Skrevet av Danny Palmer, Senior Reporter
Danny Palmer Seniorreporter
Danny Palmer er seniorreporter hos ZDNet. Basert i London, skriver han om problemer, inkludert nettsikkerhet, hacking og trusler mot skadelig programvare.
Full bio 17. desember 2021 | Emne: Sikkerhet Inne i en løsepengevaregjeng: Pass på disse aggressive taktikkene Se nå
Det er aldri et godt tidspunkt for en organisasjon å bli offer for et løsepengevareangrep, men for Matthew Day, CIO i Langs Building Supplies, kom en telefonsamtale 20. mai 2021 på kanskje det verst tenkelige tidspunktet – før daggry, akkurat som han var. i ferd med å ta fri for første gang på lenge.
“Jeg skulle på ferie. Men jeg fikk en telefon klokken fire om morgenen og sa i grunnen “jeg kan”. ikke logge på, hva skjer?'» sier han.
Day reiste seg og tok en 30-minutters kjøretur til kontoret sitt i Brisbane, Australia, hvor bygge-, bygningsrekvisita- og hjemmebyggingsfirmaet er basert , mens du tenker på hva problemet kan være, kanskje en maskinvarefeil eller et uplanlagt strømbrudd?
Svaret ble åpenbart da han ankom og prøvde å hente frem systemene – en løsepenger dukket opp og sa: «Du har blitt hacket.»
SE: < strong>En vinnende strategi for nettsikkerhet (ZDNet spesialrapport)
Langs hadde blitt offer for Lorenz-ransomware, og nettkriminelle som hadde kryptert flere servere og tusenvis av filer krevde en betaling på 15 millioner dollar i Bitcoin i bytte for dekrypteringsnøkkelen. Som mange løsepenge-angrep, sa cyberkriminelle også at de hadde stjålet informasjon og truet med å lekke den hvis løsepengene ikke ble betalt.
“Virkeligheten er at det er et ganske skummelt forslag – men vi klarte raskt å isolere angrepet og koble det fra nettverket,” sier Day.
Han mistenker at Langs var spesifikt målrettet av de kriminelle bak angrepet på grunn av virksomhetens art. På det tidspunktet drev regjeringen i Queensland en responsplan for å holde handels- og byggenæringen i gang, mens store deler av Australia fortsatt stod overfor nedstengning på grunn av COVID-19. Og hvis en byggeleverandør som Langs ikke var i stand til å gjøre forretninger, kan det påvirke hele programmet for den regionale byggenæringen.
“Det er en hendelse på makronivå – den er ikke bare begrenset til Langs, for hvis vi ikke kan levere varene til en byggherre fordi vi er frakoblet, kan de ikke bygge det huset. Det øker bare mer press», sier han.
Mange ofre for løsepengeprogramvare velger å betale løsepengene, enten fordi de føler at de ikke har noe annet valg, eller de oppfatter det som den enkleste måten å gjenopprette nettverket – selv om det kan være langt, selv med dekrypteringsnøkkelen. -out-prosess.
For Langs og Day var imidlertid ikke ideen om å betale løsepenger et alternativ – og de hadde gjenopprettingsprogramvare som gjorde det mulig for dem å analysere hvilke data som var kryptert eller modifisert og gjenopprette nettverk fra sikkerhetskopier lagret separat til resten av nettverket i løpet av få timer, med minimalt avbrudd i tjenestene.
“Jeg var ganske sikker på datasiden av ting – vi bruker Rubrik. Vi sørger for at den har multifaktorautentisering (MFA) på den og ikke har noen delt legitimasjon, så det er en inngjerdet hage,” sier Day. “Disse personene vil umiddelbart gå etter sikkerhetskopiene dine fordi det øker trykket, så hvis de ikke kan komme til sikkerhetskopiene dine, er du på et bra sted.”
Men dette stoppet ikke cyberkriminelle fra å forsøke å presse ut en løsepenger – de sendte e-post til alle ansatte ved Langs, og hevdet at de hadde stjålet data og truet med å selge dem på det mørke nettet hvis en betaling ikke ble mottatt av en bestemt person. dato.
Mens 13 gigabyte med data hadde forlatt nettverket, viste det seg å være ping-trafikk, så ingenting som kunne være en sikkerhets- eller personvernrisiko for Langs sine kunder eller ansatte. Å motta e-postene var et sjokk for personalet, men Day var i stand til å forklare situasjonen og forsikre folk om at selv om cyberkriminelle hadde kontaktet dem, var det ingenting å bekymre seg for.
“Du må kommunisere med folk, forklare det for dem. Vi var i stand til å vise virksomheten at de er [cyberkriminelle] som leker kylling og vi kommer ikke til å blunke først. Så vi betalte ikke løsepenger, dagen kom – og ingenting skjedde,” sier Day.
Etterforskningen av hendelsen avslørte at hackere i utgangspunktet fikk tilgang til nettverket via en phishing-e-post. Men dette var ikke en vanlig phishing-e-post; angriperne hadde gjort sine undersøkelser og sendt den til en Langs-ansatt fra den legitime e-postkontoen til en ekte ansatt hos en leverandør som de allerede hadde kompromittert.
SE : Skysikkerhet i 2021: En bedriftsveiledning til viktige verktøy og beste fremgangsmåter
Langs hadde satt opp tillatelseslister for å bekrefte e-poster som kom fra kjente leverandører – og angriperne var i stand til å dra nytte av det etter å ha undersøkt e-poster sendt og mottatt av den kompromitterte kontoen og spesifikt skreddersydd e-posten som ble sendt til ofrene som åpnet den og utilsiktet utløste angrep.
“De svarte på en ordre om at vi hadde sendt dem på nøyaktig riktig måte; dette var et veldig smart spill for disse gutta. Det kom fra en bekreftet konto, fra en person om gangen og på en måte som ble forventet av brukeren, min medarbeider, med riktig formatering og oppgitt riktig gyldig nummer, så det var ikke en falsk konto, det var ikke en falsk konto, det var den virkelige avtalen,” forklarer dag.
E-posten ba brukeren om å besøke en portal som så nøyaktig ut som nettsiden til leverandøren, bortsett fra at denne ba om brukernavn og passord – og fordi offeret hadde blitt lurt til å tro at de svarte på en melding fra en legitim kontakt, la inn informasjonen, og ga cyberkriminelle påloggingsinformasjon som de utnyttet for førstegangstilgang til nettverket.
Men Day legger ikke skylden på brukeren, fordi phishing-e-postens sofistikerte og målrettede natur betyr at det ville være vanskelig for folk flest å identifisere den som en mistenkelig melding.
“Vi kan lande fly, 99,9995 % av tiden, ingen bekymringer, men det tar bare en desimal for å forårsake en massiv hendelse, og dette er ikke annerledes – så jeg kan ikke være for hard mot brukeren min for å falle for dette, fordi det så lovlig ut, sier han.
Den første tilgangen med legitim legitimasjon tillot angriperne å snoke rundt på nettverket uten å bli lagt merke til, og la grunnlaget for å kryptere så mye som mulig før de utløste løsepengevareangrepet.
Datagjenopprettings- og sikkerhetskopieringsprogramvaren gjorde at virkningen av løsepengevareangrepet var relativt mild, men det kunne vært mye verre – og Day brukte hendelsen til å undersøke hvordan cybersikkerheten hos Langs kunne forbedres.
SE: Sybersikkerhet: La oss bli taktiske (ZDNet spesialfunksjon)
En av disse taktikkene var å sikre at multifaktorautentisering (MFA) ble brukt på et bredere spekter av kontoer. Day hadde tidligere presset på for at det skulle brukes på brukere, men det ble sett på som en barriere for produktivitet. Når han ser tilbake, mener han at hvis selskapet hadde lyttet til hans råd og brukt multifaktorautentisering, kunne angrepet vært forhindret.
“Jeg burde ha holdt fast mer om ekstern tilgang og MFA. Fordi vi har snakket om det en god stund og jeg presset på for det, men selskapet presset tilbake fordi det ble sett på som en tung belastning for brukerne ; en ting til som de må lære og takle,” sier Day.
“Hvis jeg hadde hatt MFA, kunne vi ha stoppet dette spesielle angrepet, og jeg er glad for å kunne si at vi kan nå ha MFA på disse eksterne skrivebordene.”
Måten angrepet oppsto via den kompromitterte e-posten til en leverandør har også resultert i at Langs har tatt en mer praktisk tilnærming til sikkerheten i forsyningskjeden sin, og hjelper leverandørene og kundene de har mest å gjøre med å gjøre nettverkene deres mer robuste overfor nettangrep.
“Vi eksisterer ikke i vår egen lille boble, boblen vår må inkludere våre kunder og leverandører i den forsyningskjedens livssyklus og sørge for at vi sikrer den fra ende til annen,” forklarer Day .
Ransomware er en av de viktigste cybersikkerhetstruslene bedrifter står overfor i dag, men selv når organisasjoner lykkes med å bekjempe et løsepenge-angrep uten å betale løsepenger til cyberkriminelle, er det få som er villige til å snakke om det som skjedde. Så, hvorfor er Day villig til å snakke om det når så få andre er det?
“Å snakke om det er litt av en “dine” ting. Jeg vil også gi andre mennesker mulighet til å snakke ut om disse ting. Hvis jeg snakker om det, skjer det ikke noe vondt – det oppmuntrer bare andre mennesker til å gjøre det,” sier han.
Day håper å snakke om hendelsen, hvordan den skjedde og hva som ble lært kan hjelpe andre virksomheter med å forsvare seg mot løsepengevare, og avgjørende hjelpe dem med å overtale styrerommene om viktigheten av å ta trusler om nettsikkerhet på alvor.
“Hvis, ved å komme videre og snakke om disse tingene, oppfordrer jeg en annen CIO, IT-sjef eller IT-profesjonell til å gå og ha en samtale om hvordan de kan beskytte dataene sine, hvordan de håndterer datastyring, eller cybersikkerhetsplanlegging og -prosesser, slik at de kan beskytte livsgrunnlaget til deres ansatte og deres kolleger, det føles bedre, sier han.
MER OM CYBERSIKKERHET
Ransomware: Å lete etter svakheter i ditt eget nettverk er nøkkelen til å stoppe angrepDigital transformasjon skaper nye sikkerhetsrisikoer, og bedrifter kan ikke følge medBedrifter snakker ikke om å være ofre for nettangrep. Det må endresRansomware er den største cybertrusselen mot virksomheten. Men de fleste firmaer er fortsatt ikke klare for detRansomware: Selv når hackerne er i nettverket ditt, er det kanskje ikke for sent Security TV | Databehandling | CXO | Datasentre