Tre dage i fred

Af Eskil Sørensen, 16/06/20

Så lang tid gik der, før honeypotten til et falsk elselskab blev opdaget.

En honeypot er som navnet antyder en krukke med lækre sager, der er designet til at lokke folk til. Et vedholdende rygte forlyder, at Frankrig anvendte en honeypot i forbindelse med det seneste præsidentvalg. Den blev brugt til at lokke fjendtligsindede aktører, der kunne have en interesse i at påvirke valghandlingen, til at koncentrere deres kræfter om krukken med honning. Indholdet var imidlertid falsk, mens den ægte honning fandtes andre steder. Godt skjult bag lås og slå.

Fjenden narret, og valget blev ikke forstyrret af cyberspionage. Så vidt vides.

Flerstrenget taktik

Historien fra Frankring melder ikke noget om, hvor lang tid honeypotten var i fred, men i historien om det falske elselskab, som sikkerhedsfirmaet Cyberreason satte op, gik der kun tre dage, før it-miljøet var fyldt op med ransomware. 

Dette vidner om, at de kritiske sektorer er udsatte. Data fra sektorerne er attraktive for cyberkriminelle, alene fordi de kan sætte en vigtig sektor ud af kraft.

I en større artikel afdækker Techrepublic, hvordan angrebet fandt sted. Første skridt var at få adgang via offentligt tilgængelige fjernadgange. Via brute force-angreb på administratorens kodeord til kontoen kunne angriberne oploade et PowerShell-script for at etablere en bagdør, som angriberne kunne bruge og misbruge uden at blive opdaget.

I andet skridt blev der oploadet flere angrebsværktøjer via Powershell’en, herunder Mimikatz, som bruges til at stjæle bruger-credentials. Dette skulle bruges i et forsøg på at komme ind igennem netværket til domain controllers. Det lykkedes imidlertid ikke, da de stjålne bruger-credentials ikke havde de fornødne rettigheder.

I den tredje fase forsøgte angriberne at få finde andre endpoints, og i fjerde fase blev ransomwaren lanceret på alle de kompromitterede enheder.

Det viser, siger en sikkerhedsekspert i et interview med Techrepublic, at ransomwareaktører ikke længere kun vil inficere enhver maskine så hurtigt som muligt. De vil også gøre det ud fra en strategi, der har til formål at skade mest muligt og holde det skjult så længe som muligt. Og at der holdes øje med, hvordan angrebet går med henblik på at justere taktikken undervejs.

Anbefalinger

Cyberreason opstiller en række anbefalinger til, hvad man skal gøre for at beskytte kritisk infrastruktur:

  1. Etabler hændelsesovervågning for at minimere den tid det tager at besvare et angreb
  2. Etabler security operationscenter (SOC) både på OT og It-miljøet
  3. Udvikl og operér med tanke på at styrke modstandkraften. Tag gamle, udtjente systemer ud af kraft i takt med implementering af nye.
  4. Etabler partnerskaber med eksperter inden for ICO (Industrial Control Systems)
  5. Test, test, test. Gennemfør øvelser.

Derudover anbefales det forud for de ovenstående fem anbefalinger at gennemføre awarenesstræning, implementere multifaktorlogin og opdatering af eksternt-rettede systemer.

Som alle - uanset sektor, profession eller niveau - i øvrigt bør gøre.

Links: 

https://www.cybereason.com/blog/cybereason-honeypot-multistage-ransomware

https://www.techrepublic.com/article/honeypot-reveals-tactics-used-by-cybercriminals-to-deploy-ransomware