Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld biografi den 17. december 2021 | Emne: Sikkerhed 
Der er aldrig et godt tidspunkt for en organisation at blive offer for et ransomware-angreb, men for Matthew Day, CIO for Langs Building Supplies, kom et telefonopkald den 20. maj 2021 på det måske værst tænkelige tidspunkt – før daggry, netop som han var ved at holde fri for første gang i lang tid.
“Jeg skulle på min ferie. Men jeg fik et telefonopkald klokken fire om morgenen, hvor jeg i bund og grund sagde 'Jeg kan ikke logge ind, hvad sker der?'” siger han.
Day rejste sig og tog den 30-minutters køretur til sit kontor i Brisbane, Australien, hvor bygge-, bygnings- og boligbyggeriet er baseret, alt imens han tænkte på, hvad problemet kunne være, måske en hardwarefejl eller et uplanlagt udfald ?
Svaret blev tydeligt, da han ankom og forsøgte at bringe systemerne frem – en løsesum dukkede op og sagde: “Du er blevet hacket.”
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Langs var blevet offer for Lorenz ransomware, og de cyberkriminelle, der havde krypteret flere servere og tusindvis af filer, krævede en betaling på 15 millioner dollars i Bitcoin i bytte for dekrypteringsnøglen. Som mange andre ransomware-angreb sagde cyberkriminelle også, at de havde stjålet information og truede med at lække dem, hvis løsesummen ikke blev betalt.
“Virkeligheden er, at det er et ret skræmmende forslag – men vi var hurtigt i stand til at isolere angrebet og afbryde det fra netværket,” siger Day.
Han har mistanke om, at Langs specifikt var målrettet af de kriminelle bag angrebet på grund af virksomhedens karakter. På det tidspunkt kørte Queensland-regeringen en reaktionsplan for at holde handels- og byggeindustrien i gang, mens store dele af Australien stadig stod over for lockdown på grund af COVID-19. Og hvis en byggeleverandør som Langs ikke var i stand til at drive forretning, kan det påvirke hele programmet for den regionale byggebranche.
“Det er en begivenhed på makroniveau – den er ikke kun begrænset til Langs, for hvis vi ikke kan levere en bygmester deres varer, fordi vi er offline, kan de ikke bygge det hus. Det øger bare mere pres,” han siger.
Mange ofre for ransomware vælger at betale løsesummen, enten fordi de føler, at de ikke har noget andet valg, eller fordi de opfatter det som den nemmeste måde at genoprette netværket på – selvom, selv med dekrypteringsnøglen, det kan være en lang, udstrakt proces.
For Langs og Day var ideen om at betale løsesummen imidlertid ikke en mulighed – og de havde gendannelsessoftware, der gjorde det muligt for dem at analysere, hvilke data der var blevet krypteret eller ændret og gendanne netværket fra sikkerhedskopier gemt separat til resten af netværket inden for få timer med minimal forstyrrelse af tjenesterne.
“Jeg var ret sikker på datasiden af tingene – vi bruger Rubrik. Vi sørger for, at den har multi-factor authentication (MFA) på den og ikke har nogen delte legitimationsoplysninger, så det er en walled garden,” siger Day. “Disse mennesker vil straks gå efter dine backups, fordi det øger trykket, så hvis de ikke kan komme til dine backups, er du et godt sted.”
Men dette forhindrede ikke cyberkriminelle i at forsøge at afpresse en løsesum – de sendte en e-mail til alle ansatte hos Langs og hævdede, at de havde stjålet data og truede med at sælge dem på det mørke web, hvis en betaling ikke blev modtaget på en bestemt dato.
Mens 13 gigabyte data havde forladt netværket, viste det sig at være ping-trafik, så intet, der kunne være en sikkerheds- eller privatlivsrisiko for Langs' kunder eller medarbejdere. At modtage e-mails var et chok for personalet, men Day var i stand til at forklare situationen og forsikre folk om, at selvom cyberkriminelle havde kontaktet dem, var der intet at bekymre sig om.
“Du er nødt til at kommunikere med folk, forklare det til dem. Vi var i stand til at vise forretningen, at de [cyberkriminelle] leger kylling, og vi vil ikke blinke først. Så vi betalte ikke løsesum, dagen kom – og der skete ikke noget,” siger Day.
Undersøgelsen af hændelsen afslørede, at hackere i første omgang fik adgang til netværket via en phishing-e-mail. Men dette var ikke en almindelig phishing-e-mail; angriberne havde lavet deres research og sendt det til en Langs-medarbejder fra den legitime e-mail-konto tilhørende en rigtig medarbejder hos en leverandør, som de allerede havde kompromitteret.
SE: Skysikkerhed i 2021: En virksomhedsguide til vigtige værktøjer og bedste praksis
Langs havde oprettet tilladelseslister til at bekræfte e-mails, der kom fra kendte leverandører – og angriberne var i stand til at tage fordel, efter at have undersøgt e-mails sendt og modtaget af den kompromitterede konto og specifikt skræddersyet den e-mail, der blev sendt til ofre, der åbnede den og utilsigtet udløste angrebet.
