Blogg: Løsepengevirus – hva er det og hvordan beskytte seg

Dataangrep og informasjonstyverier er en overhengende trussel mot norske virksomheter. BDOs eksperter gir deg en oversikt over fenomenet, og noen gode råd for å redusere både sannsynligheten for å bli utsatt for angrep og begrense skadeomfanget.

 

Trusler mot norske virksomheter

PST la fredag 11. februar 2022 i samarbeid med NSM og E-tjenesten frem sin årlige nasjonale trusselvurdering som er en redegjørelse for det sammensatte trusselbildet som det norske samfunnet står ovenfor i 2022. Trusler som er vurdert er risiko for å bli utsatt for operasjoner utført av fremmed etterretning, dataangrep, spredning av militær teknologi, strategiske oppkjøp og radikalisering. Selv om norske virksomheter i ulik grad har bevissthet rundt flere av disse truslene, er det etter min erfaring risiko for dataangrep og informasjonstyverier som er høyest på agendaen for de fleste, og det med god grunn. 

 

Løsepengevirus – store økonomiske tap

En av de mest alvorlige cybertruslene mot norske virksomheter er angrep ved bruk av løsepengevirus («ransomware»). Bare i løpet av 2021 og 2022 har en rekke kjente virksomheter informert om at de har blitt utsatt for løsepengevirus og rapporterer om omfattende økonomiske tap. Østre Toten Kommune anslår sine direkte utgifter etter dataangrepet i januar i fjor til 33,2 millioner, i tillegg kommer 4 millioner i gebyr fra Datatilsynet for store og grunnleggende mangler i kommunens personopplysningssikkerhet. Hydro har anslått sitt tap til svimlende 800 millioner knyttet til angrepet i 2019. BDO erfarer at det er store mørketall knyttet til løsepengevirus, og at det er vanskelig å beregne reelle tap. Direkte kostnader til krisehåndtering, konsulenter og gjenopprettelse av drift vil kunne beregnes, men i tillegg kommer tapte inntekter og konsekvenser knyttet til mulig omdømmetap. 

 

Hva er løsepengevirus?

Løsepengevirus er en form for skadevare som infiserer virksomhetens systemer og krypterer filer og muliggjør informasjonstyverier, og angriperne krever løsepenger for at du skal få tilgang til informasjonen eller forhindre at den lekkes til uvedkommende. Summene som angriperne krever, er alt fra små beløp på noen få hundre dollar til millionbeløp. 

Slike løsepenger betales vanligvis med kryptovaluta for å begrense muligheten for å spore hvem som står bak. Hackerne utsetter gjerne virksomhetene for stress og korte tidsfrister, og truer med å publisere bedriftssensitiv informasjon, personopplysninger eller privat informasjon hvis løsepengene ikke mottas innen fristen. 

Du vet ofte ikke at du er angrepet før du får beskjed om dette i form av et varsel, for eksempel i et pop-up vindu, e-post melding eller i en fullskjerms-melding. Når du har fått beskjed, er filene dine ofte allerede blitt kryptert eller stjålet. Varselet inneholder detaljerte instruksjoner om hvordan du skal få tilgang til filene dine igjen, og trusler om hva som skjer hvis innbetaling ikke blir gjennomført. 

BDO bistår mange virksomheter med å forebygge og håndtere slike angrep, og opplever i mange tilfeller at virksomhetene ikke har tilstrekkelige sikkerhetstiltak og evne til å motvirke og håndtere slike uønskede hendelser.  

 

Hvem står bak angrepene?

