Insight

Hvilke typer af malware skal du kunne håndtere effektivt?

Ransomware, som vi kender det i dag, startede i 2013 med Cryptolocker, som var kendetegnet ved distribution hovedsageligt over eksisterende botnet og med relativt små løsesummer på omkring 1.200 kr. Derefter kom CryptoWall i 2014. Herefter begyndte Ransomware-as-a-Service (RaaS) at udvikle sig, så nogle grupper udviklede ransomwarekoden, mens andre distribuerede den.

 
I 2015 kom også SamSam-ransomwaren, hvis ofre bl.a. var amerikanske hospitaler og myndigheder, og det varede til 2018, hvor de iranske bagmænd blev tiltalt. Spredningen af SamSam var usædvanlig, fordi den i modsætning til andre ransomwaretyper, der bruge spam-e-mails og botnets, gjorde brug af sårbarheder på servere og bruteforce på ubeskyttede porte som RDP. De følgende actions til lateral spredning gjorde brug af traditionelle værktøjer som fx mimikatz og PsExec, hvilket gjorde det muligt at sprede ransomware dybere og bredere i virksomheders it-infrastruktur. I den forbindelse steg løsesummen markant, op imod 400.000 kr. 


Herefter fulgte Locky i 2016, og i 2017 fulgte tre kendte ransomwaretyper, nemlig WannaCry, NotPetya og Bitpaymer. I 2018 fulgte GrandCrab og Ryuk vor løsesummen nu steg til mange millioner. I 2019 fulgte annonceringen af REvil og MAZE blog, hvor stjålne data fra ofrene udstilles på såkaldte ”Shamin sites”. Denne tendes er fortsat i 2020 med REvil og DoppelPaymer, som nu også bruger disse udstillings-websites i et aktions-format, hvor andre kan byde på oplysningerne.


Denne udvikling af ransomware har ført til meget store omkostninger for de ramte virksomheder, og eksemplerne på omkostningerne i multimillionklassen er mange:

  1. ISS, februar 2020, 500+ mio. kr.
  2. Demant, september 2019, 500+ mio. kr.
  3. Norsk Hydro, marts 2019, 400+ mio. kr.
  4. Mærsk, februar 2017, 1,2-3 mia. kr.

Disse tal skal ses i forhold til de største omkostninger til betaling af løsesum, som ligger mellem 2,5 og 65 mio. kr. (Garmin i 2020). Det er altså ikke selve løsesummen, der koster, men følgerne ved angrebet – især hvis offeret ikke betaler og ikke får sine data og systemer igen. Den gennemsnitlige ransomware løsesummen er nu steget til 1,5 mio. kr. 


Det er muligt at følge med i, hvilke malware- og ransomwaretyper der dominerer trusselslandskabet, fx via trusselsindekset hos Imperva, på basis af land og industri. De malwarefamilier, som i øjeblikket dominerer, er:

  1. Emotet – en trojaner, som typisk spredes via e-mail (Sophos forklaring).
  2. Trickbot – en trojaner, som typisk rettes mod den finansielle sektor (Sophos forklaring).
  3. Formbook – en malware, som stjæler følsomme oplysninger (CrowdStrike forklaring).
  4. Dridex – en malware rettet mod Windows platform som spredes via e-mail (CrowdStrike forklaring)
  5. XMRig – CPU crypto valuta mining (CrowdStrike forklaring)
  6. Qbot – en trojaner, som typisk er rettet mod banker med indbygget stealth-funktioner (CrowdStrike forklaring)
  7. Hiddad – Android-malware (Sophos forklaring)
  8. RigEK – Brugersårbarheder i Flasj, Java og Silverlight samt Internet Explorer (Sophos forklaring)
  9. Ramnit – Trojaner, som er rettet mod banker og stjæler følsomme data (Malwarebytes forklaring)
  10. Glupteba – botnet (Malwarebytes forklaring). 
  11. I Danmark har vi bl.a. observeret angreb fra DoppelPaymer, Emotet og Ryuk med Wizard Spider, Indrik Spider og Doppel Spider som de oftest sete grupper. CFCS har lavet en rigtig god oversigt, som du evt. kan læse.

Du kan bl.a. læse mere om dette på Center for Cybersikkerhed og Checkpoint.
 


