Sikkerhetseksperter advarer om at ofre for Ransomware-angrep MÅ endre alle passord

Når en organisasjon blir rammet av ransomware, er det mange som tror at det eneste å bekymre seg for er å gjenopprette dataene så raskt som mulig. Tidligere denne uken fortalte cybersecurity-reporter Brian Krebs historien om et ransomware-angrep på en IT-tjenesteleverandør som heter Virtual Care Provider Inc. (VCPI), og i prosessen viste han oss hvor mange andre faktorer som kommer inn spille når hackerne holder andres data som gisler.

Vi bør nok starte med at VCPI leverer tjenester til mer enn 100 sykehjem og helsetjenester i 45 stater. Det burde ikke være for vanskelig å se at det kan være ganske ødeleggende å forstyrre IT-infrastrukturen til et slikt selskap, men farens virkelige omfang blir ikke tydelig før du tar en titt på hvordan angrepet utspilte seg.

Det ble først lagt merke til i de tidlige timene av 17. november morgen da angriperne løsnet Ryuk ransomware på VCPIs nettverk. Kort tid etter ble alle dataene som leveres av skytjenesteleverandøren kryptert, og VCPI ble fortalt at den kan ha nøkkelen som låser opp filene hvis den betaler ut en svimlende bitcoin verdi på $ 14 millioner. Det er et ganske stort løsepenger, men så igjen, så er datamengden som ble holdt som gissel.

Angrepet hadde en forferdelig innvirkning på VCPI og dets kunder

VCPIs kunder mistet tilgangen til alt fra e-post, via telefon- og faktureringssystemer, til lønnsoperasjoner. Pasientjournaler var utilgjengelige, og noen leger klarte ikke å gi ordre om viktige medikamenter på grunn av angrepet, noe som medførte at ransomware-infeksjonen for noen pasienter kunne ha hatt fatale konsekvenser. Få dager etter hendelsen fortalte Karen Christianson, administrerende direktør i VCPI, til Brian Krebs at selskapet hennes ikke har ressurser til å betale løsepenger, og at angrepet veldig godt kan bety slutten for datahostingsvirksomheten.

De første spådommene ble imidlertid ikke realisert. Selv om VCPIs kunder opplevde betydelige problemer i kjølvannet av angrepet, klarte vertsleverandøren å gjenopprette dataene. Sannsynligvis i et forsøk på å begrense mengden PR-skade VCPI led, ba Karen Christianson Brian Krebs om å skrive en oppfølgingsrapport om hvordan selskapet kom seg. Krebs gikk med på å planlegge et intervju, men kort tid etter at dato og tid ble avtalt, mottok han en e-post som fikk oppmerksomheten umiddelbart.

Omfanget av infiltrasjonen blir tydelig

Meldingen hevdet å være fra et medlem av hacking-gruppen som angrep VCPI, noe som i det minste for Brian Krebs ikke er så uvanlig. E-postens forespørsel var imidlertid ganske rart. Kroken ba Krebs om å minne VCPIs administrerende direktør på at rabatttilbudet på løsepengene var i ferd med å utløpe.

Den påståtte ransomware-operatøren hadde på en måte blitt oppmerksom på det planlagte intervjuet, og Krebs tvilte på at denne kunnskapen var basert på gjetting. Nettsikkerhetsreporteren mente at i tillegg til ransomware, hadde hackerne brukt andre verktøy som hadde gitt dem tilgang til VCPIs interne systemer og kommunikasjon. Krebs ringte eksperter fra Hold Security og ba dem hjelpe ham med å få en bedre forståelse av omfanget av kompromisset.

Snart nok ga etterforskningen bevis på at VCPIs infrastruktur først ble infiltrert helt tilbake i september 2018, mest sannsynlig med bruk av et ondsinnet Word-dokument ledsaget av makroinstruksjoner. Word-dokumentet lastet ned Emotet, en malware-familie som er kjent for sine ormlignende funksjoner som lar det bevege seg sidelengs i et nettverk.

Hackerne gikk på en passord stjele spree før de distribuerte Ryuk ransomware

Etter å ha brukt Emotet for å etablere fotfeste i VCPIs nettverk, distribuerte kjeltringene Trickbot - en banktrojaner hyllet for sin allsidighet og kraftige legitimasjons-stjele evner. Hold Securitys eksperter klarte til og med å avskjære noen kommunikasjon mellom kjeltringer, noe som antyder at under VCPI-angrepet ble brukernavn og passord for så mange som 300 nettsteder og online tjenesteleverandører kompromittert. Disse inkluderer passordhåndteringsplattformer, bank-, fakturerings- og lønnsportaler, reseptbehandling og medisinsk forsyningstjenester, frakt- og portokontoer, etc. Brian Krebs brakte bevisene under intervjuet med Karen Christianson, og selv om VCPI ikke har innrømmet det offisielt antyder det faktum at intervjuet brått kort tid etter det, at konsernsjefen absolutt ikke hadde noen anelse om tyveriet.

I en stund nå har ransomware-operatører vært fokusert på organisasjoner fremfor sluttbrukere. Vi snakker ikke lenger om manus-kiddies som ønsker å gjøre noe ødeleggelse og få en rask sum. Nyere angrep blir utført av sofistikerte hackingmannskaper som har ganske mange verktøy og ressurser til rådighet, og noen ganger er distribusjon av ransomware bare en liten del av hele operasjonen. Organisasjoner som VCPI må lære at hackere kan treffe på mange forskjellige fronter, og at innloggingsdata ofte er den ordspråklige lavthengende frukten. Derfor, som Brian Krebs konkluderte i sin rapport, bør endring av passord være høyt på prioriteringslisten for ethvert selskap som har lidd et cyberattack, uavhengig av om hendelsen involverte ransomware eller ikke.

January 9, 2020

Legg igjen et svar