Løsepengeangrep (del 1) – Planlegge og Forberede

Del 1 av 3 i vår serie om løsepengeangrep.
Artikkelforfattere er Elin Tøndel, Guro Hotvedt, Lasse Eriksen

Artikkelserien består av tre deler hvor hver del tar for seg ulike faser av hvordan man bør gå frem for å etablere et best mulig forsvar mot nettopp løsepengeangrep. Rådene og fremgangsmetodene vi gir vil også kunne benyttes som et forsvar for andre digitale angrep.

Vi ønsker å poengtere at det ikke finnes noe fasitsvar på hvordan man skal forsvare seg, men vil gjennom denne serien presentere en arbeidsmetode vi har gode erfaringer med, som har gitt gode resultater, og som har vist seg å være effektiv.

Del 1 av serien tar for seg hvordan man bør planlegge og forberede seg for et eventuelt løsepengeangrep – altså fundamentet for videre arbeid. Del 2 vil gå nærmere inn på ytterligere aktiviteter man kan gjennomføre for å forberede seg på en hendelse. I del 3 av artikkelserien ser vi på hva man faktisk skal gjøre dersom man er under angrep. Hvordan bør dette håndteres? I tillegg vil vi i den siste delen også se på arbeidet som bør gjøres i etterkant av et angrep.

Løsepengeangrep på vei oppover både i Norge og internasjonalt

Løsepengeangrep har vært benyttet av cyberkriminelle i mange år og ingenting tyder på at dette vil forsvinne med det første. Tvert imot. I følge SonicWalls Cyber Attack Report publisert tidligere i år har det vært en økning av løsepengeangrep på 105% på verdensbasis fra året før og løsepengekravene har økt med 144%. Hvor høy andel som betaler løsepenger er ikke oppgitt, men tallene viser at den gjennomsnittlige betalingen har økt med 78%.

I tillegg har det vært en fremvekst av 36 nye ransomware-gjenger i tillegg til de over 100 gjengene som allerede eksisterer på verdensbasis. Hvordan løsepengeangrep fungerer varierer, men de kan ofte kategoriseres inn i en «løsepengevirus-familie» som er en gruppe skadevare med felles kodebase.

Vi skiller gjerne i tre hovedkategorier av løsepengevirus; filkryptering, som krypterer filene på datamaskinen og forhindrer brukeren tilgang til dem, diskkryptering, som krypterer blant annet oppstartssektoren på harddisken og dermed kaprer oppstartsprosessen på datamaskinen, og låseskjerm, hvor brukeren ikke får mulighet til å logge på datamaskinen. Felles for disse er at angriperen sender ut krav om løsepenger til brukeren for at vedkommende skal få tilbake tilgangen til datamaskinen og/eller filene som er krypterte.

Nye varianter og dobbel utpressing

Etter hvert som løsepengeangrep har blitt «normalt», har flere og flere virksomheter etablert rutiner for sikkerhetskopiering. Dette gjør virksomhetene mindre sårbare for å tape data hvis de blir kryptert, da dataene ligger tilgjengelig andre steder, hvilket gjør det mulig å gjenopprette disse uten å betale løsepenger. Trusselaktørene utviklet derfor en ny metode, kalt dobbel utpressing. FBI anser denne trusselen som svært alvorlig og gikk ut med advarsel angående dette allerede i begynnelsen av 2020.

Dobbel utpressing, eller double extortion, er et relativt nytt fenomen og er blitt svært populært blant trusselaktører de siste årene. Ved dobbel utpressing utnytter trusselaktøren(e) tilgangen til virksomhetens systemer ved først å hente ut informasjon/data, og deretter eksekvere skadevaren som krypterer systemene og dataene.

Trusselaktørene krever videre løsepenger for å dekryptere dataene, men kommer så tilbake på et senere tidspunkt, både dersom virksomheten nekter å betale, eller har betalt, og krever på nytt betaling for å ikke lekke/videreselge virksomhetens data.

