Hvordan kan virksomheter sikre seg mot løsepengevirus?

I mai rammet det hittil største og mest koordinerte kryptovirus-angrepet verden har sett så langt. Kryptoviruset, WannaCry, infiserte anslagsvis 200 000 maskiner i løpet av helgen.

WannaCry er et løsepengevirus som krypterer alle filer som ligger på den infiserte maskinen, samt filområder som maskinen kan nå. Kryptovirus eller løsepengevirus er ikke et nytt fenomen, og har eksistert over lengre tid. Den mest kjente varianten frem til nå har vært CryptoLocker som det har eksistert mange avarter av. Variantene har i all hovedsak vært å regne som et klientproblem da de har kryptert maskinen som ble infisert, samt eventuelle filområder på filservere.

Det nye med WannaCry er at dette viruset benytter seg av en Windows-sårbarhet for å spre seg videre til andre maskiner i nettverket. De tidligere variantene har i all hovedsak benyttet seg av e-post eller kompromitterte nettsteder for å spre seg til én og én maskin. WannaCry er nå i stand til å spre seg internt i organisasjoner uten at brukere er involvert. Det er i tillegg rapporter om at WannaCry har infisert organisasjoner over Internett grunnet brannmuråpninger inn i organisasjonene.

Les også: 4 konkrete tips for å beskytte deg mot WannaCry

Bakgrunn

Løsepengevirus, som WannaCry er en variant av, baserer seg på å skape uro eller nekte brukere å utføre sine oppgaver, og så kreve løsepenger for å slutte å ødelegge for brukeren. WannaCry er en variant som kalles kryptovirus. Disse virusene krypterer ned alle filer som brukeren og vedkommendes maskin har tilgang til. I samme prosess som krypteringen, overskriver viruset de ukrypterte filene. Alle filene er unikt krypterte per maskin. For sluttbrukeren betyr dette i effekt av vedkommende ikke kan bruke noen av filene sine, og uten dekryptering er filene tapt for evig tid. Virusene bruker industristandard kryptering som AES. AES er designet for å kunne være sikker mot dekryptering i flere hundre år.

Filene til brukeren krypteres med unike nøkler per maskin, som så overføres til servere som benyttes for å administrere viruset. Deretter kommer kravet om løsepenger. Ved å betale vil brukerens data bli dekryptert og fristilt til brukeren igjen. Dette er business-modellen bak kryptovirus i korte trekk. Det virkelig unike med kryptovirus, som og reflekterer produktifiseringen av utpressingsvirus, er at kryptovirus som oftest til og med har telefonsupport. Det er på alle måter i angriperens interesse at sluttbrukeren betaler slik at angriperen tjener penger. Ifølge FBI antas det at løsepengevirus innbrakte over 1 milliard USD i løpet av 2016, og det er en voksende «industri». Ifølge Symantec Internet Security Threat Report 2017, så øker også gjennomsnittssummene som kreves i løsepenger per infeksjon, fra 200-300 USD på de første variantene til 1200 USD i snitt på de mest moderne. WannaCry krever 300 USD per infeksjon.

Les også: Sikkerhetsvettreglene: Tre gode råd om informasjonssikkerhet

Hvordan forebygge et angrep eller gjenopprette etter et kryptovirus-angrep? 13 konkrete tips

Som med alle andre typer angrep, så er det en del aktiviteter man bør gjennomføre for å være føre var. Det er ikke alt som er relevant for den gjengse hjemmebruker, ei heller mindre organisasjoner. Men større organisasjoner bør kunne ha de fleste om enn ikke alle de foreslåtte tiltakene implementert.