“De reagerede på en ordre, som vi havde sendt dem på den nøjagtige korrekte måde; dette var et virkelig smart spil for disse fyre. Det kom fra en verificeret konto, fra en person ad gangen og på en måde, som var forventet af brugeren , min medarbejder, med den korrekte formatering og citerede det korrekte gyldige nummer, så det var ikke en falsk konto, det var ikke en forfalsket konto, det var den rigtige vare,” forklarer Day.
E-mailen bad brugeren om at besøge en portal, der lignede leverandørens hjemmeside, bortset fra at denne bad om et brugernavn og en adgangskode – og fordi offeret var blevet narret til at tro, at de svarede på en besked fra en legitim kontaktperson, indtastede oplysningerne og utilsigtet forsynede cyberkriminelle med loginoplysninger, som de udnyttede til indledende adgang til netværket.
Men Day lægger ikke skylden på brugeren, fordi den sofistikerede og målrettede karakter af phishing-e-mailen betyder, at det ville være svært for de fleste mennesker at identificere det som en mistænkelig besked.
“Vi kan lande fly, 99,9995 % af tiden, ingen bekymringer, men det kræver kun en decimal for at forårsage en massiv hændelse, og det er ikke anderledes – så jeg kan ikke være for hård ved min bruger for at falde for dette , fordi det så lovligt ud,« siger han.
Denne første adgang med legitime legitimationsoplysninger gjorde det muligt for angriberne at snuse rundt på netværket uden at blive bemærket, hvilket lagde grundlaget for at kryptere så meget som muligt, før de udløste ransomware-angrebet.
Datagendannelses- og backupsoftwaren betød, at virkningen af ransomware-angrebet var relativt mild, men det kunne have været meget værre – og Day brugte hændelsen til at undersøge, hvordan cybersikkerheden hos Langs kunne forbedres.
SE: Cybersikkerhed: Lad os blive taktiske (ZDNet-specialfunktion)
En af disse taktikker var at sikre, at multifaktorgodkendelse (MFA) blev anvendt på en bredere vifte af konti. Day havde tidligere presset på for, at det skulle anvendes på brugerne, men det blev set som en barriere for produktiviteten. Når han ser tilbage, mener han, at hvis virksomheden havde lyttet til hans råd og anvendt multi-faktor autentificering, kunne angrebet have været forhindret i at ske.
“Jeg burde have stået fast mere om ekstern adgang og MFA. Fordi vi har talt om det i et stykke tid, og jeg pressede på for det, men virksomheden trak sig tilbage, fordi det blev set som en byrde for brugerne; en ting mere, som de skal lære og håndtere,” siger Day.
“Hvis jeg havde haft MFA, kunne vi have stoppet dette særlige angreb i dens spor, og jeg er glad for at kunne sige, at vi nu kan have MFA på disse eksterne desktops.”
Måden, hvorpå angrebet opstod via en leverandørs kompromitterede e-mail, har også resulteret i, at Langs har taget en mere praktisk tilgang til sikkerheden i sin forsyningskæde, hvilket hjælper de leverandører og kunder, som det handler med de fleste at gøre deres netværk mere modstandsdygtige over for cyberangreb.
“Vi eksisterer ikke i vores egen lille boble, vores boble skal inkludere vores kunder og leverandører i den forsyningskædes livscyklus og sikre, at vi sikrer den fra ende til anden,” forklarer Day.
Ransomware er en af de vigtigste cybersikkerhedstrusler, som virksomheder står over for i dag, men selv når organisationer med succes bekæmper et ransomware-angreb uden at betale løsesum til cyberkriminelle, er det få, der er villige til at tale om, hvad der skete. Så hvorfor er Day villig til at tale om det, når så få andre er det?
“At tale om det er lidt af en 'op din' ting. Jeg vil også give andre mennesker mulighed for at tale ud om disse ting. Hvis jeg taler om det, sker der ikke noget dårligt – det opmuntrer bare andre mennesker til at gøre det,” han siger.
Day håber, at taler om hændelsen, hvordan det skete, og hvad der blev lært, kan hjælpe andre virksomheder med at forsvare sig mod ransomware, og afgørende hjælpe dem med at overtale bestyrelseslokaler om vigtigheden af at tage cybersikkerhedstrusler alvorligt.
“Hvis jeg ved at stå frem og tale om disse ting opfordrer en anden CIO, it-chef eller it-professionel til at tage en samtale om, hvordan de beskytter deres data, hvordan de håndterer datastyring eller cybersikkerhedsplanlægning og -processer, så de kan beskytte deres medarbejderes og deres kollegers levebrød, føles det bedre,« siger han.
MERE OM CYBERSIKKERHED
Ransomware: At lede efter svagheder i dit eget netværk er nøglen til at stoppe angrebDigital transformation skaber nye sikkerhedsrisici, og virksomheder kan ikke følge medVirksomheder taler ikke om at være ofre for cyberangreb. Det skal ændresRansomware er den største cybertrussel mod erhvervslivet. Men de fleste firmaer er stadig ikke klar til detRansomware: Selv når hackerne er i dit netværk, er det måske ikke for sent Security TV | Datastyring | CXO | Datacentre