Would you like to earn millions of dollars?

Sånn starter en melding lagt igjen til brukere hos et nylig LockBit2.0 ransomware-offer.

Would you like to earn millions of dollars? Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company. You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. Open our letter at your email. Launch the provided virus on any computer in your company. Companies pay us the foreclosure for the decryption of files and prevention of data leak. You can communicate with us through the Tox messenger

LockBit2.0, juli 2021

Brukernavn og passord på avveie, passordgjetting basert på tidligere passordlekkasjer (credential stuffing), utnyttelse av kjente sårbarheter, og kjøpt tilgang – det er de vanligste angrepsvektorene som benyttes i dagens ransomware-angrep. Disse angrepsvektorene kan virksomheter motvirke gjennom generell cyberhygiene, som håndheving av en moderne passordpolicy, bruk av 2-faktor ved innlogging, samt tidsriktig installasjon av sikkerhetsoppdateringer. Rekruttering av latente innsidetrusler krever andre tiltak.

Mens vi kjente til forekomster av målrettet rekruttering av nøkkelpersoner med spesielle tilganger, hadde vi ikke tidligere sett eksempler på generelle, ufordekte rekrutteringsforsøk. Vi ble selvsagt fascinert av tilnærmingen. Hvor stor er denne sårbarheten? Er det en effektiv tilnærming? Er det andre trusselaktører som benytter tilsvarende taktikker? Det siste spørsmålet fikk vi svar på et par uker senere. I en bloggartikkel publisert av Abnormal Security 19. august, beskrives rekrutteringsforsøk hvor en nigeriansk trusselaktør tilbyr én million dollar i kryptovaluta mot planting av Demonware ransomware (aka Black Kingdom, DEMON). Denne rekrutteringskampanjen skjedde i form av e-post sendt til et stort antall mottakere, angivelig høstet via LinkedIn. Abnormal Security tar kontakt med trusselaktøren, utrustet med et fiktivt selskap, og samtalen som utspiller seg er mildt sagt interessant. Absolutt leseverdig, om du bare er nysgjerrig eller har en spesiell interesse for cyberkriminalitet.

Kilde: abnormalsecurity.com

Om man ikke øyeblikkelig ser for seg at norske arbeidstakere vil kaste seg over en slik “mulighet”, kan vi definitivt se for oss at det kan ha større effekt i markeder hvor jobbsikkerheten er lavere og kampen for tilværelsen er reell. Men dette er også et “numbers game”. Dersom samtlige ansatte i din virksomhet hadde fått tilbudet, hvor sikker er du på at ingen ville benyttet sjansen? Det som er sikkert, er at dersom dette viser seg å ha ønsket effekt, vil vi se langt mer av det i tiden fremover.

Nasjonal sikkerhetsmyndighet ga i 2020 ut en temarapport om innsiderisiko. Den behandler temaet bredt, og favner både ubevisste og bevisste innsidetrusler.

Innsiderisikoen vil være både statisk og dynamisk. Den er statisk ved at det alltid vil eksistere personer på innsiden av virksomheter som vil kunne skade virksomhetens verdier, f.eks. ved å kompromittere, sabotere eller manipulere informasjon og prosesser. Innsiderisiko er også dynamisk ved at den ansattes motivasjon, prioritering og lojalitet kan endres. I tillegg kan eventuelle eksterne aktører endre sine mål, modi og arbeidsmønstre. Også forhold ved arbeidsplassen påvirker risikoen, f.eks. ved endringer i implementerte sikkerhetstiltak, arbeidsoppgaver, prosesser eller virksomheten for øvrig. For å forstå kompleksiteten og variasjonene i innsidevirksomhet, kan risikoen forklares med hjelp av følgende begrep: intensjon, kapasitet og mulighet. Dette er variabler som i ulik grad er til stede når innsidevirksomhet oppstår.