1.     Oppdateringer

WannaCry benyttet seg av en Windows-sårbarhet som var lekket gjennom informasjonstyveri fra den amerikanske etterretningsorganisasjonen NSA. Denne sårbarheten kunne ha blitt oppdaget fra andre hold. Microsoft lanserte en patch for denne sårbarheten i mars, MS17-010. Patchen burde som et minimum bli installert på alle klientmaskiner så fort som mulig. For hjemmebrukere burde dette være problemfritt. For organisasjoner er typisk klientmaskiner også relativt problemfritt, men det kan være utfordringer på servere. Servere bør likevel også oppdateres snarlig da WannaCry benytter svakheten som MS17-010 korrigerer for å spre seg via nettverket.

WannaCry benytter en spesifikk sårbarhet som kan patches, men patcherådet vil gjelde for alle fremtidige varianter av virus og angrep. Sluttbrukermaskiner er sjelden problematiske å oppdatere fortløpende. Disse maskinene er oftest det første kontaktpunktet for virus som spres gjennom epost eller kompromitterte nettsteder. Sikkerheten på sluttbrukermaskiner er derfor særdeles viktig, og det gjelder alle typer oppdateringer som Java, Flash og all annen programvare som kjører på disse maskinene. Servere har oftere avhengigheter som kan gjøre patching mer utfordrende. Om organisasjoner har IT-systemer som er utfordrende å patche, enten på grunn av tekniske eller avtalemessige forhold, så bør dette tas høyde for i en robust sikkerhetsarkitektur. Dette nevnes lenger nede i dette innlegget.

2.     Ikke benytt admin-tilgang

Flere av løsepengevirusene er hovedsakelig interessert i å påvirke sluttbrukere, og kan utføre handlinger med de samme rettighetene som brukeren. Dessverre gjør ofte virusene mer ut av seg ved å forsøke å ta over maskinen for å bruke den i videre angrep, hente ut brukernavn og passord, installere keyloggere og annet. Dette krever ofte lokaladministrator-rettigheter. Veldig mange sluttbrukere og organisasjoner tillater at brukere benytter PC’en sin når de er innlogget som lokaladministrator.

Virus som får lokaladministratortilgang kan utføre alle handlinger på maskinen som er infisert. I vanlige Windows-nettverk i organisasjoner, vil dette ofte medføre at viruset kan spre seg raskere i infrastrukturen, ved at viruset kan hente ut brukernavn og passord fra maskinene den infiserer. Viruset kan også friere installere kode og benytte seg av systemfunksjonalitet.

Fjerning av lokaladministratorrettigheter har vist seg å ha veldig god effekt på å begrense virusutbrudd. Det krever litt bedre støtteprosesser fra IT rundt installasjon av programvare og andre tilpasninger på maskiner, men gir i gjengjeld en god sikkerhetsmessig gevinst.

3.     Tilgangsstyring

Kryptovirus går som oftest målrettet etter områder som inneholder filer av verdi som f.eks. fellesområder på filservere. Det er ganske vanlig å ha vide tilganger på filservere. Tilganger har en tendens til å bli lagt til over tid, men sjelden fjernet. Resultatet blir at mange ansatte ofte har tilgang til langt mer enn de burde ha på filserverne. Dette blir spesielt kritisk når brukere blir infisert med kryptovirus som da kan kryptere større deler av eller hele filserveren til en organisasjon. Effektiv tilgangsstyring med regelmessige gjennomganger av tilganger for å begrense hva en enkelt ansatt har tilgang til, vil kunne begrense skadeomfanget på fellesområder.

4.      Antivirus

Antivirus stopper sjelden de nyeste angrepene, men de oppdateres fort av antivirusleverandørene. Så lenge infeksjonsforsøkene skjer med kjente varianter av viruset, så kan antivirus ofte stoppe angrepet. Mange av de moderne antiviruspakkene har og gode løsninger for generell sikring av klienter, som brannmur, spam/phishingbeskyttelse og andre mekanismer som kan bidra til å unngå angrep.

5.     Filtrering av epost

Det anbefales å benytte filtrering av innkommende epost, både på epost-servere og på sluttbruker-PCer. Det fins mange produkter som kan benyttes i egen infrastruktur for å scanne epost. Riktig produkt vil variere basert på infrastrukturen som benyttes. Ved bruk av skytjenester for epost, så har ofte leverandøren mekanismer som enten er inkludert eller bør abonneres på.

