Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

Hendelse?
MENY

Hvordan norske virksomheter blir rammet av Ransomware-aktører

Gjennom 2023 og 2024 har vi sett er rekke tilfeller av norske virksomheter i media rammet av ulike trusselaktører (TA), felles for de fleste av disse er et at de tilhører ulike ransomware grupperinger som angriper med mål om å presse virksomheten for penger.

I Fence AS har vi på vår SOC oppdaget og forhindret en rekke alvorlige hendelser gjennom de siste årene. Men vi har sett en økende trend i vellykkede kompromitteringer, der trusselaktørene tilegner seg full systemtilgang til virksomheten direkte over Internett.

Hvordan

Det har i hovedsak blitt benyttet to ulike metoder for å oppnå systemtilgang (Initial access). Den ene metoden benyttet er tilknyttet utnyttelse av nye eller eksisterende sårbarheter eksponert mot internett, dette være seg løsninger fra f.eks. produsenter som Citrix, Cisco og Ivanti m.f.

Den andre metoden benyttet er tilgang direkte via VPN på bakgrunn av manglende bruk av MFA (Multifaktor autentisering). I dette tilfelle vil angriperne gjerne ha tilegnet seg passordet gjennom ulike passordlekkasjer tilgjengeliggjort på «Darkweb», eller gjennom phishing og passordgjetting.

I andre fase av angrepet, eller i etterkant av at trusselaktøren har tilgang ser vi at de i hovedsak benytter allerede eksisterende applikasjoner og binærfiler for videre kartlegging (Discovery), bevege seg i nettverket (Lateral movement), og for å tilegne seg høyere rettigheter (Privilege escalation).

Hvorfor

I de fleste tilfeller der vi ser at norske virksomheten blir rammet av ulike trusselaktører så er det i hovedsak to årsaker til at de blir rammet. Norske virksomheter er relativt ressurssterke og kan fremstå som særdeles attraktive mål for aktører som er ut etter å gjøre maksimal fortjeneste. Men den andre faktoren som kanskje enda mer relevant, er at virksomhetene har vært sårbare for den type angrep som aktørene har spesialisert seg på. Mange vil raskt kanskje tenke at dette ikke kan skje i vår virksomhet for vi har kontroll. I de fleste tilfellene vi jobber med, så har ofrene selv også gått i den tro at de var trygge, at de hadde kontroll. Men når vi etterforsker hendelsene etterkant kan vi ofte avdekke at man ikke hadde den kontrollen som var nødvendig eller som man trodde.

Hvordan unngå å komme på forsiden av landets aviser:

  1. Kontinuerlig sårbarhetsadministrasjon (Fokus på «sårbare» tjenester eksponer på Internett)
  2. Alltid benytte multifaktor autentisering, vurder om dette alene er nok
  3. Oppdag trusselaktøren så raskt som mulig (24/7 SOC overvåkning)
  4. Jobb kontinuerlig med å oppdagelse, forhindre og forsinke angripernes metoder «Lev av landet»
  5. Tilgang til relevant «Threat Intelligence»

Vår tilnærming: «Brent jords taktikk»

Trusselaktørene benytter i dag en metode der de benytter lovlige applikasjoner som powershell, Remote Desktop. e.l. Metoden heter «Lev av landet». Med våre tjenester «Managed Endpoint Protection» og «Managed Detection and Response» leverer vi motsatsen til dette: «Brent jords taktikk».

Vi jobber kontinuerlig med fokus på konfigurasjon som forhindrer å vanskeliggjør arbeidet til trusselaktørene, basert på vår egen oppdaterte «Threat Intelligence».

Gjennom grundig testet sikkerhetskonfigurasjon og overvåkning oppdager og stopper vi metodene, taktikkene og applikasjonene de kriminelle benytter før de får gjort skade. Vi stopper, forsinker og forhindre aktørenes arbeid samtidig som vi oppdager, isolerer, sikrer bevis og varsler våre kunder.