- Angriperne kommer inn, utforsker, ligger lavt, henter ut data, starter kryptering

Sikkerhetsekspert om ransomware-angrepet mot Amedia, og hvordan du unngår de organiserte kriminelle.

Vetle Larsen, seniorkonsulent i Aztek, har fulgt nøye med på angrepet mot Amedia. 📸: Aztek / Vidar Ruud / NTB
Vetle Larsen, seniorkonsulent i Aztek, har fulgt nøye med på angrepet mot Amedia. 📸: Aztek / Vidar Ruud / NTB Vis mer

– Amedia-angrepet fremstår som et klassisk økonomisk motivert angrep, sier Vetle Larsen, seniorkonsulent i Aztek og spesialist i penetrasjonstesting og hendelsesrespons, til kode24.

Forrige uke ble det norske aviskonsernet Amedia utsatt for et alvorlig dataangrep. Flere av konsernets sentrale datasystemer ble satt ut av drift.

Hackerne som angrep Amedia har lagt igjen et krav om løsepenger. Selskapet har besluttet at de ikke vil betale. Det er fortsatt uvisst om kundedata fra Amedia er på avveie, meldte NTB lørdag.

"Proaktivt arbeid superviktig"

Larsen trekker fram at angrep på mediehus kan få alvorlige konsekvenser for informasjonsflyten i landet. Han viser til at mange politikere har kalt hackingen for et angrep på demokratiet.

- Men ut fra informasjonen som har kommet på pressekonferansen, handler nok hackingen mest om at aktøren slår der det gjør vondt for å presse penger, heller at de har en politisk agenda.

Samtidig legger han til at det viser hvor viktig det er at man sikrer forsyningskjeden. Ifølge Larsen er en annen viktig lærdom fra Amedia-hackingen er at man fortsatt trenger gode reaktive sikkerhetsprosesser, slik som hendelseshåndtering.

- Det proaktive arbeidet er superviktig for å redusere risikoen for at hendelser skal skje i det hele tatt, men man må fortsatt ha kapasitet til å kunne håndtere dem når de skulle oppstå.

Fulltidsoperasjon

Ifølge sikkerhetseksperten finnes det et "hav av aktører" som kan begå slike angrep.

- Men skal vi se på de mest aktive og profesjonelle aktørene, så er dette kriminelle organisasjoner med mange medlemmer. Disse driver med ransomware-angrep og utpressing mot mange mål, både målrettede og vilkårlige, som en fulltidsoperasjon, sier Larsen.

Han viser til at Amedia selv har sagt at de har fått link til en side de antar vil inneholde et pengekrav eller verktøy for å kommunisere med aktørene, men siden de selv ikke har fulgt linken kan det ikke bekreftes.

- Dette er veldig typisk fremgangsmåte for ransomware-angrep, hver maskin som krypteres vil inneholde et notat som har informasjon om hva som har skjedd samt en link hvor du kan enten gå i dialog med aktøren eller betale inn en pengesum.

Ifølge Larsen har disse aktørene ofte også "blogger" eller markedsnettsteder hvor de publiserer at de har brutt seg inn hos organisasjoner med skjermdumper som bevis, og hvis ofrene ikke betaler innen en viss tidsramme så selger de all data de har fått hentet ut til høystbydene.

Brukte printer-sårbarhet

Larsen mener det er for tidlig å spekulere i hvilken programvare som har blitt brukt.

- Det som kan nevnes er at de på pressekonferansen sin nevnte at det ble utnyttet en kjent Windows-sårbarhet relatert til printere, som viser at angriperne har benyttet kjente sårbarheter for å komme seg inn og/eller eskalere tilgangene sine.

På generell basis er det en ganske typisk vei inn som man ofte ser, at angriperne kommer seg inn via kjente sårbarheter.

«Når angriperne først har kommet seg inn i et miljø og har etablert et fotfeste, utforsker de gjerne miljøet via helt legitime verktøy.»

- Eller kompromitterte innloggings-detaljer. Et typisk hendelsesforløp, som vi også ser reflektert i Amedia-saken, er at angriperne kommer seg inn i et miljø, utforsker miljøet og blir liggende lavt i noen dager, for så å starte kryptering på utvalgte plasser etter at de har fått hentet ut så mye informasjon som mulig.

Larsen mener det er vanskelig å peke på konkret programvare siden dette varierer stort. Men trekker fram eksempler som Cobalt Strike, offentlige exploits fra diverse nettsteder, samt innebygde verktøy som Powershell.

- Når angriperne først har kommet seg inn i et miljø og har etablert et fotfeste, utforsker de gjerne miljøet via helt legitime verktøy som RDP, wmic og Powershell-moduler. I tillegg benytter aktørene også egenutviklet programvare, som for eksempel ransomware-programmene.

Du kan ta flere grep

- Hvordan kan utviklere forhindre at det skjer med deres egen bedrift?

- Det finnes ingen "silver bullet", men et godt grunnleggende sikkerhetsarbeid er det som tar deg lengst.

Larsen ramser opp flere grep du kan ta for å sikre arbeidsmiljøet ditt:

  • Å ha en asset inventory over all hardware og software som du har i miljøet ditt, slik at du vet hva du faktisk prøver å beskytte.
  • Sikre at du behandler data på en trygg og god måte.
  • Drive kontinuerlig vulnerability management.
  • Sikre at nettverket og infrastrukturen din er konfigurert og segmentert godt.

Han legger til at et godt sted å starte er Center for Internet Security sine Critical Security Controls. Sikkerhetseksperten trekker også fram nødvendigheten av å bruke en password manager i tillegg til å aktivere tofaktor på alle tjenester det er mulig.

- En annen passord-relatert anbefaling er å benytte LAPS i dine produksjonsmiljøer, slik at du kan redusere risikoen for at angripere kan skaffe seg lokaladmin-tilgang, sier Larsen.

Han råder også til å bruke VPN inn til selskapsnettet når du sitter på hjemmekotnor.

- Hold private datamaskiner separat fra arbeidsmaskiner så mye som det lar seg gjøre. Hold også programvaren og operativsystemene du bruker oppdatert til enhver tid, spesielt når det slippes kritiske sikkerhetsoppdateringer.

Bruk diskkryptering

Ifølge Larsen bør du benytte deg av diskkryptering på datamaskinen din. Det finnes flere verktøy for dette avhengig av operativsystemet du bruker, så man bør undersøke selv hva som passer best til ens eget bruk. Han nevner Apples Filevault og BitLocker til Windows.

- Linux: Her er det mange alternativer å velge mellom, enkle operativsystemer gir deg muligheten til å kryptere disken med LVM og LUKS drive encryption, mens andre alternativer kan være VeraCrypt/TrueCrypt og dm-crypt, sier Larsen.

Sikkerhetseksperten sier at du bør passe på å ikke gå fra datamaskinen din ulåst når du forlater din arbeidsplass, og ikke plugg ukjente USB-enheter i maskinen din.

- Dette er viktige tiltak som vil redusere risikoen for direkte angrep mot din maskin.

Han legger til at du også bær være påpasselig med hvilken informasjon du lagrer lokalt på din pc.

- Data som du tar med deg utenfor selskapets miljø vil kunne havne utenfor selskapets sikkerhetskontroller, som øker risikoen for at data kan havne på avveie.