Løsepengevirus er en form for utpressingsangrep som ødelegger eller krypterer filer og mapper og hindrer tilgang til kritiske data. Standard typer sprer seg som virus og infiserer enheter. Menneske-styrte løsepengevirus er et resultat av et aktivt innbrudd i virksomheten som via en vedvarende bakdør gir skurkene tastaturtilgang til maskiner. Du skal ikke betale utpresserne. Det ødelegger for forretningen deres. Det reduserer også faren for at du blir utsatt for nye angrep. Dessuten er det stadig flere virksomheter som ikke får tilbake data eller bare rundt 50–70 prosent av dem.
Den eneste beskyttelse som alltid vil virke, er å gjenopprette fra sikkerhetskopier. Men det er mye du kan gjøre for å forebygge et angrep. Sørg for årvåkenhetstrening, så ansatte ikke klikker på skadelige vedlegg og koblinger. Sett opp strikte regler for å sikre e-post og dokumenter. Hold all programvare kontinuerlig oppdatert. Reduser angrepsflaten på enheter og systemer. Fjern kjente sårbarheter og rett på feilkonfigurasjoner. Ta i bruk trusselintelligens og følg med på kampanjer som kan ramme organisasjonen din. Foreta en proaktiv trusseljakt og se etter indikatorer på kompromittering.
Utvikling av modeller for løsepengevirus
Løsepengevirus har eksistert i flere tiår. I stor skala tok forretningsmodellen av med CryptoLocker i 2013. WannaCry og (Not)Petya forente kompromitteringsteknikker med en krypteringsnyttelast som krevde løsepenger i bytte mot dekrypteringsnøkkelen. Neste generasjon er inspirert av disse og omtales som menneskestyrte løsepengevirus eller Human Operated Ransomware – et begrep preget av Microsoft. Den forener målrettede angrepsteknikker og utpressing som går på truende avsløring av data og/eller kryptering i bytte mot betaling.
Det som gjør menneskestyrte løsepengevirus annerledes, er at dette ikke er forhåndsprogrammerte angrep. De krever ikke at en bruker åpner et skadelig vedlegg eller klikker på en farlig kobling. Aktørene utnytter svakheter og sårbarheter i virksomhetens sikkerhet og bryter seg inn. Angriperne vil også forsøke å ødelegge alle sikkerhetskopier. Metoden likner mer på nasjonalstatsangrep ved å plante avanserte vedvarende trusler (APT), faste bakdører som et er vanskelig å bli kvitt. Å betale løsepenger fjerner ikke angriperen.
Standard og menneskestyrt løsepengevirus
Standard løsepengevirus rammer enkeltindivider og krever at de aktiveres av brukere ved å klikke på vedlegg eller lenker. Det gjelder å isolere enheter så kjapt som mulig. Antivirus med oppdaterte definisjoner – helst i kombinasjon med endepunktsbeskyttelse og respons (EDR) – vil ofte kunne hindre angrepet. Et aktivt løsepengevirus vil imidlertid ikke føre til en katastrofe for virksomheten. Du må fjerne skadevaren, for å være helt sikker reinstallere maskinen. Menneskestyrt løsepengevirus angriper hele virksomheten og får garantert katastrofale følger. Det foretas målrettede angrep, og motstanderen er vanskelig å fjerne.
Beskyttelse mot løsepengevirus på Windows
Windows 10 og 11 er sikre klientsystemer, men standardinnstillingene er av hensyn til bakover-kompatibilitet ikke de beste. Med Microsoft Intune kan du på en enkel måte herde og redusere angrepsflaten. Prinsippet er det samme som at det er lettere å kaste en ball mot et laken som henger på en vaskeline 10 meter unna enn et lommetørkle. Med maskinvarebasert isolering sikrer og opprettholder du integriteten til et system. Du kan kjøre Microsoft Edge i en isolert virtuell maskin for å beskytte deg mot ondsinnede nettsteder.
Applikasjonskontroll sørger for at programmene du bruker, eksplisitt er klarert (hvitelistet) – alt annet, inkludert løsepengevirus, er svartelistet. Utnyttelsesbeskyttelse bidrar til å beskytte operativsystem og apper mot å bli utnyttet. Nettverksbeskyttelse sikrer nettverkstrafikk og tilkoblingen til organisasjonens enheter. Kontrollert mappetilgang blokkerer skadelige eller mistenkelige apper fra å gjøre endringer i filer i de viktigste mappene dine. Enhetsbeskyttelse opererer på maskinvare-nivå og garderer blant annet mot DMA-angrep.
