Dette preget IT-sikkerhetsåret 2023

Atea IRT håndterer sikkerhetshendelser for våre kunder, SOC-tjenestene til Atea og det resterende konsulentapparatet til Atea. Våre tall er dermed kun en liten andel av hendelsene Atea som helhet håndterer, men sier mye om de mest avanserte truslene.

I løpet av 2023 har Atea IRT håndtert i underkant av 400 sikkerhetshendelser, inkludert falske positiver. Vi definerer falske-positive som saker hvor vi ikke kan bekrefte at en cyber-sikkerhetshendelse har skjedd.

Dette er i all hovedsak norske kunder, men enkelte henvendelser har kommet fra våre naboland i Norden. Dette er en økning på 400 prosent sett fra antall hendelser i 2021 og 2022.

Ser vi på antall suksessfulle hendelser, er over halvparten av disse relatert til e-post. Tallene viser også en økning av ransomwareangrep i 2023 i forhold til 2022.

Svindel i multimillionklassen

Dykker vi ned i hendelser isolert til e-post er «Adversary in the middle»-angrep (AiTM) definitivt dominerende. Denne typen angrep er ganske lik vanlige phishing-angrep, men går ut på at en IT-kriminell har en server som fanger opp brukerinformasjonen din (din cookie), og bruker denne for å logge inn på dine tjenester. 

De første tilfellene relatert til AiTM så vi sommeren 2022, men frem til 2023 var det relativt få slike hendelser. I 2023 så vi en betydelig økning, hvor toppen for denne type hendelse var i sommermånedene. AiTM-sakene vi har sett har stort sett rettet seg mot Microsoft Office 365.

Selv om AiTM var en relativt ny metode første halvdel av 2023, kunne vi se at aktiviteten til trusselaktøren var så og si identisk med tradisjonelle phishing-angrep.

Tap i millionklassen

Noen eksempel på konsekvenser av AiTM-angrep har vært fakturasvindel med tap i multimillionklassen, data-dumping, kompromittert konto som muliggjorde Azure Tenant takeover og ytterligere spredning av AiTM-kampanje til offerets kontakter.

Mot slutten av 2023 har det vært en liten nedgang i suksessfulle AiTM-angrep. Dette mener vi henger sammen med brukeropplæring, men også at sikkerhetsløsninger i større grad enn tidligere detekterer og stopper denne type angrep.

Vi har likevel noen generelle råd for å beskytte virksomheten mot AiTM:

• Bruk Conditional Access til å begrense innlogging til kun kjente enheter.
• Benytt FIDO 2.0 autentisering om mulig.
• Ha gode løsninger for å undersøke hendelser, for eksempel Microsoft Safe Links for å se hvem som har klikket, eller andre tilsvarende løsninger.
• Sørg for at brukere har en positiv opplevelse med å varsle om feil de har gjort. Har en bruker gjort en innlogging som føles feil, er det siste vi ønsker at vedkommende skal klappe sammen PC'en og håpe at det går seg til. Ha lav terskel for varsling, og berøm brukerne som sier ifra.

Det er også en økende trend i bruk av QR-kode i AiTM/phishing-kampanjer, så husk å inkluder dette i brukeropplæringen.

Ransomware

I løpet av året har vi hjulpet mange bedrifter med å håndtere ransomwareangrep. Denne typen angrep setter alle systemer og løsninger på prøve, og alle mangler og feil i oppsettet blir større og tydeligere. For IT-organisasjoner er nok dette den mest krevende situasjonen å havne i.

Vi har valgt å klassifisere ransomwarehendelsene vi har håndtert i to grupper:

• Pre-Ransomware: Hendelsen er oppdaget og håndtert før kryptering, men teknikker, verktøy og funn tilsier at manglende håndtering hadde endt med kryptering.
• Ransomware: Aktivitet som resulterer i delvis eller fullstendig infrastruktur-kryptering hvor det også foreligger ransom-note.

Tar tid å komme tilbake

Å komme tilbake til operasjonell drift etter en ransomwarehendelse tar tid. I gjennomsnitt har vi brukt 93 timer på pre-ransomwarehendelser og 214 timer på ransomwarehendelser. Disse timene er bare en brøkdel av den faktiske kostnaden i en slik hendelse. Vårt bidrag varierer fra hendelse til hendelse, hvor vi i enkelte tilfeller kun bistår med rådgivning og ved andre tilfeller gir bistand under hele gjenoppbyggingsprosessen. Disse tallene tar ikke høyde for timer virksomheten selv har brukt til håndtering, ei heller andre tredjepartsleverandører.

Våre erfaringer viser at det tar i gjennomsnitt 4-5 dager før kritiske produksjonssystemer er operative, mens det kan ta flere måneder før alle systemer er oppe og gå. Dermed kan vi påstå at hovedkostnaden ved ransomwarehendelser er produksjonstap.

Må gjennomgå systemene

Selv om pre-ransomware ikke har medført utilgjengelige data eller systemer, må miljøet gjennomgås for å avdekke om data er på avveie, i tillegg til å finne angrepsvektor. I enkelte tilfeller har vi måtte gjenopprettet systemer for å gjenskape integriteten.