Anbefalingen til mitigering afhænger af, hvilken kilde du bruger, men de har alle rod i CIS, hvor denne artikel beskriver, hvad du bør gøre.

  • CIS 10 Backup!
  • CIS Control 1.4: Maintain Detailed Asset Inventory
  • CIS Control 2.1: Maintain Inventory of authorized Software
  • CIS Control 2.2: Ensure software is supported by vendor
  • CIS Control 2.6: Address unapproved software
  • CIS Control 3.4: Deploy Automated Operating System Patch Management Tools
  • CIS Control 3.5: Deploy Automated Software Patch Management Tools
  • CIS Control 8.2: Ensure Anti-Malware Software and Signatures are Updated
  • CIS Control 13.1: Maintain an Inventory of Sensitive Information
  • CIS Control 13.2: Remove Sensitive Data or Systems Not Regularly Accessed by Organization
  • CIS Control 14.6: Protect Information through Access Control Lists
  • CIS Control 17.3: Implement a Security Awareness Program
  • CIS Control 17.6: Train Workforce on Identifying Social Engineering Attacks.

Center for Cybersikkerhed har følgende anbefalinger:


Fokuser på følgende teknikker som starten på et angreb (links til MITRE ATT&CK):

  • Phishing (T1566 – ”Phishing”)
  • Drive-by websider (T1189 – “Drive-By Compromise”)
  • Supply chain (T1199 – ”Trusted Relationship” + T1195 – “Supply Chain Compromise”)
  • Fjernadgang (T1133 – ”External Remote Service”)
  • Eksternt medie (T1190 – ”Exploit External Facing Application”)
  • Sårbarhed (T1078 – ”Valid Accounts”).

Med følgende mitigeringer (links til MITRE ATT&CK):

  • M1015: Følg bedste praksis for at sikre AD, og implementer Windows Security Baselines
  • M1013: Sikre passwords (LastPass / ManageEngine PasswordManager / Thycotic Secret Server)
  • M1016: Sårbarhedsscanning og mitigering (Tenable.IO / ManageEngine Vulnerability Manager)
  • M1017: Brugertræning/Awareness (ProofPoint PSAT/Wombat)
  • M1018: Bruger- og rettighedshåndtering (Thycotic Secret Server)
  • M1021: Adgang til webbaseret indhold (Thycotic Secret Server - CASB)
  • M1022: Begrænse fil-og folderrettigheder (SolarWinds ARM, ManageEngine ADAudit)
  • M1024: Begrænse rettigheder til registreringsdatabasen
  • M1025: Bevar integriteten af privilegerede processer
  • M1026: Privilegeret kontoadministration/PAM (Thycotic Secret Server)
  • M1027: Passwordpolitikker
  • M1028: OS-konfiguration (CIS Benchmarks og Tenable.SC / .IO)
  • M1030: Netværkssegmentering (din firewallleverandør)
  • M1031: Systemer til forebyggelse af netværksindtrængen (IPS)
  • M1032: Flerfaktorgodkendelse (CISCO DUO)
  • M1034: Begræns hardwareanvendelse (ManageEngine Device Control)
  • M1035: Begræns adgang til ressourcer over netværket
  • M1036: Regler for brugerkonti
  • M1037: Filtrer netværkstrafik (ManageEngine Firewall / Netflow Analyzer)
  • M1042: Deaktiver eller fjern funktionalitet/program (ManageEngine Desktop Central)
  • M1043: Beskyttelse af kontooplysninger (Thycotic Secret Server)
  • M1045: Signering af kode
  • M1047: Audit (Deloitte-service)
  • M1048: Applikationsisolering (ManageEngine Application Control)
  • M1049: Antivirus/antimalware (Sophos / CrowdStrike)
  • M1051: Softwareopdatering (ManageEngine PatchManager/DesktopCentral)
  • M1052: Brugeradgangskontrol (Thycotic Secret Server)
  • M1053: Backup (Veeam).

 

Du kan læse videre om dette, på følgende links:


CISA Ramsomware guide 

CIS impact and controls

CIS Counter measures

CIS Security Primer

NoMorRansom – se, om du kan låse dine filer op uden at betale løsesummen

Bedste praksis for at sikre AD

Windows Security Baselines

Fandt du dette nyttigt?