Man skal være varsom med å umiddelbart utpeke nasjonaliteter og organisasjoner som ofte blir navngitt i ulike risikovurderinger, nyhetsoppslag og artikler. Teknologien som blir benyttet i cyberangrep utvikles gjerne av en blanding av frilansere og grupperinger der selv de som er «medlemmer» ikke kjenner identiteten på de andre medlemmene. Det er en kompleks organisatorisk struktur sammensatt av alt fra frilansere til profesjonelle og godt organiserte kriminelle miljøer som utnytter uskyldige ofre på samme måte som ved utførelse av mer tradisjonell kriminalitet. I tillegg rettes søkelyset mot bestemte internasjonale myndigheter der man mistenker bruk av dataangrep som ett middel for å tilegne seg etterretningsinformasjon, skape frykt og lamme politiske prosesser og organisasjoner.  

Påstander om hvem som står bak må ses i lys av dagens polariserte politiske og kulturelle landskap, men det er kjent at russiske hackergrupper som REvil har tatt på seg ansvaret for flere angrep mot nasjonale myndigheter, store virksomheter og organisasjoner, og flere millioner dollar har blitt utbetalt i løsepenger. Det er også gjennomført en rekke arrestasjoner, blant annet av FBI, der mistenkte med ulike nasjonaliteter har blitt pågrepet, siktet og dømt. 

PST og e-tjenestene peker spesielt på etterretningstjenester i Russland og Kina knyttet til dataangrep med informasjonstyverier som formål, men når det gjelder bruk av løsepengevirus er det ofte organiserte hackere som fremstår som bakmenn og formålet antas primært å være økonomisk vinning. 

Karakteristisk for mange identifiserte angrep er at det som tidligere bar preg av å være tilfeldige angrep, nå fremstår å i større grad å være målrettede angrep mot kritisk infrastruktur og virksomheter som har god økonomi. Det er kjent at angriperne innhenter informasjon fra offentlige registre, herunder Brønnøysundregistrene, for å identifisere mulige mål. Informasjon om betalingsevne, endringer i styret, endringer i aksjekapital eller andre organisasjonsmessige endringer er informasjon som kan brukes av angriperne for å velge mål og gjennomføre sofistikerte og målrettede angrep.

 

Løsepengevirus – bare økonomisk motivert?

Når virksomheter blir angrepet av løsepengevirus, er det naturlig å tenke at angrepene er økonomisk motivert. Men å omtale løsepengevirus som kun ett virkemiddel cyberkriminelle benytter seg av for å sikre raskt og risikofritt kriminelt utbytte er for enkelt. Det er lett å overse den strategiske virkningen av slike angrep og det faktum at kriminelle har tilgang til informasjon som fremmede nasjoner og multinasjonale konsern er ute etter.

Vi snakker om informasjon som kan gi både operasjonell innsikt, strategisk og politisk innflytelse og ikke minst konkurransefortrinn. FBI og andre internasjonale sikkerhetsetater rapporterer at cyberkriminelle grupper infiltreres av eller samarbeider med utenlandske sikkerhetsmyndigheter, og at teknologi og etterretningsinformasjon er tilgjengelig for de som betaler, uavhengig av motiv. 

 

RaaS - Ransomware as a Service – du trenger ikke være IT ekspert

For å gjennomføre dataangrepene, trenger man ikke nødvendigvis å være veldig teknisk kunnskapsrik. «Markedsplasser» på det mørke nettet tilbyr løsepengevirus i form av «ransomware as a service» (RaaS) der man «leier» ut programvare, metodikk og ekspertise for å kunne gjennomføre angrepene. «Leverandørene» tilbyr kundeservice, monitorering av infiserte systemer, utviklingskompetanse, og tilgang til etablerte betalingsløsninger der bakmenn tar en andel av innbetalte løsepenger som betaling for sine tjenester.

Økende bruk av skytjenester skaper også nye arenaer for angriperne. Svakheter i skyapplikasjoner, IoT («Internet of Things»), virtuelle maskiner og programvare for ekstern autentisering og pålogging forsøkes utnyttes. Enkel tilgjengelig åpen kildekode, «drag & drop» funksjonalitet og DIY-oppskrifter knyttet til løsepengevirus har akselerert opprettelsen av nye varianter og ulike miljøer hjelper nybegynnere med å lage sine egne varianter. 

