Ransomware 2.0 – Ikke lenger bare et virus

Mange selskaper i Norge frykter å bli rammet av ransomware / kryptovirus, for de ser at store selskapet som Hydro blir rammet, og nå nylig skipsbygger «VARD» i Ålesund. Dette er et selskap med E-tjenesten på kundelisten. Uten å kjenne selskapet godt selv, antar jeg at de har hatt strenge krav på seg, og jobbet godt med sikkerhet. Men på tross av dette så klarer fremdeles de kriminelle å lykkes med tilgang og spredning av det som i media beskrives som «Ransomware». Har de hatt uflaks og blitt rammet av et mer eller mindre tilfeldig ransomware-virus? Eller kan det være at de som mange andre har blitt utsatt for det som av noen blir omtalt som Ransomware 2.0.

En forenklet forklaring av fenomenet er at Ransomware 2.0-angrepet ofte består av forskjellige faser, og de forskjellige fasene kan være utført av forskjellige kriminelle grupperinger med ulik kompetanse men kan også være utført av samme.

Fase 1: Tilgang til systemene (Ref: MITRE ATT&CK - Inital Access & Execution)
Det benyttes forskjellige metoder for å få tilgang til maskiner på innsiden av virksomhetens brannmur, i hovedsak benyttes e-post med lenker eller vedlegg som utnytter sårbarheter på klienten, ofte i 3-parts-applikasjoner som ikke blir patchet, eksempler er Flash fra Adobe.

Produkter som kanskje ikke blir like ofte og nøye patchet som de enklere Microsoft-produktene. Men det er fortsatt problematisk med Office-dokumenter som inneholder macroscript eller nedlasting av kode.

En siste metode som ofte blir brukt er bruk av stjålne brukernavn og passord, innlogging via VPN, Citrix, Remote Desktop eller lignende.

Fase 2: Sikre fremtidig tilgang (Ref: MITRE ATT&CK - Persistence)
Det sikres ofte tilgang til de systemene ved å distribuere agenter til flere klienter og servere. Gjerne ved bruk av brukernavn og passord hentet fra lokalt minne på maskinen. Gjenbruk av brukernavn, passord og passord-hasher benyttes for å sikre tilgangen med reverseshell-agenter. Det er også blitt dokumentert bruk av web shell, på Internett-tilgjengelige tjenester.

Fase 3: Utvide rettigheter (Ref: MITRE ATT&CK – Privilege Escalation & Credential Access)
Det finnes mange eksempler på at standard metoder som Mimikatz og Procdump benyttes. Men man ser også at mer banale metoder som søk etter ord som passord blir benyttet.

Fase 4: Kartlegging av virksomheten (Ref: MITRE ATT&CK – Discovery, Lateral Movement & Collection)
Angriperne kartlegger systemer med alt fra portskanner, script, AD-verktøy og mye mer. Dette for å få mest mulig oversikt over nettverket, AD, brukere, filområder og hvor de mest kritiske systemene og dataene ligger lagret.

Fase 5: Sluttføre angrepet (Ref: MITRE ATT&CK – Exfiltration & Impact)
Angriperne kopierer ut dokumenter og viktige data fra kundens nettverk, benytter forskjellige metoder for utkopiering som f.eks. FTP, WinSCP eller fildelingstjenester. Når viktige og sensitive dokumenter er kopiert og sikret på utsiden av virksomheten starter man krypteringsscriptene som ruller ut kryptoviruset i virksomheten. Da har aktørene tilegnet seg domenebrukere, lokale brukere og domeneadministrator-brukere. Ofte oppretter de også egne brukere de skjuler for å sikre tilgang. Med domeneadministrator-rettigheter er det enkelt å distribuere et kryptovirus direkte til alle maskiner i domenet med Psexec eller andre lignende verktøy. De kan skru av sikkerhetsfunksjoner og rulle det ut via GPO hvis de ønsker.

Selve angrepet fra start til slutt kan gjerne pågå i flere uker. Det vil si at man har aktører i nettverket som beveger seg fritt rundt, og som i hovedsak benytter seg av lovlige Windows verktøy som Psexec, WMI, Powershell, ProcDump og lignende.

For å avdekke denne type angrep er man avhengig av løsninger som oppdager mistenkelig oppførsel og en overvåking og respons tjeneste der angrepet blir fanget opp raskt, og håndtert korrekt, slik at virksomhetens data ikke rekker å bli stjålet eller kryptert.

I etterkant av slike hendelser er det viktig å lære av sikkerhetsbruddet, forbedre sikkerheten, og dele på kunnskapen med andre. Vi i Fence Response Team (FIRT) jobber kontinuerlig med overvåking av våre kunders systemer. Vi jobber med analysering og håndtering av hendelser daglig, og bruker kunnskapen vi får fra dette i våre egne penetrasjonstester, redteam-øvelser og når vi gir råd til våre kunder.

Alle kunder som benytter seg av vår Managed Detection & Response tjeneste har kvartalsvis gjennomføring av en sikkerhetssamtale rundt løsningen og generell sikkerhet.