Det här företaget drabbades av ransomware, men behövde inte betala. Så här gjorde de

0
208

Danny Palmer Skrivet av Danny Palmer, Senior Reporter Danny Palmer Danny Palmer Senior Reporter

Danny Palmer är seniorreporter på ZDNet. Baserad i London skriver han om frågor som cybersäkerhet, hacking och skadlig programvara.

Fullständig beskrivning den 17 december 2021 | Ämne: Säkerhet Inuti ett gäng med ransomware: Se upp för dessa aggressiva taktiker Titta nu

Det finns aldrig en bra tid för en organisation att falla offer för en ransomware-attack, men för Matthew Day, CIO på Langs Building Supplies, kom ett telefonsamtal den 20 maj 2021 vid kanske sämsta möjliga tidpunkt – före gryningen, precis när han skulle ta ledigt för första gången på länge.

“Jag skulle på semester. Men jag fick ett telefonsamtal vid fyratiden på morgonen och sa i princip “Jag kan inte logga in, vad är det som händer?”, säger han.

Day reste sig och tog en 30-minuters bilresa till sitt kontor i Brisbane, Australien där bygg-, byggnadsmaterial- och hembyggarföretaget är baserat, samtidigt som han funderade på vad problemet kunde vara, kanske ett hårdvarufel eller ett oplanerat avbrott ?

Svaret blev uppenbart när han anlände och försökte få upp systemen – en lösenseddel dök upp och sa: “Du har blivit hackad.”

SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)

Langs hade fallit offer för Lorenz ransomware och cyberbrottslingar som hade krypterat flera servrar och tusentals filer krävde en betalning på 15 miljoner dollar i Bitcoin i utbyte mot dekrypteringsnyckeln. Liksom många ransomware-attacker sa cyberbrottslingarna också att de hade stulit information och hotade att läcka den om lösensumman inte betalades.

“Verkligheten är att det är ett ganska skrämmande förslag – men vi kunde snabbt isolera attacken och koppla bort den från nätverket”, säger Day.

Han misstänker att Langs var specifikt måltavla av brottslingarna bakom attacken på grund av verksamhetens natur. Vid den tiden hade regeringen i Queensland en åtgärdsplan för att hålla handels- och byggbranschen igång, medan stora delar av Australien fortfarande stod inför låsning på grund av covid-19. Och om en byggleverantör som Langs inte kunde göra affärer kan det påverka hela programmet för den regionala byggbranschen.

“Det är en händelse på makronivå – den är inte bara begränsad till Langs, för om vi inte kan tillhandahålla en byggare deras varor eftersom vi är offline, kan de inte bygga det huset. Det ökar bara trycket,” han säger.

Många offer för ransomware väljer att betala lösensumman, antingen för att de känner att de inte har något annat val eller för att de uppfattar det som det enklaste sättet att återställa nätverket – även om, även med dekrypteringsnyckeln, det kan vara en lång och utdragen process.

För Langs and Day var idén att betala lösen inte ett alternativ – och de hade återställningsprogram som gjorde det möjligt för dem att analysera vilken data som hade krypterats eller modifierats och återställa nätverket från säkerhetskopior som lagrats separat till resten av nätverket inom några timmar, med minimala störningar i tjänsterna.

“Jag var ganska säker på datasidan av saker och ting – vi använder Rubrik. Vi ser till att den har multi-factor authentication (MFA) på den och inte har några delade referenser, så det är en muromgärdad trädgård”, säger Day. “De här människorna vill genast gå efter dina säkerhetskopior eftersom det ökar trycket, så om de inte kan komma till dina säkerhetskopior är du på en bra plats.”

Men detta hindrade inte cyberbrottslingarna från att försöka tvinga fram en lösensumma – de mailade all personal på Langs och hävdade att de hade stulit data och hotade att sälja den på den mörka webben om en betalning mottogs inte vid ett visst datum.

Medan 13 gigabyte data hade lämnat nätverket visade det sig vara pingtrafik, så inget som kunde vara en säkerhets- eller integritetsrisk för Langs kunder eller anställda. Att ta emot e-postmeddelandena var en chock för personalen, men Day kunde förklara situationen och försäkra folk om att även om cyberbrottslingar hade kontaktat dem fanns det inget att oroa sig för.

“Du måste kommunicera med människor, förklara det för dem. Vi kunde visa verksamheten att de är [cyberbrottslingarna] som leker kyckling och vi kommer inte att blinka först. Så vi betalade inte lösen, dagen kom – och ingenting hände, säger Day.

Utredningen av händelsen avslöjade att hackare till en början fick tillgång till nätverket via ett nätfiskemeddelande. Men det här var inte en vanlig nätfiske-e-post; angriparna hade gjort sin forskning och skickat den till en Langs-anställd från det legitima e-postkontot för en riktig anställd hos en leverantör som de redan hade äventyrat.

SEMolnsäkerhet 2021: En affärsguide till viktiga verktyg och bästa praxis

Langs hade skapat tillåtelselistor för att verifiera e-postmeddelanden från kända leverantörer – och angriparna kunde ta fördel, efter att ha undersökt e-postmeddelanden som skickats och tagits emot av det intrångade kontot och specifikt skräddarsytt e-postmeddelandet som skickades till offer som öppnade det och oavsiktligt utlöste attacken.