 

Hvorfor stoppes ikke angrepene?

Hovedårsaken til at man ikke klarer å beskytte seg 100% mot denne type angrep, er at angrepene kommer i mange ulike varianter og stadig utvikles for å omgå forebyggende tiltak som brannmurer, antivirus, IDS og andre forsvarsmekanismer. «Programpakkene» som benyttes settes ofte sammen av «byggesteiner» avhengig av formål. Skadelig programvare som løsepengevirus er ofte polymorfisk av design, noe som gjør at cyberkriminelle enkelt kan omgå tradisjonell signaturbasert sikkerhet fordi mønsteret som forsøkes gjenkjennes endres kontinuerlig.

Angriperne benytter også ofte det som kalles «pivot angrep» («pivot attacks») der man i utgangspunktet utnytter sårbarheter på enheter som er eksponert på internett (eksempelvis web og epost servere), for deretter å angripe andre tjenester videre inn og oppover i infrastrukturen. Inngangen kan bestå av flere ulike angrepsvektorer (angrepsmetoder), herunder passord som er lekket på internett, phishing-angrep og generell utnyttelse av sårbarheter.

 

Skal man betale løsepenger?

Betaling av løsepenger kan fremstå som den eneste muligheten for å få tilgang til virksomhetskritisk informasjon og gjenopprette normal drift. Ofte ber angriperne deg om å installere programmer for å få tilgang til filene dine, noe som kan gjøre situasjonen mye verre. Hvis gjenoppretting fra backup ikke er mulig, søk råd fra eksperter som kan bistå med å vurdere situasjonen og igangsette skadebegrensende tiltak. Og husk at ved betaling av løsepenger bistår man med å finansiere organisert kriminalitet og øker risiko for at flere blir angrepet.

 

Hvordan ungår man å bli angrepet?

Nedenfor følger en liste over 10 viktige tiltak du kan gjennomføre for å redusere sannsynligheten for å bli utsatt for angrep og begrense skadeomfanget: 

  • Hold alle operativsystemer og programvare oppdatert 
  • Sørg for at din virksomhet har oversikt over hvilke tjenester som er eksponert på internett og at disse testes for sårbarheter. BDO kan bistå med gjennomføring av sårbarhetstester på virksomhetens eksponerte tjenester og applikasjoner
  • Benytt 2-faktor autentisering eller MFA (Multifaktor autentisering) der det er mulig. Selv om brukerne benytter svake passord eller har passord som er kommet på avveie, vil bruk av MFA gjøre det vanskeligere for angriperne å få tilgang til systemene 
  • Ha gode gjenopprettelsesrutiner og om mulig ha egen backup offline. Sørg for å ha offline backup av virksomhetskritisk informasjon og oppbevar disse fysisk adskilt fra normale driftssystemer. Sørg for å teste backup rutiner slik at du vet at data kan gjenopprettes 
  • Unngå å tildele sluttbrukere administratorrettigheter
  • Gjennomfør målrettet trening, opplæring og evaluering av ansatte for å øke bevissthet rundt IT-sikkerhet og trusler mot virksomheten. Brukeropplæring og phishing-øvelser vil øke bevisstheten hos de ansatte, og redusere faren for eksempelvis åpning av mistenkelige vedlegg eller nedlasting av virus 
  • Gjennomfør trusseløvelser, simulerte angrep og test virksomhetens evne til å håndtere datainnbrudd 
  • Overvåk nettverket ditt. Hvis mulig iverksett og implementer løsninger for MDR («Managed Detection and Response») 
  • Er du angrepet? Ta kontakt med BDO for råd og bistand til hendelseshåndtering og skadebegrensning 
  • BDO anbefaler at alle dataangrep blir anmeldt. Benytt tipslinjer opprettet av Politiet, og NSM for å varsle om pågående angrep. 

Listen over tiltak er ikke uttømmende.