Hvordan forsvare seg mot løsepengeangrep?

Når det kommer til alle typer datainnbrudd, inkludert løsepengeangrep, kan du ikke lene deg tilbake og tenke at det aldri kommer til å ramme din virksomhet. Derfor er det viktig å bruke tid på å etablere gode rutiner for å forebygge, oppdage og håndtere et angrep. I denne artikkelserien tar vi utgangspunkt i ISOs beste praksis-prinsipper for hvordan virksomheter bør forberede seg på og håndtere sikkerhetshendelser (ISO/IEC 27035 – Information Security Incident Management), og de fem fasene:

• Planlegge og forberede (Plan and prepare) (denne artikkelen og artikkel 2)
• Oppdage og rapportere (Detect and report) (artikkel 3)
• Vurdere og avgjøre (Assess and decide) (artikkel 3)
• Respondere (Respond) (artikkel 3)
• Evaluere – Hva har vi lært? (Lessons learned) (artikkel 3)

Fasene i ISO 27035 sin hendelseshåndtering som vi tar utgangspunkt i til denne artikkelen. Vi vil i denne artikkelen se nærmere på fasen planlegge og forberede (plan and prepare). Illustrasjonen er hentet fra Medium

Ved å basere arbeidet rundt disse prinsippene, samt etterfølge relevante prinsipper fra Nasjonal Sikkerhetsmyndighets (NSMs) Grunnprinsipper for IKT-sikkerhet og/eller NISTs rammeverk for Cyber Security, vil virksomheten kunne etablere et godt grunnlag for forsvar mot løsepengeangrep, samt prosedyrer for å respondere på et angrep. Det skal nevnes at det finnes flere aktører og rammeverk på markedet, men i denne artikkelserien er det disse vi har forholdt oss til.

Vi vil nå se på fase 1 av ISO 27035 standarden, og følge dette opp i artikkel to, før vi i artikkel tre ser på fase 2 og kommer med generelle anbefalinger rundt de tre siste fasene.

Fase 1: Planlegge og forberede

Gode prosesser og rutiner for sikkerhetsstyring, samt en høy sikkerhetsbevissthet blant de ansatte, bidrar til å redusere konsekvensene av et eventuelt løsepengeangrep. I tillegg vil en beredskapsplan som inkluderer håndtering av et løsepengeangrep være et viktig verktøy.

Ved å identifisere, planlegge og forberede for et angrep står virksomheten ofte stødigere og sikrere den dagen de står ovenfor et angrep. Dette kan være avgjørende for hvor raskt en bedrift henter seg inn etter et angrep og hvor stor innvirkning angrepet har på virksomheten.

Fase 1 kan deles inn i to deler; 1) planlegge og 2) forberede. Denne artikkelen tar for seg planleggingsdelen der man setter opp systemer og planer for hvordan man skal håndtere et løsepengeangrep. Når dette er på plass, er det viktig å gå over i «forberedelsesfasen» der man øver på planene man har satt og justerer de der man ser behov. Dette tar vi for oss i artikkel to av serien.

Bevissthet, handling, kultur

God sikkerhet i virksomheten er avhengig av årvåkne og sikkerhetsbevisste ansatte, en god «sikkerhetskultur». Kontinuerlig opplæring bidrar til å øke ansattes forståelse for sikkerhet og gjøre dem oppmerksomme på for eksempel hvilke e-poster som virker mistenkelige. Det å etablere et årshjul med regelmessige aktiviteter, som for eksempel phishing-øvelser, kurs og nano-læringer, bidrar til å aktivisere de ansatte og styrke deres bevissthet på sikkerhet året rundt.

Allerede her, ved å ha kunnskapsrike og oppmerksomme ansatte, vil virksomheten redusere sjansene for vellykkede løsepengeangrep.