Angrepsflatereduksjon (Attack Surface Reduction – ASR) fjerner risikable eller unødvendige overflater og hindrer farlig kode i å kjøre. Det er en samlebetegnelse for mange innebygde funksjoner i Windows som bidrar til å redusere risikoen for at et angrep kan kompromittere enhetene dine. ASR-regler eller Regler for reduksjon av angrepsoverflaten tar sikte på å hindre spesifikke aktiviteter som ofte brukes i forskjellige typer angrep. De fleste dekker oppførselen til Microsoft Office-produkter, andre er mer generelle.
Lagdelt dybdeforsvar
Du bør følge føre-var-prinsippet og legge lag på lag i et dybdeforsvar for å bekjempe denne type angrep. Defender for Office 365 fanger opp phishing-e-post og hindrer deg i å åpne skadelige vedlegg. Defender for Endpoint beskytter enheter mot skadevare. Defender for Cloud utvider beskyttelsen til å omfatte multisky-miljøer og lokale servere. Azure AD Identity Protection garderer mot passordsprøyting og passordangrep med rå kraft. Defender for Identity oppdager og avverger cyberdrapskjeder i hybride miljøer.
Defender for Cloud sperrer for kommunikasjonen mellom trojanere som gir fjerntilgang og kommando-og-kontroll-servere, samt hindrer angripere i å få tilgang til sensitive data og eksfiltrering. I dag anbefaler rammeverkene for cybersikkerhet – National Institute of Standards and Technology (NIST), Center for Internet Security (CIS) og Nasjonal sikkerhetsmyndighet (NSM) – kontinuerlig overvåking med logg-aggregering og automatisering. Det krever i praksis en SIEM/SOAR-løsning som Microsoft Sentinel.
Sikkerhetskopiering og gjenoppretting
Microsoft 365 har en rekke mekanismer for å gjenopprette tapte data. I SharePoint og OneDrive for Business er det doble papirkurver som oppbevarer data i 93 dager. I Exchange er det mapper for slettede og gjenopprettbare elementer. Men sofistikerte angrep med løsepengevirus vil forsøke å slette alle data her. En fullgod beskyttelse får du først med en dedikert backup-løsning. Her er det viktig at trusselaktørene som har brutt seg inn i virksomheten, ikke har muligheten til å slette sikkerhetskopierte data.
Kontoen som gir tilgang til sikkerhetskopiene, må være beskyttet med sterk autentisering, noe som betyr langt passord og multifaktor-autentisering (MFA), helst passordløs godkjenning. Med Privileged Identity Management kan du ytterligere sikre brukeren. Større konserner godtar bare pålogging fra få administrative maskiner. Det benyttes teknologier som hindrer sletting av data. Folk av den gamle skole vil sikre seg en god natts søvn ved å ta med backuper hjem og legge dem under hodeputen.
Er du riktig heldig, vil du få opp meldingen ovenfor. Da får du gjenopprettet dokumenter i OneDrive fra før du ble angrepet. Men som regel vil aktørene enten slette versjonsloggene eller fylle dem opp med krypterte filer. I sistnevnte tilfelle vil rettslig sperre, som hindrer endringer, i praksis gjøre det umulig å hente tilbake data på den måten, for du vet ikke hva du skal se etter. Om tidligere versjoner er borte, kan rettslig sperre være en utvei, men det er tungvint.
En teknikk som ofte observeres ved angrep med løsepengevirus er at Windows Management Instrumentation (WMI) brukes for å slette skyggekopier. Kommandoen ser sånn ut:
Det kan vi benytte som indikator på kompromittering (IoC) og opprette en regel i Defender for Endpoint som kontrollerer om kommandoen kjøres, og kobler enheten fra nettverket. Koden i spørrespråket Kusto er sånn:
Koden er hentet fra Advanced Hunting på GitHub. Den sier: “Sjekk DeviceProcessEvents-tabellen for hendelsesoppføringer der prosessfilnavnet er som wmic.exe og hvor prosesskommandolinjen har strengene shadowcopy og delete.» På bakgrunn av denne koden oppretter vi en oppdagelsesregel (detection rule).
Trusselintelligens
Bekjempelse av løsepengevirus er langt mer enn å følge med på et antivirusprogram. Vi må benytte alle tilgjengelige midler. Trusselintelligens, som muligens burde oversettes med etterretning, er handlingsbasert informasjon om trusler. Vi får den gjennom delte kilder, sikkerhetsbulletiner, feeder, nyhetsbildet med mer. Vi må holde oss orientert om farer, se hva vi kan gjøre for å gardere oss og i verste fall hva vi må foreta oss om vi blir rammet.
Avsluttende ord
Det foregår angrep med løsepengevirus hvert 11. sekund. 80 prosent av dem er rettet mot sluttbrukere. I 2021 ble det rapportert over 18 000 kritiske sårbarheter. Mot denne bakgrunn bør du holde deg til Jack Reachers devise (Lee Child): «Håp på det beste, vær forbered på det verste.» Her har vi forsøkt å gi en innføring i beskyttelsesstrategier.
