1. Blog
  2. Orange Cyberdefense
  3. Ransomwareattacker i Sverige

Ransomwareattacker i Sverige

Bland annat SVT och SR rapporterade , den 12 november 2020,  om omfattande IT-attacker mot stora företag i Sverige.

I vår CyberSOC har vi under en tid sett en ökad aktivitet av ransomware, vilket meddelats våra kunder i tidigare nyhetsbrev.

Grupper som är involverade i den här typen av attacker utnyttjar vanligtvis någon av följande metoder:

  • Genom phishing , där det initiala syftet är att installera skadlig kod (malware som ex TrickBot or Emotet
  • Genom att utnyttja sårbarheter i ex VPN gateways, Citrix eller web tjänster som Tomcat, Apache eller Oracle Weblogic
  • Genom att utnyttja system som exponerar administrationstjänster på internet, så som t.ex. Remote Desktop (RDP) eller Secure Shell (SSH)

I en säkerhetsuppdatering, som tidigare sändes ut till våra CyberSOC-kunder, informerades om den nya sårbarheten som fått namnet `Zerologon´. Sedan den upptäcktes i augusti har den använts ett flertal gånger. Den utnyttjar en sårbarhet i Windows ‘Netlogon-tjänst´, vilket möjliggör för en angripare att snabbt höja rättigheter och därmed tillgång till värdefulla resurser. I vissa fall har det lett till en spridning av ransomware på bara ett par timmar. Orange Cyberdefense CyberSOC vill betona vikten av att uppdatera (patcha) systemen, för att förhindra utnyttjandet av denna kritiska sårbarhet. Den används för närvarande mycket aktivt, och sårbarheten måste därför tas om hand så snart som möjligt.

Tips på proaktiva åtgärder

  1. Patchning Zerologon (CVE-2020-1472)
    • Netlogon-tjänsten är en viktig del i `Windows Client Authentication´ och används dagligen i Windows. Det är en tjänst som kör kontinuerligt i bakgrunden, och autentiserar användaren och andra tjänster inom en domän. Dess centrala funktion gör detta till en mycket viktig komponent i hela arkitekturen för windowsklienternas autentisering.
    • Den 14:e september publicerade säkerhetsföretaget, Secura, en rapport som påvisade en sårbarhet i Netlogon-tjänsten. Sårbarheten gör det möjligt för en extern attackerare, att skapa en autentiseringstoken så att Netlogon-tjänsten kan sätta ett känt lösenord på domän-kontrollanten . Det i sin tur möjliggör för angriparen att över domänkontrollanten, höja rättigheter och ta sig vidare i nätverket.
    • I och med att autentiseringen sker på ett sätt som verkar legitimt, kan det vara svårt att upptäcka.
    • Microsoft har påbörjat åtgärderna kring detta och den första fasen av två, publicerades den 11 augusti 2020 under `Patch Tuesday´
    • Orange Cyberdefense CyberSOC uppmanar kunder att omedelbart uppdatera, för att säkerställa att systemen inte är sårbara.
  2. Härda systemen, säkerställ konfiguration och `best practices´.
    • Madiant har publicerat bra och läsvärda tips kring härdning av system, konfiguration och `best practices´, som hjälper till att vara   proaktiv i sitt skydd mot ransomware.
  3. Övervaka och uppdatera det externa perimeterskyddet
    • Genomför kontinuerlig sårbarhetsskanning för att upptäcka eventuella sårbarheter och/eller system som inte ska vara exponerade mot Internet. Nyckeln är att minimera attackytan, eftersom angripare ger sig på de lägst hängande frukterna först.
  4. Övervaka klienter och dess aktivitet
    • Vanligt, i dessa kretsar, är att ett antal typer av ransomware används mot en eller flera klienter, för att se vad som möjligtvis inte upptäcks och stoppas av de olika klientskydden. Det som inte upptäcks, användas sedan för att komma vidare i attackkedjan. En stark rekommendation är att ha aktiv övervakning på klienterna samt en detekteringslösning implementerad, vilket ger larm på om onormala aktiviteter förekommer och skadlig kod kan upptäckas tidigt.
  5. Ett CyberSOC-team, egen eller externt, som kan övervaka och snabbt isolera infekterade klienter. Detta för att undvika att angripare får kontroll över domänen och ges möjlighet till vidare spridning av ransomware.

Typer av ransomware

När vi pratar om ransomware är det viktigt att förstå skillnaden mellan vad det brukade vara och vad det för närvarande är.
Spridning av ransomware brukade handla om kryptering av data och potentiell dataförlust. Idag är dock det främsta målet för en ransomware-attack att genomföra data-exfiltrering, och vid genomförandet lämnas ett övertygande bevis på att angriparen varit i nätverket. Datat som man lyckats komma över används som grund för utpressning, där ransomware-aktören hotar med att publicera den stulna informationen.

Många organisationer tror fortfarande att det handlar om skadlig kod, och att om skyddet mot skadlig programvara är tillräckligt bra, så är allt lugnt. Tyvärr är det inte så, och så länge den tron finns så kommer ransomware-aktörerna att fortsätta att lyckas.

 

Kontakta oss för rådgivning kring förebyggande åtgärder, mail info@se.orangecyberdefense.com

Är Ni under attack? Ring vår 24/7-bemannade CSIRT (Incident response-team) för omedelbar hjälp (tel 040-668 81 88) – mer info

Annan läsvärd info:

Share