Føre var, etter snar eller akkurat i grevens tid?
Vårt oppdrag
Secunor er et konsulent- og rådgivningsfirma som bistår virksomheter
innen cybersikkerhet og beredskap – før, under og etter krise.
Trusseljakt
Trusseljakt, bedre kjent som “threat hunting”, er bruk av proaktive metoder for å finne trusler som har passert under radaren.
Informasjonsdeling
Informasjonsdeling i kontekst av cybersikkerhet handler om å bidra til å nå felles mål – å oppdage og begrense tap som følge av cyberkriminalitet, spionasje eller andre trusselscenarier.
Hendelseshåndtering
Håndtering av cybersikkerhetshendelser høres for mange ut som kaotisk krisehåndtering og brannslukking, men realiteten er ofte ganske annerledes.
Would you like to earn millions of dollars?
Sånn starter en melding lagt igjen til brukere hos et nylig LockBit2.0 ransomware-offer.
“Would you like to earn millions of dollars? Our company acquire access to networks of various companies, as well as insider information that can help you steal the most valuable data of any company. You can provide us accounting data for the access to any company, for example, login and password to RDP, VPN, corporate email, etc. Open our letter at your email. Launch the provided virus on any computer in your company. Companies pay us the foreclosure for the decryption of files and prevention of data leak. You can communicate with us through the Tox messenger”.
Brukernavn og passord på avveie, passordgjetting basert på tidligere passordlekkasjer (credential stuffing), utnyttelse av kjente sårbarheter, og kjøpt tilgang – det er de vanligste angrepsvektorene som benyttes i dagens ransomware-angrep. Disse angrepsvektorene kan virksomheter motvirke gjennom generell cyberhygiene, som håndheving av en moderne passordpolicy, bruk av 2-faktor ved innlogging, samt tidsriktig installasjon av sikkerhetsoppdateringer. Rekruttering av latente innsidetrusler krever andre tiltak.
Datalekkasje via kommersielle filopplastingstjenester.
I dag ble det kjent at en norsk virksomhet med ca 3000 ansatte har blitt offer for HiveLeaks ransomware, som hevder å ha eksfiltrert ca 500 GB data fra virksomhetens systemer. HiveLeaks har en interessant ting til felles med LockBit2.0, som Secunor nylig møtte på i en hendelseshåndtering, og det er eksfiltrasjon via allment tilgjengelige filopplastingstjenester.
Mens LockBit2.0 kan benytte flere tjenester, benytter HiveLeaks tjenesten MEGA (mega.nz). Det gjør de ved å opprette en brukerkonto fra offerets infrastruktur, og deretter laste opp data som skal brukes til utpressing. I tidligere saker hvor offeret ikke har villet betale løsepenger, har HiveLeaks ganske enkelt publisert brukernavn og passord til MEGA-kontoen på lekkasjebloggen. Enkelt og funksjonelt. MEGA fremstår som en legitim og veldrevet tjeneste, og det er sannsynligvis mange som ikke husker eller kjenner til tjenestens brokete fortid og fargerike grunnlegger, Kim Dotcom (Kim Schmitz/Kimble/Kim Tim Jim Vestor). MEGA er videreføringen av Kims opprinnelige tjeneste, Megaupload, som ble stengt etter at amerikanske myndigheter i 2012 siktet Kim Dotcom, Mathias Ortmann, Bram van der Kolk og Carter Edwards for en rekke straffbare forhold knyttet til Megaupload. Mathias Ortmann og Bram van der Kolk leder i dag MEGA, og saken om deres utlevering til USA synes å pågå fortsatt.
Maybe some pictures of your company or workers if you have
