Ransomware_Web_nyheter_forsiden

Ransomware angrep herjet høsten 2019

Med nyhetene om de alvorlige ransomware tilfellene forskjellige steder i Europa i høst, vil vi synliggjøre hvordan disse kunne vært unngått med proaktive tiltak

I høst var denne artikkelen i Digi. Artikkelen omtalte flere teknologiselskaper som hadde blitt utsatt for cyberangrep. Teorien gikk på at det var kryptovirus i alle tilfellene. 

 

Hva skjedde?

Det er få detaljer om hvordan hendelsen startet, men det antas e-post til en eller flere ansatte. I denne e-posten har det typisk vært en overbevisende tekst (phishing*) for å lure mottager til å klikke på en link, eller åpne et vedlegg.

  • Phishing - «the fraudulent practice of sending emails purporting to be from reputable companies in order to induce individuals to reveal personal information, such as passwords and credit card numbers.»

 

Hva var konsekvensen?

Ved at brukere klikket på linken, eller åpnet vedlegget, i e-posten, startet prosessen med spredning av kryptovirus* (ransomware) for å automatisk kryptere flere filer i hele organisasjonen, på PC’er og servere. Dette resulterer typisk i redusert produksjon, eller full stopp, da klienter ikke kan jobbe, eller at servere mister all data. Angriperne gjør typisk dette for penger, ved at de krever penger for at filer og systemer skal bli tilgjengelige igjen. I noen tilfeller gjøres skade med mer politiske motivasjoner, der det ikke engang tilbys en fiks. Slike hendelser vil typisk forårsake nedetid, gjerne lang nedetid, tapt produksjon og tapte inntekter.

  • Kryptovirus 
    • «Et kryptovirus (ransomware) er et skadelig program/datavirus som krypterer filer og mapper på en datamaskin eller et datanettverk. Dette kalles gjerne også løsepengevirus, fordi de som står bak typisk krever betaling for å dekryptere slik at filene og mappene blir lesbare igjen.»
    • «Et kryptovirus kan spre seg på samme måte som andre datavirus. Det vanligste er gjennom e-post, i et vedlegg eller via en lenke som mottaker lures til å klikke på. Men kryptovirus kan også spre seg automatisk ved å utnytte sårbarheter og sikkerhetshull i programvare.»
    • https://www.digi.no/emne/kryptovirus

 

Hva kunne vært gjort?

Man kan lese litt om generell sikkerhet her, CIA, NSM Grunnprinsipper for IKT-sikkerhet, CIS CSC 20, etc.

Data Equipment vil referere til noen standarder, for å vise til proaktivt arbeid som anbefales, og som mest sannsynlig ville hindret hendelsen fra å skje:

  • NSM Grunnprinsipper for IKT-sikkerhet
  • CIS CSC 20
  • Data Equipment Sikkerhetsplattform

 

I artikkelen kan vi lese følgende: «Konsernsjef Niklas Stenberg sier i pressemeldingen at han er sikker på at selskapets desentraliserte organisasjonsmodell er en fordel for selskapet. Det å ha separate eller segmenterte lokalnett kan bidra til å forhindre spredning av skadevare mellom PC-ene i nettet.»

 

NSM Grunnprinsipper for IKT-sikkerhet som rammeverk, sammen med Intellisec og/eller Data Equipment sin sikkerhetsplattform:

 

Data Equipment Sikkerhetsplattform/NSM GP 1.1 1.2 1.3 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 3.1 3.2 3.3 3.4 3.5 3.6 4.1 4.2 4.3 4.4
Zero Trust X X X X X X X X X X X X X X X X X X X X X X X
Intellisec X X X X X X X   X X X X X X X X X X          
Palo Alto Networks NGFW     X X X X X   X X X X X X X X   X          
Palo Alto Networks Cortex XDR Prevent         X X           X X   X                
Palo Alto Networks Cortex XDR Pro                         X   X     X     X X  
Palo Alto Networks Cortex Data Lake                         X         X          
Palo Alto Networks Cortex Demisto                           X           X X X  
Palo Alto Networks Cortex AutoFocus                                              
Palo Alto Networks Prisma SaaS                         X   X                
Palo Alto Networks Prisma Cloud       X X         X     X     X X            
Palo Alto Networks Prisma Access             X                                
Palo Alto Networks Prisma VM-Series     X X X X X   X X X X X X X X   X          
Extreme Networks Switching   X X       X     X X X X                    
Extreme Networks Routing             X                                
Extreme Networks Wireless   X X       X       X X                      
Extreme Networks XMC   X X X X X       X   X X     X   X     X    
Extreme Networks XMC Control     X   X   X                                
Extreme Networks XMC Management                                              
Extreme Networks XMC Analytics   X               X   X X         X     X    
Extreme Networks XMC Compliance       X X X                   X   X          
Proofpoint Email Protection                       X     X                
Proofpoint EFD                       X                      
Proofpoint TAP                       X     X                
Proofpoint TRAP                                           X  
Proofpoint PSAT                                             X
Proofpoint Information Protection       X                                      
Proofpoint Browser Isolation                                              
Proofpoint Email Encryption                     X                        
Duo Security     X       X X X                            
Tenable X X   X   X X         X     X X X            
Tenable Web Application Scanning       X   X                                  
Thycotic     X   X X   X X                            
Aruba Clearpass     X   X   X                                

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Center for Internet Security, Critical Security Controls 20, sammen med Intellisec og/eller Data Equipment sin sikkerhetsplattform:

Data Equipment Sikkerhetsplattform / CIS CSC 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Zero Trust X X X X X X X X X X X X X X X X X X X X
Intellisec X X X X     X X X   X X X X   X X X    
Palo Alto Networks NGFW X X       X X X X   X X X X X X   X    
Palo Alto Networks Cortex XDR Prevent           X   X         X              
Palo Alto Networks Cortex XDR Pro           X                            
Palo Alto Networks Cortex Data Lake           X X         X                
Palo Alto Networks Cortex Demisto         X X                         X  
Palo Alto Networks Cortex AutoFocus                                        
Palo Alto Networks Prisma SaaS               X         X X            
Palo Alto Networks Prisma Cloud X X   X                                
Palo Alto Networks Prisma Access               X       X X X            
Palo Alto Networks Prisma VM-Series X X         X X X   X X X X X X   X    
Extreme Networks Switching X               X     X   X   X        
Extreme Networks Routing                                        
Extreme Networks Wireless X               X         X X          
Extreme Networks XMC X X     X X     X   X   X     X        
Extreme Networks XMC Control X               X             X        
Extreme Networks XMC Management                                        
Extreme Networks XMC Analytics X X       X             X              
Extreme Networks XMC Compliance         X           X                  
Proofpoint Email Protection             X X                        
Proofpoint EFD             X                          
Proofpoint TAP             X X                        
Proofpoint TRAP                                        
Proofpoint PSAT                                 X      
Proofpoint Information Protection                           X            
Proofpoint Browser Isolation                                        
Proofpoint Email Encryption                           X   X        
Duo Security       X             X X     X X        
Tenable X X X X X   X               X     X   X
Tenable Web Application Scanning         X                         X    
Thycotic       X                                
Aruba Clearpass X               X             X        

 

Ønsker du å bli kontaktet?