste, orienterer seg godt på hvem offeret er, og forbereder seg godt før krypteringen startes.

Konsekvenser

Konsekvensen blir at alt av servere og klienter som er tilkoblet når krypteringsbomben slippes løs, får alle data kryptert. Selve krypteringsviruset startes med et tilgangsnivå som gjør at de også berører systemfiler og annet som måtte være av interesse.

Den type tjeneste som oftest utnyttes er RDP (Remote Desktop Protokol), typisk brukt til å fjernstyre en PC. Denne type tjeneste var mer vanlig eksponere på internett en del år tilbake, men vi opplever fortsatt at kunder og 3.parter ønsker denne type tilgang satt opp.

 

Vil heller betale løsepenger enn å investere i IT-sikkerhet

En rapport fra Covewaresier at 63,5 % av tilfellene med løsepengevirus i første kvartal 2019 hadde RDP som angrepsvektor. Samme rapport viser også at det i 96 % av tilfellene lykkes få dekrypteringsverktøy ved betaling. Noe som sikkert gjør at mange tenker på det som en enkel utvei.

En undersøkelse gjennomført av NTT Security tidligere i år viser at 4 av 10 ledere vil betale løsepenger fremfor å investere i IT-sikkerhet.

 

For selv om du betaler deg fri, så er det mye arbeid som gjenstår

Skal vi gjøre en enkel sammenligning så kan man si at noen har brutt seg inn i huset ditt, så surrer de rundt og kartlegger hvordan de kan ta kontroll over mest mulig. Deretter skifter de låsene på alle dørene, så tilbyr de seg å gi deg nøklene mot en passelig sum, avhengig av hvor verdifull du måtte være.

Si da at du betaler, og får nøklene slik at du kommer deg inn i huset igjen. Hvordan skal du være trygg på at de ikke har lagt igjen en overraskelse, gjør samme skade på nytt, har sikret seg tilgang til huset ditt via kjelleren, satt opp videokameraer eller på annen måte tuklet med huset?

Du må da gå igjennom rom for rom og skaffe deg kontroll. Kanskje ender du med en total renovering eller i verste fall bygge deg et nytt hus fordi du aldri blir trygg igjen i eget hus. Kommer an på om du tør å putte tannkosten inn i munnen, eller bør du kjøpe ny.

I rapporten fra Covewarekan vi også lese at selv ved dekrypteringsverktøy får du ikke nødvendigvis igjen alt som ble kryptert. Tallet som nevnes er 93 %. Altså 7 % med tapt data. Det er mye når du ikke kontrollerer hvilke 7 % som du mister.

 

Finansiere kriminalitet

Dataangrepene blir stadig mer omfattende og sofistikerte - og har du vist vilje til å betale en gang, så er du så klart ekstra attraktiv ved en senere anledning. Dette er også med på å finansiere og motivere til videre kriminalitet. Les mer om dette her. Det er altså mange grunner til at du heller burde sikre deg i forkant, og i det lengste unngå betale.

 

Godt tiltak mot løsepengevirus

Det er egentlig et ganske godt tiltak mot løsepengevirus; back-up. Riktignok krever det en god plan for hvordan gjøre gjenoppbyggingen fra back-up. Du må ha god kontroll på hva du har back-up av, og hvor langt tilbake (avhengig av hvor raskt en klarer detektere at man er kompromittert).

Vi ser stadig flere tilfeller der back-up har blitt berørt av løsepengevirusene eller at angriperne har kartlagt selve back-up-løsningen og slettet den. De slipper ikke løsepengeviruset løs før de er rimelig trygg på ha påført mest mulig skade.

Når en står der og alt av servere og klienter er kryptert, så er det enda mer håpløst når back-up ikke lenger eksisterer. Da kan jeg forstå at virksomhetsledere vurderer å betale løsepenger.

Oppsummert

  • Sjekk om du har eksponert RDP rett på internett. Det kan enkelt gjøres ved f.eks. et sårbarhetssøk av egne offentlige IP-adresser.
  • Gå igjennom back-up løsningen din. Se på hvilke funksjonaliteter den har for bevare back-up selv om noen med onde hensikter skulle være inne og tukle med den. F.eks. det er tilbydere av skybasert back-up som tilbyr funksjonalitet for at back-up bevares en periode etter sletting. Eller om man har back-up i eget hus, se på design og en offline back-up.
  • Ha en god beredskapsplan. Ved slike hendelser blir det nedetid, og da er det viktig vite hva en prioriterer først og sist.

 

Det er vesentlig at vi klarer å bli mer robuste mot kjente angrepsmetoder. Benytt det som ofte er dyrekjøpte erfaringer for andre norske virksomheter, til å sikre din virksomhet bedre.

Delta i debatten og kunnskapsbyggingen om IT-sikkerhet på den åpne Facebook-gruppen «IT-sikkerhet».

Vegard Kjerstad

Leder IRT.