Nasjonal sikkerhetsmyndighet, Temarapport Innsiderisiko, 2020

Intensjonen er det som skiller ubevisste og bevisste innsidetrusler. En ansatt som uten å tenke seg om oppgir brukernavn og passord på en falsk innloggingsside, åpner vedlegg som ikke burde ha vært åpnet, eller kommer i skade for å slette viktige dokumenter, kan betegnes som en ubevisst innsidetrussel. Det er i stor grad denne sårbarheten vi søker å redusere gjennom awareness-trening og phishing-øvelser. Kapasitet kan forenklet beskrives som evnen til å forvolde skade, mens mulighet forstås som den faktiske muligheten til å forvolde skade. Når en ekstern trusselaktør søker å rekruttere ansatte som i eksemplene over, vil kapasiteten være tatt hånd om av den eksterne trusselaktøren, ved at den ansatte på innsiden får instruksjon og tilgang til nødvendige verktøy, f.eks. skadevare som skal eksekveres. Muligheten den ansatte har til å forvolde skade, er i stor grad bestemt av virksomhetens sikringstiltak, f.eks. tilgangsstyring, administratorrettigheter, herding av datamaskiner, antivirus-løsninger, med mer.

Hvis virksomheten er sårbar for ubevisste innsidetrusler, og f.eks. kan bli rammet av ransomware ved at en ansatt laster ned og eksekverer skadevare spredt via e-post, er den defivitivt sårbar for bevisste insidetrusler. Det er ikke så mye som skiller en ekstern trussel fra en på innsiden. Når en ekstern trussel har fått fotfeste på innsiden, og er utstyrt med gyldig brukernavn og passord, er de to så godt som like å regne. Den interne trusselen kan ha fortrinn i form av inngående kunnskap om systemene, sårbarheter, og hvor informasjonsverdiene ligger. Den eksterne trusselen er godt trent i å tilegne seg den samme kunnskapen på kort tid, og er sannsynligvis bedre trent i hvordan man skal unngå oppdagelse, samt hvordan man skal skjule spor og gjøre etterforskning vanskeligere. Det koker ned til at oppdagelse og håndtering av sikkerhetshendelser bygger på de samme prinsippene og kapabilitetene, enten det gjelder eksterne eller interne trusler.

Vi skal nok akte oss for å bli paranoide og mistenke enhver ansatt. Manglende tillit i arbeidsforholdet kan redusere trivsel og lojalitet, hvilket vil gi negative konsekvenser utover forhøyet innsiderisiko, f.eks. lavere produktivitet og ustabil arbeidsstyrke. Teknologiske sikkerhetsmekanismer som gjør det vanskeligere å operere som innsidetrussel kan implementeres på mange nivåer, men balanseringen av tiltakene er svært viktig. Effektive tiltak vil som regel ha en innvirkning på legitime handlinger, og kan påvirke effektivitet og brukertilfredshet.

Alle virksomheter har informasjonsverdier det er verdt å beskytte, men mange virksomheter har overraskende dårlig oversikt over hva som har verdi for dem selv eller andre, samt hvor informasjonen er lagret. Gjennom å gjøre opp status og skaffe seg god oversikt over informasjonsverdiene, har man tatt et viktig steg. Du må nemlig vite hva du har for å være i stand til å beskytte det effektivt. Når det er gjort, bør det gjennomføres en kronjuvelanalyse. Hva har vi som vi absolutt ikke kan miste? Hva skal beskyttes ekstra godt? På den måten legger man grunnlaget for helhetlig, planmessig og mest mulig kostnadseffektiv beskyttelse av informasjonsverdiene. Med de ansatte på laget, utrustet med kunnskap og forsåelse knyttet til informasjonsverdiene, vil man dessuten få større aksept og forståelse for behovet for sikringstiltak, samt økt årvåkenhet og bedre vern mot aktivering av ubevisste innsidetrusler. Kort oppsummert: God cyberhygiene, generell synlighet, og evne til å oppdage og håndtere uønskede hendelser. Bedre beskyttelse rundt de viktigste informasjonsverdiene.

Leave a Reply

%d bloggers like this: