Säkerhetsexperter varnar för att offer för Ransomware-attacker måste ändra alla lösenord
När en organisation drabbas av ransomware tenderar många att tro att det enda man ska oroa sig för är att återställa informationen så snabbt som möjligt. Tidigare denna vecka berättade dock cybersecurity-reportern Brian Krebs historien om en ransomware-attack på en IT-tjänsteleverantör som heter Virtual Care Provider Inc. (VCPI), och under processen visade han oss hur många andra faktorer som kommer in spela när hackarna håller andras datagissage.
Vi borde förmodligen börja med att VCPI tillhandahåller tjänster till mer än 100 vårdhem och vårdinrättningar i 45 stater. Det borde inte vara för svårt att se att det kan vara ganska förödande att störa IT-infrastrukturen för ett sådant företag, men den verkliga omfattningen av faran blir inte uppenbar förrän du tittar på hur attacken utspelade sig.
Det märktes först under de tidiga timmarna av 17 november morgonen när angriparna släppte ut Ryuk ransomware på VCPI: s nätverk. Strax efteråt krypterades all information som levereras av molntjänstleverantören och VCPI fick höra att den kan ha nyckeln som låser upp filerna om den betalar ut en häpnadsväckande bitcoin värd $ 14 miljoner. Det är en ganska stor lösen, men sedan igen, så är mängden data som hölls gisslan.
Table of Contents
Attacken hade en fruktansvärd inverkan på VCPI och dess kunder
VCPI: s kunder förlorade tillgången till allt från e-post, via telefon- och faktureringssystem, till lönearbeten. Patientjournalerna var otillgängliga, och vissa läkare kunde inte beställa viktiga läkemedel på grund av attacken, vilket innebar att ransomware-infektionen för vissa patienter kunde ha fått dödliga konsekvenser. Några dagar efter incidenten berättade Karen Christianson, VCPI: s VD till Brian Krebs att hennes företag inte har resurser att betala lösen och att attacken mycket väl skulle kunna stava slutet för datahostverksamheten.
De ursprungliga förutsägelserna gick dock inte. Även om VCPIs kunder upplevde betydande problem i anledningen till attacken lyckades värdleverantören återställa data. Förmodligen i ett försök att begränsa mängden PR-skada som VCPI lidit bad Karen Christianson Brian Krebs att skriva en uppföljningsrapport om hur företaget återhämtade sig. Krebs gick med på att schemalägga en intervju, men kort efter att datum och tid överenskom, fick han ett e-postmeddelande som omedelbart fick uppmärksamhet.
Infiltrationens omfattning blir uppenbar
Meddelandet påstods att vara från en medlem av hacking-gruppen som attackerade VCPI, vilket åtminstone för Brian Krebs inte är så ovanligt. E-postens begäran var dock ganska konstig. Skurken bad Krebs att påminna VCPI: s VD att rabattbjudandet på lösgörandet var på väg att löpa ut.
Den påstådda ransomware-operatören hade på något sätt blivit medveten om den schemalagda intervjun, och Krebs tvivlade på att denna kunskap var baserad på gissningar. Cybersäkerhetsreporteren trodde att hackarna förutom ransomware hade använt andra verktyg som gav dem tillgång till VCPI: s interna system och kommunikation. Krebs ringde experter från Hold Security och bad dem hjälpa honom att få en bättre förståelse av kompromissens omfattning.
Snart nog producerade utredningen bevis för att VCPIs infrastruktur först infiltrerades långt tillbaka i september 2018, troligen med användning av ett skadligt Word-dokument spetsat med makroinstruktioner. Word-dokumentet laddade ner Emotet, en skadlig familj som är känd för sina maskliknande funktioner som gör det möjligt att röra sig åt sidan i ett nätverk.
Hackarna gick på en lösenordsstjällande spree innan de implementerade Ryuk ransomware
Efter att ha använt Emotet för att upprätta fotfäste i VCPI: s nätverk, distribuerade skurkarna Trickbot - en bank-trojan hyllas för sin mångsidighet och kraftfulla förmåga att stjäla referenser. Hold Securitys experter lyckades till och med avlyssna viss kommunikation mellan skurkar, vilket antyder att under VCPI-attacken kom användarnamn och lösenord för så många som 300 webbplatser och onlinetjänsteleverantörer komprometterade. Dessa inkluderade lösenordshanteringsplattformar, bank-, fakturerings- och löneportaler, recepthantering och medicintekniska tjänster, frakt- och portokonton etc. Brian Krebs tog upp bevisen under intervjun med Karen Christianson, och även om VCPI inte har medgett det officiellt tyder det faktum på att intervjun slutade brått kort efter det tyder på att VD absolut inte hade någon aning om stölden.
Under ett tag har ransomware-operatörer varit fokuserade på organisationer snarare än slutanvändare. Vi pratar inte längre om manus-kiddies som vill göra lite förödelse och få ett snabbt pengar. Nyare attacker utförs av sofistikerade hackande besättningar som har en hel del verktyg och resurser till sitt förfogande, och ibland är att distribuera ransomware bara en liten del av hela operationen. Organisationer som VCPI måste lära sig att hackare kan slå på många olika fronter, och att inloggningsdata ofta är den ordspråkiga låghängande frukten. Det är därför, som Brian Krebs drog slutsatsen i sin rapport, att byta lösenord bör vara högt på prioriteringslistan för alla företag som har drabbats av ett cyberattack, oavsett om händelsen involverade ransomware eller inte.