Sikkerhetsstyring

Et sikkerhetsstyringssystem er en strukturert metodikk for planlegging, etablering, gjennomføring og forbedring av sikkerhetsarbeidet i virksomheten. Risikovurdering og kartlegging av verdier er en svært viktig del av sikkerhetsstyringen fordi det gir virksomheten oversikt over hvilke risikoer de står ovenfor, og hva de skal beskytte. Kunnskap om hvordan disse verdiene skal beskyttes og hvordan en risiko kan håndteres påvirker handlekraften til virksomheten under et eventuelt angrep.

Trusseletterretning (TI)

Et løsepengeangrep kan komme via en rekke ulike trusselaktører, og det å ha oversikt over hvilke trusselaktører og trusler virksomheten kan stå overfor bidrar til å styrke sikkerheten. Dette er spesielt viktig å gjøre en analyse på før man setter opp planer for å håndtere et angrep, da planene bør reflektere og ta hensyn til de ulike aktørene og truslene virksomheten står overfor.

En måte å skaffe seg en oversikt på kan være å benytte seg av trusseletterretning (Threat Intelligence -TI) – sammenstilt kunnskap om sårbarheter, mulige trusselaktører og deres potensielle mål. Sårbarheter i denne sammenhengen behøver ikke bare være sårbarheter i programvare, men også feilkonfigurasjoner, svake passord, og tilsvarende.

Trusselaktørene kan være alt fra nasjoner, organiserte kriminelle, hacktivister, til nysgjerrige ungdommer (script kiddies), og ressursene de har tilgjengelig varierer. Målene kan stort sett deles opp i sektorer (finans, helse, oppdrett med flere), nasjoner/regioner, eller helt spesifikke mål som en enkelt virksomhet eller organisasjon (eksempelvis humanitære eller politiske organisasjoner) og enkeltpersoner. Informasjon om hvem som kan utgjøre en trussel for virksomheten og aktørens tilgjengelige ressurser kan hjelpe til å prioritere sikkerhetstiltak som må på plass.

Kildene til TI kan være åpne (Open Source Intelligence - OSINT), som artikler, deling av hendelser/kunnskap i forskjellige fora eller databaser (både åpne for allmenheten eller som betalingstjenester, eks. Proff.no). En annen kilde kan være studier, rapporter, årsmeldinger og virksomheters nettsteder. Kilder kan også være delvis lukkede. I Norge sender NSM ut informasjon og bruker trafikklysprotokollen (TLP) for å avgjøre hvilke aktører som får informasjonen, hva aktørene får, og hvem denne informasjonen kan deles med. Helt lukkede kilder kan være at en virksomhet eller et lands sikkerhetsmyndigheter deler spesifikk informasjon med den eller de informasjonen angår.

Trusseletterretning kan også benyttes som input til sikkerhetstjenester som Security Information Event Management (SIEM) og Endpoint Detection and Response/Extended Detection and Response (EDR/xDR) hvor dette hentes fra eksterne kilder (virksomheter eller virksomheters samfunnsinnsats). Disse tjenestene vil vi se nærmere på i artikkel tre.

Beredskapsplan m/sikkerhetskopi og gjenoppretting

En beredskapsplan bør utarbeides og forankres i virksomheten, for å gi tydelige retningslinjer på hvordan man skal håndtere et løsepengeangrep. Denne planen bør inneholde hvem som skal ha ansvar for ulike områder, hvem og hvordan parter informeres og varsles, samt tiltak (både tekniske og organisatoriske) som bør iverksettes for å minimere konsekvenser av angrepet. Her bør man også ha alternative arbeidsprosesser og kommunikasjonskanaler klare i tilfelle virksomhetens systemer er rammet og satt ut av spill.

I tillegg bør beredskapsplanen inneholde, og basere seg på, hvilke risikoer og trusler virksomheten har behov for og ønsker å beskytte seg mot. Her bør blant annet informasjon fra trusseletterretningen benyttes. Virksomhetene vil ha behov for å beskytte seg mot ulike risikoer og trusler, og trusselbildet vil hele tiden være i bevegelse. Det er derfor viktig at planen gjennomgås og oppdateres med faste intervaller også når det oppstår endringer i trusselbildet som vil påvirke virksomheten.

