Forud for et ransomware-angreb har ubudne gæster ofte været inde og snuse rundt i systemer og data i længere tid. Det er et aspekt af cybertruslen, som organisationer bør være opmærksomme på.
Skrevet af; Center for Cybersikkerhed
Fortællinger om ransomware-angreb begynder ofte dér, hvor de kendte skærmbilleder på kontoret afløses af en besked i alarmrød skrift om, at organisationens data er krypteret af ondsindede hackere. Men dén begivenhed kan blot være kulminationen på uger eller måneder, hvor ubudne gæster har været inde og snuse rundt på organisationens netværk og systemer.
”Som om selve ransomware-angrebet ikke var ubehageligt nok, så er der faktisk en anden potentiel trussel at forholde sig til: Hackerne kan have opholdt sig uset i systemerne længe. Og det, de kan have foretaget sig, kan være mindst lige så alvorligt som ransomware-angrebet,” siger fungerende chef for Center for Cybersikkerhed Mark Anthony Fiedel.
Den adgang, som hackerne har skaffet sig, kan de bruge til at aflure og stjæle forretningshemmeligheder eller til ”dobbelt afpresning”. Det dækker over, at hackerne ikke blot forsøger at kræve løsepenge for at låse de krypterede data op, men også kræver beskyttelsespenge for ikke at offentliggøre data, de har kopieret fra offerets systemer, inden selve ransomware-angrebet. ”Spionagetruslen står for mange lidt i skyggen af ransomware. Men hvis det for eksempel lykkes hackerne at få fat i data, som er følsomme for organisationen, så kan truslen om et læk være virkelig bekymrende. Ofte kan der også være en vis usikkerhed omkring, hvad hackerne egentligt har haft adgang til,” siger Mark Anthony Fiedel.
Organiserede kriminelle
De kriminelle grupper, der er involveret i ransomware-angreb, er de senere år blevet mere organiserede. Flere grupper har specialiseret sig i at udføre forskellige faser af angrebet. Eksempelvis kan der være grupper, som står for at udvikle selve ransomwaren, mens andre grupper står for at forhandle med ofrene om løsesummen. På samme måde er der grupper, der koncentrerer sig om at skaffe den første adgang til et netværk og derved også adgang til data. Det kan være grupper, der udnytter forskellige kendte sårbarheder i netværksudstyr eller software til fjernadgang. Eller de kan udnytte, at brugere eller administratorer bruger kodeord, der er lette for de kriminelle at knække.
Når de har fået adgang, planter hackerne en bagdør på netværket. Bagdøren kan de bruge til at få adgang til at undersøge, hvilke systemer der er på netværket, og hvilke data de kan få adgang til. I nogle tilfælde vil den gruppe, der har skaffet adgang, endda sælge adgangen videre til andre grupper, eventuelt gennem et mellemled, en såkaldt initial access broker. Metoderne minder til forveksling om dem, der bruges af fremmede stater til cyberspionage. Uanset hvem der er trængt ind på netværket, så er de først ude efter information:
”I starten har kriminelle og statsstøttede hackere samme mål: Det gælder om ikke at blive opdaget, mens de har adgang til at udforske alle afkroge af netværket for at finde informationer, der er værdifulde for dem. Det er først senere i forløbet, at hackernes forskellige motiver kommer til udtryk,” siger Mark Anthony Fiedel.
Gå på jagt efter spioner og kriminelle
De generelle råd mod ransomware er at følge gode grundprincipper om it-sikkerhed, og ikke mindst at have velfungerende backup og en opdateret og afprøvet beredskabsplan. Men fordi vi i høj grad ser, at adgangen til netværket bruges til mere end blot at afvikle ransomware, så kan det være fornuftigt at udvide strategien. Spionage kan være en mere kompleks trussel at forsvare sig mod. Men fordi ransomware-grupperne også benytter sig af at få adgang til netværket gennem længere tid, så kan der være en synergi i at forsvare sig mod begge trusler.
For det første er det vigtigt at sikre, at det kun er de systemer, hvor det er nødvendigt, der er tilgængelige fra internettet. Dernæst er det vigtigt at sikre, at softwaren på disse systemer holdes opdateret. Mange sårbarheder i for eksempel netværksudstyr bliver udnyttet i mere end et år, efter der er kommet en opdatering, der lukker sårbarheden. Det kan være et tegn på, at det fortsat kniber med at have fuldt overblik over, hvilke systemer man har, og hvorvidt de er opdateret. Det er også vigtigt at sikre alle brugerkonti. Først og fremmest skal kodeord være unikke, og især til fjernadgange kan fler-faktor-autentifikation gøre hele forskellen. Alle standardkoder skal skiftes, og kun de brugere, der har et faktisk og aktuelt behov, skal have adgang udefra.
Endelig er det vigtigt at logge og monitorere hændelser og trafik på netværket. Både trafik indefra og ud, men også intern trafik. Hackerne er afhængige af deres bagdør og af netværkskommunikation, så det er særligt hér, man kan finde sporene. Man bør også være opmærksom på alarmer, der kan være udløst af hackernes aktivitet, fra for eksempel antivirussoftware. Bliver man bedre til at opdage sporene, så kan man også blive i stand til at stoppe angrebet i tide. God logning og netværksmonitorering kan derfor hjælpe både med at fange spioner og ransomware-grupperne.