6.     Brannmur

Alle sluttbruker-PC’er bør ha brannmur aktivert, både når de er koblet til organisasjonens nettverk eller på andre nettverk. Det er som regel lite behov for direkte kobling til sluttbruker-PCer annet enn for support eller kommunikasjon med eventuelle lokale agenter på maskinene. I Windows-miljøer kan brannmur styres gjennom Group Policy, og generelle brannmurregler bør rulles ut til alle klienter.

7.     Overvåking

Alle maskiner i organisasjonen bør overvåkes sikkerhetsmessig. Ved begrensede ressurser må det gjøres en risiko- og ressursmessig vurdering av hva som skal overvåkes. Flere og flere sikkerhetsverktøy fokuserer nå på å overvåke basert på unormal aktivitet. Som eksempel kan det være angrepsaktivitet hvor Outlook starter et command prompt for å så skrive til registeret. Det er ikke normal sluttbrukeraktivitet, og vil kunne avdekkes ved god overvåkning av sluttbruker-PCer. Det anbefales å overvåke aktivitet mot filservere. Et kryptovirus vil generere store mengder trafikk og vil hos de fleste skille seg klart ut bare basert på mengden trafikk og hvor mange filer den infiserte PCen aksesserer. Det er da viktig å kunne detektere PCen som utfører aktiviteten og enten sperre nettverkstilgangen eller skru av den aktuelle PCen.

8.     Reaksjonsmuligheter

Organisasjoner må i stadig større grad se på sine muligheter for å reagere på angrep. Angrep som kryptovirus skjer svært raskt og kan medføre stor skade. Reaksjonsevne koblet med god overvåking gjør at angrep kan håndteres. Det må da etableres klare varslingsrutiner ved mistanke om hendelser samt planer for håndtering. Om organisasjonen har tekniske muligheter for å isolere PCer, så bør dette innlemmes i rutinene, slik at personell ikke trenger å få fysisk tilgang til maskinen for å stoppe angrepet. Det kan ofte være raskere å stenge ute maskiner teknisk enn fysisk.

9.     Herding

Maskiner bør herdes for å være mer robuste mot angrep. WannaCry sprer seg eksempelvis via SMB (Windows fildeling), og om denne tjenesten ikke benyttes i organisasjonen, så bør dette skrus av, i alle fall begrenses hvem som kan benytte tjenesten. Ved support vil typisk supportavdelingen i IT kunne ha behov for å benytte SMB inn mot en sluttbruker-PC, mens andre sluttbrukere sjelden eller aldri har behov for å benytte SMB direkte mellom sine maskiner.

10. Eldre systemer

Mange organisasjoner har eldre systemer som har avhengigheter som gjør at de ikke kan oppdateres enkelt, det gjelder også programvare som Java, Flash og andre komponenter. Om disse systemene ikke kan oppdateres, så bør de enten herdes om det er mulig eller segregeres fra andre systemer. Gode mekanismer for segregering er brannmursoner og eksempelvis kun eksponere webgrensesnitt om systemet benytter det. For typiske tykklientapplikasjoner kan Citrix eller tilsvarende løsninger for å presentere applikasjon være en god sikkerhetsmekanisme.

11. Backup

For de fleste organisasjoner som blir infisert, er gjenoppretting av filer beste løsning etter at infeksjonen har blitt håndtering. Det er da essensielt å kunne ha backup av filer til en løsning som ikke er mulig å nå direkte fra klienter og servere. Backupløsning bør være på separate nettverk eller tilstrekkelig beskyttet på andre vis. Backupløsningen bør kunne støtte gjenoppretting av data basert på gitte tidspunkt. Filer bør da kunne gjenopprettes basert på et tidspunkt hvor organisasjonen vet at filene ikke var kryptert. Avhengig av når angrepet skjer, kan dette være mer eller mindre arbeidsintensivt, basert på hvor mye filer organisasjonen endrer og oppretter på filområder.