“De svarade på en order som vi hade skickat dem på exakt korrekt sätt; det här var ett riktigt smart spel för de här killarna. Det kom från ett verifierat konto, från en person i taget och på ett sätt som förväntades av användaren , min personal, med rätt formatering och citerade rätt giltigt nummer, så det var inte ett falskt konto, det var inte ett falskt konto, det var den riktiga affären”, förklarar Day.

E-postmeddelandet bad användaren att besöka en portal som såg ut exakt som leverantörens webbplats, förutom att den här bad om ett användarnamn och lösenord – och eftersom offret hade blivit lurad att tro att de svarade på ett meddelande från en legitim kontakt, angett informationen och oavsiktligt försett cyberbrottslingar med inloggningsuppgifter som de utnyttjade för första åtkomst till nätverket.

Men Day lägger inte skulden på användaren, eftersom nätfiskemeddelandets sofistikerade och riktade karaktär innebär att det skulle vara svårt för de flesta att identifiera det som ett misstänkt meddelande.

“Vi kan landa flygplan, 99,9995 % av tiden, inga bekymmer, men det krävs bara en decimal för att orsaka en massiv incident, och detta är inte annorlunda – så jag kan inte vara för hård mot min användare för att falla för detta , eftersom det såg legitimt ut, säger han.

Den första åtkomsten med legitima referenser gjorde det möjligt för angriparna att snoka runt i nätverket utan att bli märkta, vilket lade grunden för att kryptera så mycket som möjligt innan attacken utlöses.

Programvaran för dataåterställning och säkerhetskopiering innebar att effekten av ransomware-attacken var relativt mild, men det kunde ha varit mycket värre – och Day använde incidenten för att undersöka hur cybersäkerheten hos Langs kunde förbättras.

SE: Cybersäkerhet: Låt oss bli taktiska (ZDNet specialfunktion)

En av dessa taktiker var att se till att multifaktorautentisering (MFA) tillämpades på ett större antal konton. Day hade tidigare drivit på för att det skulle tillämpas på användare, men det sågs som ett hinder för produktivitet. När han ser tillbaka tror han att om företaget hade lyssnat på hans råd och använt multifaktorautentisering så hade attacken kunnat förhindras från att inträffa.

“Jag borde ha hållit fast mer om extern åtkomst och MFA. För vi har pratat om det ett bra tag och jag tryckte på för det, men företaget tryckte tillbaka för att det sågs som en betungande börda för användarna; en sak till som de måste lära sig och hantera”, säger Day.

“Om jag hade haft MFA, kunde vi ha stoppat den här attacken i dess spår och jag är glad att kunna säga att vi nu kan ha MFA på de externa stationära datorerna.”

Sättet på vilket attacken uppstod via en leverantörs komprometterade e-postmeddelande har också resulterat i att Langs har tagit ett mer praktiskt förhållningssätt till säkerheten i sin försörjningskedja, och hjälper de leverantörer och kunder som de har att göra med de flesta för att göra sina nätverk mer motståndskraftiga mot cyberattacker.

“Vi existerar inte i vår egen lilla bubbla, vår bubbla måste inkludera våra kunder och leverantörer i den försörjningskedjans livscykel och se till att vi säkrar den från början till slut,” förklarar Day.

Ransomware är ett av de mest betydande cybersäkerhetshoten som företag står inför idag, men även när organisationer framgångsrikt bekämpar en ransomware-attack utan att betala lösen till cyberbrottslingar är det få som är villiga att prata om vad som hände. Så varför är Day villig att prata om det när så få andra är det?

“Att prata om det är lite av en “up yours”-grej. Jag vill också ge andra människor möjlighet att tala ut om dessa saker. Om jag pratar om det händer inget dåligt – det uppmuntrar bara andra människor att göra det,” han säger.

Day hoppas att tala om incidenten, hur den hände och vad man lärde sig kan hjälpa andra företag att försvara sig mot ransomware, och avgörande, hjälpa dem att övertyga styrelserum om vikten av att ta cybersäkerhetshot på allvar.

“Om jag, genom att träda fram och prata om dessa saker, uppmuntrar en annan CIO, IT-chef eller IT-proffs att gå och prata om hur man skyddar sin data, hur de hanterar datastyrning eller cybersäkerhetsplanering och -processer, så att de kan skydda försörjningen för sina anställda och sina kollegor, det känns bättre, säger han.

MER OM CYBERSÄKERHET

Ransomware: Att leta efter svagheter i ditt eget nätverk är nyckeln till att stoppa attackerDigital transformation skapar nya säkerhetsrisker, och företag kan inte hänga medFöretag pratar inte om att vara offer för cyberattacker. Det måste ändrasRansomware är det största cyberhotet mot företag. Men de flesta företag är fortfarande inte redo för detRansomware: Även när hackarna finns i ditt nätverk kanske det inte är för sent Security TV | Datahantering | CXO | Datacenter