Selv om alle virksomheter har forskjellige behov, vil vi påpeke viktigheten av å ha gode rutiner på sikkerhetskopiering og gjenoppretting. Gode rutiner og planer her vil spare virksomheter for tid, redusere påvirkning av operasjonell kapasitet, og redusere kostnader og potensielt omdømmetap ved et løsepengeangrep. Konfigurasjon og rutine for sikkerhetskopiering og gjenoppretting må være på plass tidlig i planleggingen, og vi anbefaler at man tenker gjennom følgende:

• Hva bør din virksomhet sikkerhetskopiere? Hva er hensiktsmessig og sikrer at ulike systemer kan settes tilbake til en trygg tilstand? Spesielt sentral IKT-infrastruktur bør prioriteres.
• Hva er mulig å sikkerhetskopiere? Finnes det noen arkitekturrelaterte begrensninger?
• Hvor ofte bør og kan din virksomhet sikkerhetskopiere?
• Hvor bør sikkerhetskopiene lagres og hvordan skal de beskyttes?
• Hvor ofte bør og kan sikkerhetskopiene verifiseres (restore-test)?
• I praksis, hvor raskt er egentlig viktige systemer oppe igjen om uhellet er ute? For å verifisere dette, kjør gjenopprettingstester.

Tekniske tiltak

Innføring av nye rutiner, tiltak, systemer, tjenester og lignende er tidkrevende arbeid. Ofte kan virksomheter ta seg vann over hodet og ønsker å etablere flest mulige tiltak, systemer og tjenester raskest mulig for å forhindre angrep. Vårt råd er derimot å starte i det små med grunnleggende preventive tiltak.

Tiltak vi anbefaler her er:

• Fjern lokal administrator på klienter
• Ikke gi brukere flere tilganger og høyere rettigheter enn nødvendig
• Installer applocker eller tilsvarende programvare på maskiner som forhindrer kjøring av ikke-godkjent programvare
• Etabler rutiner for og herding av endepunkter og servere
• Patch systemer regelmessig og vurder å segmentere/isolere eldre systemer som ikke kan patches
• Ha automatisk sikkerhetsoppdatering av maskiner
• Endre passord på internetteksponerte tjenester og aktiver flerfaktorautentisering
• Tjenester bør ha en god passordhygiene som gjør det vanskelig å gjette passord for en angriper. Dette inkluderer at brukere ikke benytter passord som er lekket på nett.

Dette er tiltak som vi anbefaler som et minimum, og disse som kan innføres parallelt med at mer omfattende rutiner og tiltak faller på plass.

Du har prosessene og planene på plass, hva nå?

Det er viktig å poengtere at selv med god bevissthet rundt sikkerhet, gode rutiner for håndtering av et løsepengeangrep, og tekniske tiltak på plass er dette en trussel det er nærmest umulig å eliminere så lenge det finnes trusselaktører som er villig til å utnytte det. Gode prosesser og rutiner vil bidra til å redusere omfanget av et angrep. Det hjelper derimot lite å ha en god plan på papiret hvis planen ikke er prøvd ut i praksis, og fungerer. Vi vil alltid anbefale å teste ut om planen er gjennomførbar og at den passer virksomheten. Gjennom kontrollerte beredskapsøvelser vil virksomheten kunne gjøre nødvendige endringer og tilpasninger og sørge for en enda sterkere beredskapsplan.

Artikkelseriens vei videre

I neste artikkel vil vi gå nærmere inn på hvilke aktiviteter vi anbefaler å gjennomføre for forebygging av løsepengeangrep, mens vi i artikkel tre vil se på hvordan man raskest mulig kan oppdage og håndtere et løsepengeangrep når uhellet først er ute.