VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#012-2021] [TLP:CLEAR] Varsel om pågående ransomware-kampanjer

26-02-2021

JustisCERT ønsker å varsle om pågående ransomware-kampanjer som treffer norske virksomheter med relativt omfattende skadeomfang og konsekvenser. Skadevaren som benyttes er gjerne Sodinokibi/REvil, en RaaS (Ransomware as a Service) som er svært avansert. Ofre av skadevaren kan oppleve å få data kryptert, at viktig data (f.eks. all backup og alle virtuelle servere) slettes slik at gjenoppretting ikke er mulig og at data stjeles før virksomheten blir utsatt for flere runder med utpressing og trusler om at disse data publiseres på nettet dersom løsepenger ikke utbetales [1,2,3].

 

JustisCERT anbefaler at din virksomhet setter seg inn i de ulike angrepsvektorene som benyttes og innfører aktuelle sikkerhetstiltak (se anbefalinger) for å beskytte seg best mulig.

 


Angrepsvektorer:

  • Utnyttelse av sårbarheter i internetteksponerte tjenester (observert: Oracle WebLogic Server, Citrix, Pulse Connect Secure, Windows/Linux-servere)
  • Utnyttelse av remote/VPN løsninger (observert: RDP bruteforce-angrep)
  • Phishing (observert: malspam)
  • Utnyttelse av brukernavn/passord på avveie (selges i ulike fora på f.eks. Darkweb)

 


Observasjoner under/etter angrep:

  • Lateral bevegelse ved bruk av eksisterende verktøy (Living off the Land) som RDP og PSExec
  • Nettverkstrafikk til og fra kjente delingssteder som Pastebin og Megaupload
  • Aktivitet for å stoppe prosesser som låser filer, slette filer eller sette tjenester som Antivirus/Anti-Malware og backup ute av spill (observert: PC Hunter og Process Hacker)
  • Eksfiltrering av data
  • Plassering av Sodinokibi-skadevaren
  • Sletting av data som gjør gjenoppretting vanskelig for virksomheten (f.eks. backup og virtuelle servere)
  • Kryptering av virksomhetens data
  • Krav om løsepenger for å gjenopprette data
  • Krav om løsepenger for ikke å publisere data som er stjålet fra virksomheten på internett
  • Salg av virksomhetens data, brukernavn og passord som er stjålet på nettet
  • Nye angrepsrunder fra andre aktører som har kjøpt lister med virksomhetens brukernavn/passord

 


Anbefalinger:

  • Gjennomfør periodisk sårbarhetsskanning av all infrastruktur (som et minimum alle tjenester som er eksponert på internett)
  • Patch/oppdater alle tjenester så snart det kommer oppdateringer fra leverandør (prioriter internetteksponerte tjenester)
  • Herde alle tjenester som er eksponert mot internett ekstra godt/nøye, og gjennomgå oppsettet regelmessig for å sikre at det er "up to date"
  • Benytt 2-faktor/MFA på alle internetteksponerte tjenester som tillater pålogging
  • Deaktiver alle internetteksponerte tjenester som ikke støtter «Modern Authentication»/MFA
  • Sørg for å ha «offline backup» som ikke kan slettes/ødelegges av angriper og test periodisk at rutine for å hente tilbake backup fungerer og at data er intakt
  • Ikke åpne for flere porter/tjenester/host/destinasjoner enn det som er absolutt nødvendig i brannmurer
  • Benytt IP-filter/IPS/GEO-blokkering i FW/proxy for å beskytte internetteksponerte tjenester. Tillatt kommunikasjon kun til/fra aktuelle IP adresser eller områder/land (f.eks. Norge dersom ansatte kun skal nå tjenesten fra Norge).
  • Benytt Web/DNS-filter som hindrer servere og klienter i å kontakte uønskede nettsider/tjenester på internett
  • Ikke tillatt RDP fra internett mot virksomhetens ressurser (beskytt RDP bak f.eks. en VPN-tjeneste som krever 2-faktor/MFA)
  • Aldri tillatt RDP fra virksomhetens internetteksponerte resurser (DMZ) inn til andre sikkerhetssoner (slik som DMZ 2, servernett 1 og klientnett 1)
  • Blokker all trafikk mot TOR-nettverket dersom dette ikke er strengt nødvendig
  • Ha kontroll på og overvåkning av hvilke tjenester som er internetteksponert, deriblant åpne RDP-tjenester og andre fjernaksessløsninger
  • Ha kontroll på og overvåkning av trafikk mellom sikkerhetssoner
  • Sørg for at det benyttes lange, sikre og unike passord over alt (f.eks. 16 tegn for vanlige brukere, minst 18 tegn for administratorbrukere og 29 tegn for service-kontoer)
  • Deaktiver bruk av makroer i Microsoft Office
  • Ikke tildel sluttbrukere administrator-rettigheter
  • Blokker kjøring av ikke-autorisert programvare
  • Begrens bruken av Powershell (PowerShell Constrained Language Mode), og avinstaller gamle versjoner
  • For Microsoft operativsystem: Benytt Local Administrator Password Solution (LAPS) på klienter og servere der det er mulig/aktuelt (eller tilsvarende løsninger for å hindre at det samme lokale administratorpassord benyttes flere enheter)
  • For Microsoft operativsystem: Opprett GPO der det er mulig/aktuelt som setter "Interactive logon: Number of previous logons to cache (in case domain controller is not available)" på klienter og servere så lav som mulig. Dette gjør det vanskeligere for angriper å få tak i brukernavn og passord
  • For Microsoft operativsystem: Deaktiver SMBv1 og SMBv2 hvis mulig og bruk kun SMBv3 (eller siste versjon) og krev alltid SMB signing
  • Logg og overvåk aktivitet på kontoer med utvidede rettigheter (som administrator/service-kontoer)
  • Ha tilstrekkelig logging av tjenester man benytter og bevar disse loggene i tilstrekkelig tid, gjerne lenger enn tre måneder
  • Sørg for å ha gode oversiktskart over virksomhetens infrastruktur og tjenester
  • Ha en plan for å håndtere hendelser (sørg for å gjennomføre øvelser) og en oversikt over hvem som kan kontaktes på papir
  • Følg NSM Grunnprinsipper for IKT-sikkerhet 2.0 og prinsippene for «Zero Trust»


Dersom man er offer for ransomware/løsepengevirus skal man ikke betaler angriperne for å gjenopprette filene da dette vil være med på å finansiere kriminell aktivitet. Forholdet bør anmeldes til lokalt Politi. Se forøvrig følgende lenker for ytterligere råd og generelle tiltak [4,5]. NIST har publisert en guide for håndtering av ransomware [6].

 


Kilder:

[1] Examining a Sodinokibi Attack (trendmicro.com)

[2] Post-mortem of a targeted Sodinokibi ransomware attack | Blog | Darktrace

[3] The State of Ransomware: 2020’s Catch-22 - Security News (trendmicro.com)

[4] Løsepengevirus - Nasjonal sikkerhetsmyndighet (nsm.no)

[5] https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C.pdf

[6] Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events (nist.gov)