Den estimerte kostnaden er hentet fra følgende kilde: https://purplesec.us/resources/cyber-security-statistics/ransomware/

Ryuk angrepet er rapportert til å stå bak hvert tredje ransomware angrep som skjer i verden i dag. Noen av bedriftene som enten er bekreftet eller ryktet å være rammet er Sopra Steria (den franske delen av selskapet), Universal Health Services og Tribune Publishing. Wizard Spider, gruppen som utfører ransomware angrepene, ryktes å allerede i januar 2019 ha tjent nesten 28 milliarder norske kroner på angrepet.

Jeg har jobbet 5 år som sikkerhetstester, og før det tatt en doktorgrad i kryptografi. I denne bloggen skal jeg forsøke å beskrive på overordnet nivå hvordan angrepet foregår, før jeg i to kommende bloggposter tar for meg angrepet på et mer detaljer teknisk nivå og hvilke tiltak du kan bruke for å beskytte deg mot angrepet.

Så hvordan foregår Ryuk angrepet?

Det første som er viktig å notere seg er at angrepet er ikke hel-automatisert som en del andre ransomware angrep man ser. Her sitter det faktisk folk og bruker tid på å finne ut hvordan de kan angripe hver enkelt bedrift. Når det er sagt, bruker de en del faste teknikker for å raskt kunne utføre angrepet.

Første steg er å få et fotfeste host organisasjonen de angriper. Med fotfeste mener jeg en eller annen form for kontroll på en maskin som står i organisasjonens nettverk. Den mest brukte og effektive måten er ved såkalt spear phishing. Dette er målrettede phishing angrep som angriper spesifikke personer eller spesifikke grupper av personer i bedriften.

Det kan ikke sies for ofte, tenkt deg om en ekstra gang før du trykker på en link. Sjekk hvor den er fra og sjekk hvor den tar deg! Bedriften er ikke sterkere enn sitt svakeste ledd når det gjelder sikkerhet. Der er også så viktig at hver enkelt tørr å melde ifra hvis de har trykt på en lenke de ikke helt vet hva er, eller hvis de har åpnet ett vedlegg som oppførte seg litt rart. Det kan skje med alle, og det er ikke flaut! Ta kontakt med sikkerhets- eller IT-avdelingen i din bedrift, så får du helt sikkert god hjelp til å finne ut om noe farlig har skjedd.

Målet er å ta full kontroll over alle maskinene i nettverket.

Etter ett vellykket spear phishing angrep, begynner angriperne å samle inn data om organisasjonens interne nettverk, brukere, brukergrupper og maskiner. De er spesielt interessert i informasjon om høy-privilegerte administrator kontoer. Etter å ha samlet inn informasjonen, analyserer de den og finner mulig måte å elevere sine rettigheter i nettverket. Målet er å ta full kontroll over alle maskinene i nettverket.

Det viktigste verktøyet de bruker etter å ha fått fotfeste og utført informasjonsinnhenting er Cobalt Strike. Dette verktøyet brukes for å kontrollere maskinen(e) de har fått kontroll over, fra utsiden. Med Cobalt Strike kan de enklere utføre mer omfattende informasjonsinnhenting, søke etter sårbarheter i systemene og utføre nye angrep for å enten øke rettighetene på maskinen de er eller ta kontroll over andre maskiner i nettverket.

Når angriperne har fått tilstrekkelig kontroll i nettverket, vil de kartlegge videre for å avgjøre hvilke forsvarsmekanismer som må omgås for å spre skadevaren. Her vil blant annet ting som hvilken antivirusløsning og hvilket verktøy for nettverksmonitorering som brukes være informasjon de er ute etter. Skadevaren vil så tilpasses til å omgå disse forsvarsmekanismene, før den blir forsøkt plassert ut på så mange maskiner som mulig i forkant av kjøring.

Når angriperne har fått plassert ut skadevaren på nok maskiner, er det klare for kjøring. Da vil de forsøke å kjøre skadevaren samtidig på alle maskinene. Hvis de lykkes vil da maskinene som har blitt infisert bli kryptert, og mest sannsynlig vil angriperne tilby å sende deg dekrypteringsnøkkel eller dekrypteringsprogram.

Husk at etter at du har betalt, så har du vist din betalingsvilje.

Skulle man ikke ha tilstrekkelig backup av maskinene, kan det være fristende å betale. Min sterke anbefaling er å ikke gjøre det. Du har ingen garanti for at dekrypteringsnøkkel eller dekrypteringsprogram faktisk fungerer. Du har ingen garanti for at angriperne ikke har beholdt kontroll i nettverket ditt, eller at de ikke klarer å finne nye måter å angripe deg på. Selv om du har gjort tiltak som vil stoppe angrepet som rammet deg til å begynne med.

Husk at etter at du har betalt, så har du vist din betalingsvilje. Da er det fristende for angriperne å forsøke å angripe deg igjen, for å forsøke å få deg til å betale en gang til.

Dette var første blogg post i en serie på 3 bloggposter. I neste blogg post går jeg litt dypere ned i de teknisk detaljene av hver fase i et typisk angrep, og forsøker å se litt på hvilke indikatorer man kan bruke for å oppdage et slikt angrep. I den siste bloggen skal jeg forsøke å komme med råd til hva man som bedrift kan gjøre for å beskytte seg mot angrepet.