Sikkerhedseksperter advarer om, at ofre for Ransomware-angreb SKAL ændre alle adgangskoder

Når en organisation er ramt af ransomware, er mange mennesker tilbøjelige til at tro, at det eneste, man skal bekymre sig om, er at gendanne data så hurtigt som muligt. Tidligere denne uge fortalte cybersecurity-reporter Brian Krebs historien om et ransomware-angreb på en it-tjenesteudbyder, der kaldes Virtual Care Provider Inc. (VCPI), og i processen viste han os, hvor mange andre faktorer der kommer ind i spille, når hackerne holder andres data som gidsler.

Vi bør sandsynligvis starte med det faktum, at VCPI leverer tjenester til mere end 100 plejehjem og sundhedsfaciliteter i 45 stater. Det skulle ikke være for svært at se, at forstyrrelse af en sådan virksomheds IT-infrastruktur kunne være ganske ødelæggende, men det virkelige omfang af faren bliver ikke synlig, før du ser på, hvordan angrebet udspiller sig.

Det blev først bemærket i de tidlige timer af 17. november om morgenen, da angriberen frigav Ryuk ransomware på VCPIs netværk. Kort efter blev alle de data, der leveres af cloud-tjenesteudbyderen, krypteret, og VCPI fik at vide, at det kan have den nøgle, der låser op for filerne, hvis den udbetaler en svimlende $ 14 millioner $ bitcoin. Det er en temmelig stor løsepenge, men så igen, så er mængden af data der blev holdt som gidsler.

Angrebet havde en forfærdelig indvirkning på VCPI og dets kunder

VCPIs kunder mistede adgangen til alt fra e-mail, via telefon- og faktureringssystemer til lønningsoperationer. Patientjournaler var utilgængelige, og nogle læger var ikke i stand til at afgive ordrer på vitale lægemidler på grund af angrebet, hvilket betød, at ransomware-infektionen for nogle patienter kunne have haft fatale følger. Et par dage efter hændelsen fortalte Karen Christianson, VCPIs administrerende direktør Brian Krebs, at hendes firma ikke har ressourcer til at betale løsepenge, og at angrebet meget godt kunne betyde slutningen for datahostingsbranchen.

De oprindelige forudsigelser realiserede sig dog ikke. Selvom VCPIs kunder oplevede betydelige problemer i kølvandet på angrebet, lykkedes det hostingudbyderen at gendanne dataene. Sandsynligvis i et forsøg på at begrænse mængden af PR-skader, som VCPI led, bad Karen Christianson Brian Krebs om at skrive en opfølgningsrapport om, hvordan virksomheden kunne komme sig. Krebs accepterede at planlægge et interview, men kort tid efter aftale om dato og tid modtog han en e-mail, der straks fik hans opmærksomhed.

Omfanget af infiltrationen bliver synlig

Beskeden påstås at være fra et medlem af hacking-gruppen, der angreb VCPI, hvilket i det mindste for Brian Krebs ikke er virkelig så usædvanligt. E-mail-anmodningen var imidlertid temmelig mærkelig. Skæven bad Krebs om at minde VCPIs administrerende direktør om, at rabat-tilbudet på løsepenge var ved at udløbe.

Den påståede ransomware-operatør var på en eller anden måde blevet opmærksom på den planlagte samtale, og Krebs tvivlede på, at denne viden var baseret på gætteri. Cybersikkerhedsreporteren troede, at hackere udover ransomware havde brugt andre værktøjer, der havde givet dem adgang til VCPIs interne systemer og kommunikation. Krebs ringede til eksperter fra Hold Security og bad dem hjælpe ham med at få en bedre forståelse af omfanget af kompromiset.

Snart nok producerede undersøgelsen bevis for, at VCPIs infrastruktur først blev infiltreret tilbage i september 2018, mest sandsynligt med brugen af et ondsindet Word-dokument snoet med makroinstruktioner. Word-dokumentet downloadede Emotet, en malware-familie, der er kendt for sine ormlignende funktioner, der giver det mulighed for at bevæge sig sidelæns i et netværk.

Hackerne gik på en password-stjæle spree, før de implementerede Ryuk ransomware

Efter at have brugt Emotet til at etablere fodfæste i VCPIs netværk, indsatte skurkerne Trickbot - en bank-trojan hyldes for sin alsidighed og kraftfulde legitimationsstjælefunktioner. Hold Securitys eksperter lykkedes endda at aflytte nogen kommunikation mellem skurke, hvilket antyder, at under VCPI-angrebet blev brugernavne og adgangskoder for så mange som 300 websteder og online-tjenesteudbydere kompromitteret. Disse omfattede adgangskodeadministrationsplatforme, bank-, fakturerings- og lønningsportaler, receptpligtig administration og medicinsk forsyningstjenester, forsendelse og portokonti osv. Brian Krebs bragte beviserne op under interviewet med Karen Christianson, og selvom VCPI ikke har indrømmet det officielt tyder det faktum på, at interviewet pludselig sluttede kort efter det, på, at administrerende direktør ikke absolut havde nogen idé om tyveriet.

I et stykke tid har ransomware-operatører været fokuseret på organisationer snarere end slutbrugere. Vi taler ikke længere om manuskript-kiddies der ønsker at skabe en ødelæggelse og tjene et hurtigt penge. Nyere angreb udføres af sofistikerede hackingbesætninger, der har en hel del værktøjer og ressourcer til rådighed, og nogle gange er implementering af ransomware kun en lille del af hele operationen. Organisationer som VCPI skal lære, at hackere kan ramme på mange forskellige fronter, og at login-data ofte er den sproglige lavthængende frugt. Derfor, som Brian Krebs konkluderede i sin rapport, bør ændring af adgangskoder være højt på prioriteringslisten for ethvert firma, der har lidt et cyberattack, uanset om hændelsen involverede ransomware eller ej.

January 9, 2020

Efterlad et Svar