12. Kontroll på lagring

Det er flere eksempler hvor sluttbrukere har lagret alt sitt arbeid på sin egen PC, og ikke på dedikerte områder eller løsninger tilhørende organisasjonen. Sluttbruker-PCer er ofte ikke gjenstand for regelmessig backup. I disse tilfellene har opptil flere års arbeid gått tapt. Løsningen i enkelte av tilfellene i Norge har vært å betale løsepenger, noe det anbefales å ikke gjøre så fremt det finnes alternative løsninger.

Bruk av dedikerte lagringsløsninger for lagring gjør det enklere for organisasjonen å etablere et hensiktsmessig sikkerhetsregime for å beskytte organisasjonens filer og informasjon.

Like viktig som å regelmessig ta – og å ta vare på – backup slik at ikke backup rammes av virus, er å sikre og regelmessig teste at restore lar seg gjøre.  Det er mange virksomheter som har oppdaget at når backup skal legges tilbake etter en sikkerhetstruende hendelse så fungerer det ikke, eller de innser at de løsninger de har valgt gjør at restore er så tid- og ressurskrevende at de knapt klarer å holde tritt med generering av virksomhetens nye data.  Det kan være svært problematisk for virksomheter som er avhengige av at transaksjonskjeder er korrekte, og der feil kan lede til at de lever i uvisse om for eksempel lagerbeholdninger, kontobeholdninger eller annen virksomhetskritisk informasjon inntil integriteten er fullstendig reetablert.

13. Sluttbrukere

Angripere er avhengige av å finne sårbarheter i systemet som angripes før viruset kan gjøre skade og spre seg videre.  I tillegg til tekniske sårbarheter som kan føre viruset inn automatisk, så benytter bakmennene for WannaCry seg fremdeles også av det klassiske trikset å lure mottakere på innsiden av en virksomhets nettverk til å klikke på en lenke vedlagt i en epost.  Gjøres dette så lastes virusets payload ned, før denne straks begynner å gjøre skade.  I og med at dette konkrete viruset kan spre seg selv gjennom nettverket når det først er inne, så behøver angriperne i dette tilfellet altså kun å lure én person til å klikke på den farlige lenken, og dermed er angrepet i full gang med å ødelegge virksomhetens data.  I organisasjoner med mange medarbeidere er det ren statistikk at noen sannsynligvis vil klikke på slike tvilsomme lenker, enten i ren vanvare, men også mot bedre vitende.

Brukerbevissthetsopplæring vil kunne gi effekt mot det siste, ved å få folk til å tenke seg om før de klikker, samt utvise generelt IT- og nettvett, men slik opplæring er et tiltak med kortvarig effekt.  En kompliserende faktor her er at eposter fra kriminelle tidligere gjerne hadde ubehjelpelig språk oversatt ord for ord fra engelsk.  Det gjorde at det var lett å forstå at noe ikke stemte, og å få brukere til å stoppe opp og tenke seg om – eller kontakte brukerstøtte – i stedet for å klikke på lenkene.  Nå ser man at eposter med virus har blitt langt mer profesjonelle både i språk og form slik at de lett kan fremstå som legitime. Innholdet ser også ut som de kommer fra troverdige avsendere ved at det stemmer med hva mottakeren ville forvente å få fra den personen som angivelig er avsender.

Eirik har bakgrunn innen informasjonssikkerhet og har jobbet i både privat og offentlig sektor. Eirik rådgir kunder innen de fleste områder som favner inn under sikkerhet, men har en forkjærlighet for sikkerhetsarkitektur, personvern og applikasjons- og infrastruktursikkerhet

1 thought on “Hvordan kan virksomheter sikre seg mot løsepengevirus?

Legg inn en kommentar