Et målrettet (cyber)angreb – mød hr. Tage Selversen

Enhver lighed med nulevende eller afdøde personer (eller eksisterende virksomheder) er utilsigtet.

En større dansk teknologivirksomhed har opfundet en revolutionerende pumpe lavet af genbrugsplast og drevet af solceller, hvilket gør den lydløs og gratis at drive. Pumpen leveres med livstidsgaranti og en MTBF på 100 år. Virksomheden er i den afsluttende udviklingsfase og arbejder med planer om at markedsføre dette unikke produkt verden over.

En konkurrerende udenlandsk virksomhed har via det mørke net fået nys om den revolutionerende pumpe, som helt sikkert vil påvirke ikke bare virksomhedens mulighed for at sælge sine egne produkter, men også hele pumpemarkedet. Denne virksomhed har derfor hyret Tage Selversen – også gennem det mørke net – til at skaffe så mange oplysninger om den danske virksomhed og deres pumpe som muligt.

Tage Selversen har lavet en grundig undersøgelse af den danske virksomhed og fundet ud af, at direktøren, Niels Vedbedst, er meget glad for motion – især cykling. Ad den vej er det lykkedes for Tage at blive venner med direktøren via LinkedIn og Facebook (Recon). Niels har ikke sponsoreret virksomhedens awareness-program (for folk klikker jo alligevel), og han mener selv, at awareness-kampagner (CIS #17) er spild af tid i en ingeniørdrevet virksomhed.

Via Facebook finder Tage Selversen ud af, at Niels Vedbedst om vinteren motionerer hver onsdag aften kl. 18 i fitnesscenteret Sved det væk, så han venter i sin egen bil på parkeringspladsen, indtil han spotter Niels i sin lidt ældre Mercedes. Niels bruger lige computeren til at svare på et par e-mails, før han lukker computeren, men uden at logge af. Computeren lægges i mappen, som placeres i det låste bagagerum, så den ikke er synlig på bagsædet.

Niels låser bilen med fjernbetjeningen og bemærker naturligvis ikke, at Tage Selversen har en nøglescanner, der opfanger og kopierer Niels Vedbedsts fjernbetjening. Da Niels Vedbedst er sikkert inde i cykelparadiset (1½ time), låser Tage Selversen Niels Vedbedsts bagagerum op og ”låner” mappen med computeren. Han sætter sig i sin egen bil og åbner uopdaget Niels Vedbedsts computer.

Direktørens computer kører en ældre udgave af Windows (CIS #2) uden kontrol med USB-stikket (CIS #8). Via et stykke malware på et USB.stik og noget lettilgængeligt software (fx Mimikatz) får Tage Selversen logget sig ind på Niels Vedbedsts computer. Computerens OS er ikke opsat efter bedste praksis (CIS #5 og CIS Bench Marks) og indeholder en sårbarhed (CIS #3), som Tage Selversen kan udnytte til at elevere Niels Vedbedsts brugerkonto (den har ikke lokale admin rettigheder CIS #4) til admin og installere en RAT, der gør Niels Vedbedsts laptop til en del af et botnet med C&S-kommunikation (CIS #8 og #12). Tage logger af og slukker computeren (hvilket Niels Vedbedst aldrig bemærker, da han antager, at laptoppen er løbet tør for strøm i det kolde bagagerum), placerer den i mappen og lægger den tilbage i Niels Vedbedsts bagagerum.

Niels Vedbedst bringer sin kompromitterede laptop tilbage – først i privaten og næste morgen i virksomhedens usegmenterede net (CIS #14). På det private netværk spredes malware til familiens computere, som alle har lokale admin-rettigheder, hvilket senere kan bruges til at afpresse familien.

I virksomheden spredes malwaren (horisontalt og vertikalt – helt til domaincontrollerne) og ligger skjult på mange af medarbejdernes computere og nogle af serverne. Formålet med malwaren er i første omgang at finde så mange (ukrypterede og derfor helt ubeskyttede) følsomme data som muligt (CIS #13), herunder informationer om den danske virksomheds nye revolutionerende pumpe og eksfiltrere (sende dem ud af virksomheden) dem ubemærket til det mørke net, hvor de kan sælges til udenlandske (og andre) virksomheder. Dette opdages aldrig, da den danske virksomhed ikke har et effektivt SIEM-system (CIS #6) eller mulighed for at spore afvigende adfærd (CIS #16).

Da alle oplysninger er stjålet, sælger Tage Selversen adgangen til den danske virksomhed på det mørke net til en kriminel gruppe, der gennemfører et ransomware-angreb på virksomheden. Den danske virksomhed har sin backup (som aldrig rigtigt er testet) liggende på en server på netværket, som også krypteres (CIS #10). Da alle computere på virksomhedens netværk låses (fredag eftermiddag i weekenden op til juleaften), er det op til virksomhedens incident response-plan (som aldrig rigtigt er effektivt gennemtestet CIS #19) at få virksomheden tilbage i drift – stadig uvidende om, at de følsomme data allerede er stjålet – så ransomware-angrebet er nærmest en afledningsmanøvre.

Her tilkaldes oftest eksterne eksperter (fx fra Deloittes IR-team) til at redde virksomheden, og omkostningerne ved et sådant angreb kan løbe op i millioner af kroner og i værste tilfælde lukke virksomheden. Et gennemsnitligt databrist baseret på cyberangreb i Skandinavien koster ca. 15* millioner kr. og er uopdaget i flere måneder (dwell time**). Fra det første breach (af Niels’ computer i træningscenteret Sved det væk) til, at alle følsomme data om bl.a. pumpen er lækket på det mørke net, kan der gå meget kort tid – fx under en uge. Fra den kriminelle gruppe, der har købt adgang til den danske virksomhed, beslutter sig for at starte ransomware-angrebet, til alle virksomhedens applikationer og computere er sat ud af drift, kan der gå under en time – nogle gange kun minutter…

Kan din virksomhed forsvare sig i dette scenarie? Det ved du kun ved at trykprøve virksomhedens it-sikkerhed, og ved at lave pentest og incident response-øvelser.

Dette kunne være undgået og opdaget, eller konsekvenserne kunne være blevet minimeret, hvis virksomheden havde fulgt og implementeret anbefalingerne fra CIS-kontrollerne og havde et tilstrækkeligt cyberberedskab. Herunder Incident Response og målbare trykprøvninger, i form af test af fx:

• Laptops
• E-mailsikkerhed og phishingtests
• Netværkssegmentering
• SIEM-system
• Awareness-træning
• Sikker opsætning af AD og implementering af minimumsrettigheder

Hør mere om disse begreber og koblinger på vores webinar om trykprøvning af it-sikkerhed, som afholdes den 25. marts kl. 10-11.30. Tilmeld dig her.

*Se IBM ”The Cost of a databreach”

**Se Mandiant mTrends og Verizon DBIR rapporter for 2020.