Utnyttelse av sårbarheter og feilkonfigurering har vært startpunkt på samtlige ransomware-saker håndtert i 2023, til forskjell fra tidligere år hvor skadevare fra sluttbruker har vært hovedårsaken.

Selv om ransomwareaktører tradisjonelt sett har vært opptatt av å informere omverden om hvilke virksomheter de har angrepet, har vi kun funnet et fåtall av hendelsene vi har håndtert på «shaming»-sider. Atea IRT har ikke noen åpenbar forklaring på hvorfor flesteparten av virksomhetene ikke har fått sine data delt.

For oss er det viktig å berømme virksomhetene som har blitt utsatt for ransomware, og som har bidratt til at vi har fått en kultur for transparens og åpenhet. På sikt vil dette gjøre oss bedre, selv om det ikke nødvendigvis gjør hendelsen enklere å håndtere. Ved å øke forståelsen til omverden rundt denne typen angrep, vil forhåpentligvis andre virksomheter legge inn litt ekstra innsats for å unngå at dette skal skje dem.

Flaks som IT-sikkerhetsstrategi?

I angrepene som ikke resulterte i kryptering var årvåkenhet, tilfeldigheter og flaks årsaken til at hendelsen ble oppdaget, og at virksomheten valgte å engasjere en ekstern hendelselshåndteringspartner. I disse tilfellene hadde sikkerhetssystemer alarmert virksomheten, og de ansatte gjorde egne tiltak for å sperre ned systemene før videre kryptering kunne bli gjennomført.

I sakene hvor trusselaktør har fullført kryptering har det vært tilfeller av alarmer, men da utenfor normal arbeidstid og virksomhetens ansatte har dermed ikke kunnet agert raskt nok. Dette synliggjør viktigheten av å overvåke alarmer til alle døgnets tider. Om organisasjonen ikke har kapasitet til å overvåke alarmene selv, anbefaler vi at man kjøper dette som en tjeneste, for å kunne avverge ransomware før kryptering.

Flere likhetstrekk

Det er flere likhetstrekk på hendelsene vi har håndtert, og på mange måter kunne disse hendelsene være forhindret i en eller flere av angrepets stadier. Noe av det som går igjen er manglende oversikt over eksponerte systemer og tjenester, samt at vi opplever at en stor andel av virksomhetene mangler en fullverdig beredskapsplan. Dette bekreftes også av funn fra Ateas undersøkelse Bevissthet og Beredskap 2023

Når det kommer til tekniske løsninger, ser vi at de fleste virksomhetene har hatt både endepunktsbeskyttelse og avansert brannmur. Manglende herding, oppsett etter beste-praksis, nettverkssegmentering og logging har muliggjort trusselaktør å operere uoppdaget.

Ransomwarehendelser fra 2023 viser at det ikke nødvendigvis er dyrt eller avansert å beskytte seg, men det krever at man har kontroll på sin egen infrastruktur. Vi ønsker derfor å dele følgende tips:

• Står det på internett, skal det patches. Det hjelper ikke at det er et system som «snart» skal avvikles. Er det på internett, så er det i drift og da må det patches.
• Står det på internett må man kreve MFA. Det er noe i ordspråket om at hackere i dag ikke bryter seg inn, de logger seg inn. Dette gjelder spesielt tjenester som RDP (som du i utgangspunktet ikke bør ha på internett, ei heller via RDWeb) og Citrix, men det finnes egentlig ingen unntak.
• Har du VPN, begrens hva du har tilgang til fra den. Alt for mange VPN-løsninger gir deg for vide tilganger i nettet ditt. Og krev MFA!
• Er ulykken først ute er vi avhengig av god backup. Backup må være immutable, den må være av alle systemer og du må ha satt den opp på en måte som gjør at du kan hente tilbake fulle backuper fra en periode tilbake i tid.

Mer årvåkenhet!

Ved økt mengde hendelser ser Atea IRT økt mengde falske-positive. Dette kommer ofte av usikkerhet og bekymring hos kunde, hvor IRT etterforsker hendelsen og basert på funn kategoriserer den som falsk-positiv. Andre falske-positive hendelser kan være driftsproblemer hos kunde, generell rådgivning og deling av sårbarhet- og trusselinformasjon.

Vi ser det som et sunnhetstegn at virksomheter er mer årvåkne og benytter seg av kompetansen til sin sikkerhetspartner. Som et hendelseshåndteringsteam ønsker vi å være en sparringspartner for våre kunder i det daglige, og ikke kun bistå når det har oppstått en hendelse.

Konklusjonene vi kan dra fra året som helhet, er at det har vært et hektisk år med mye aktivitet, men også et år hvor vi har sett at interessen og forståelsen for at IT-sikkerhet er viktig har økt. Det store lyspunktet er hvor ensartet de store ransomware hendelsene har vært. Lyspunkt, fordi det dermed er enkelt å høste erfaringer og beskytte seg. Følger du rådene vi kommer med tidligere i denne artikkelen, vil du mest sannsynlig slippe å komme på jobb til et kryptert miljø. Dette er ikke tiltak som krever store investeringer eller dyre produkter – Det er grunnleggende cyber-hygiene.