av Mikael Winterkvist | jan 23, 2024 | Bluesky, Nyheter, Säkerhet
Det är ingen tillfällighet att statyer av flera svenska kungar pekar österut. Det är därifrån fienden förväntades att komma från och läget är detsamma när det ransomware – brottslingarna sitter i eller har kopplingar till Ryssland. Microsoft har analyserat en stor mängd attacker och följt alla många av de grupper som finns med bland de som attackerar andras datorsystem – över hälften av dem och attackerna kommer från Ryssland.
Rapporten, från oktober 2021, så konstateras att inom den här delen av den brottsliga verksamheten så finns en rad olika grupper och sammanslutningar som tillsammans utgör det som kallas ransomware-echonomy.
Ur Microsoft Digital Defense Report OCTOBER 2021
Grupperna har kontakter med varandra, använder flera olika skadliga program, utvecklar nya samtidigt som gruppmedlemmar byter tillhörighet och i toppen finns även kopplingar till stater, ryska underrättelsetjänst, eller så har grupperna statsstöd på andra sätt. Förutom Ryssland så finns pekas Kina, Nordkorea och Iran ut i Microsofts rapport.
Digitala spår
Förutom var grupperna hör hemma så kan pengaströmmarna spåras – även om kryptovalutor används för att försvåra spårningen av de skyldiga. Det går att kartlägga hur grupperna och enskilda medlemmar kommunicerar med varandra, hur attackerna genomförs och det finns digitala spår som lämnas ute på nätet som kan analyseras. Chainalyses har följt hur kryptovalutor hanteras och deras slutsatser pekar också österut, i många fall, mot Ryssland.
När det gäller de enskilda programmen så är det en massa olika namn som florera liksom namn på de grupper som ligger bakom attackerna.
Källa: Norton
Ransomware som en tjänst
Ransomware har också fött en ny obskyr affärsverksamhet – som en tjänst där du köper ett program, spridningen av programmet och hur du, utan djupare kunskaper, kan rikta en attack mot utvalda offer. Flertalet av de som erbjuder den här typen av tjänster sitter i skyddade av den ryska regimen och i takt med den ökande polariseringen mellan Ryssland och resten av omvärlden så minskar de ryska myndigheternas vilja att ingripa mot verksamheten – i den mån den inte har ett mera direkt stöd av ryska organisationer som ingår i den ryska underrättelsetjänsten.
Den här delen av verksamheten gör det också svårt att med säkerhet peka ut en enskild grupp – även om gruppens mjukvara (det skadliga programmet som används). Det kan finnas en annan grupp, en annan organisation bakom attacken som beställts och köpts nästan som vilken annan produkt och tjänst som helst.
Ryssland
I den nu pågående attacken mot Titoevry så har Titoevry själva bekräftat att spåren pekar mot Ryssland – SVT och Svenska Dagbladet. Omfattningen är inte helt enkel att skaffa sig en samlad bild av, men det är en av de större och mer omfattande attackerna på mycket länge.
- 120 myndigheter är drabbade i varierande grad
- Lönesystemet för 60 000 anställda i offentlig verksamhet ligger nere
- Region Västerbotten, Lunds universitet, Karlstad universitet, Region Uppsala, Region Blekinge, Högskolan Dalarna och Vellinge kommun tillhör dfe som drabbats och flera av regionerna har gått upp i stabsläge.
- Granngårdens butiker hålls stängda
- Rusta och Filmstaden har stora problem med sina datorsystem och har fått gå över till manuell hantering – i den mån det går.
- Systembolaget har drabbats av problem och störningar liksom ICA
I skrivande stund pågår ett stor arbete med att försöka att återställa drabbade system.
av Mikael Winterkvist | jan 23, 2024 | Bluesky, Nyheter, Säkerhet
Ransomware, skadliga krypteringsprogram, utgör ett hot mot allt och alla – alla verksamheter, även mot privatpersoner. Så här skyddar du dig.
Klicka inte
Klicka inte är det bästa rådet. Klicka inte på länkar och bilagor via e-post, klicka inte på länkar i notiser och klicka inte på länkar på hemsidor.
Uppdatera
Det är också viktigt att se till att hålla alla dina prylar uppdaterade. Är det din egen dator – uppdatera alla delar, operativsystem appar och program – och se till att uppdateringarna kommer från rätt avsändare. Uppdatera öven din iPhone och din iPad – alla dina prylar.
Installera inte
Installera inte filer, program eller uppdateringar på egen hand om du jobbar i en verksamhet, ett företag, en myndighet eller inom en organisation. Är det din egen dator så ladda aldrig hem uppdateringar utanför etablerade, kända och pålitliga distributionsvägar – och viktigt – håll dina prylar uppdaterade.
Utbilda
I en organisation så kan värdet av utbildning överskattas. Utbildad personal begår färre fel och det gäller även säkerhets och skyddet mot ransomware. Utbildning är dessutom ett närmast ständigt pågående arbete, en del av utvecklingen av an organisation, dels för att det tillkommit nya medarbetare, dels för att verkligheten. är under ständig förändring.
Är du företagare – utbilda din personal, det kan vara din viktigaste och bästa investering.
Säkerhetskopior
I sammanhanget så kan värdet av färska, läsbara säkerhetskopior inte överdrivas. Har filer krypterats och gjort obrukbara så kan återställning med hjälp av säkerhetskopior vara det enda sättet att få igång drabbade system igen och göra informationen läsbar.
Se också till att ha mer än en uppsättning säkerhetskopior. I sammanhanget så brukar minst tre uppsättningar rekommenderas, gärna fler, och de ska/bör finnas på olika platser – och de ska/bör inte vara kopplade mot varandra automatiskt. En hårddisk på jobbet med en komplett säkerhetskopia och en hårddisk hemma är ett exempel. Tillsammans med den version du har i din dator och utvalda kopior i en molnlösning så har du flera uppsättningar av viktig information.
Begränsa tillgången till data
Du bör/ska också begränsa tillgången till data – även om det krånglar till din tillvaro. Har du exempelvis alltid tillgång till bokföringssystemet så snart som du loggar in och under hela tiden då du är inloggad, vilket säkert är praktiskt, så kommer utpressnings-programmet snabbt att kunna slå ut all bokföring när attacken genomförs. Är du uppkopplas mot alla delar av det interna lokala nätverket, och alltid är det efter det att du har loggat in så kan attacken slå ut alla system och alla anslutna enheter.
Du ska alltså inte vara uppkopplad mot allt, alltid, även det innebär att du kopplas ned automatiskt och måste logga in när du vill komma åt information.
Övervakning
Datorsystem måste även övervakas och den här delen berör knappast dig som enskild användare utan det är en fråga för IT-avdelningen. Datorsystem ska övervakas och vilka som har tillgång till vilken information är en ständiga frågor som måste uppdateras, kontrolleras och följas upp.
Du som enskild användare kan, om du har lite bättre tekniska kunskaper, övervaka din egen dator. Little Snitch är ett exempel på ett program som läser av all trafik, till och från din dator – det senare är lite extra intressant i sammanhanget eftersom ransomware mycket ofta kommunicerar med utpressaren. Little Snitch är nu inte ett skydd mot ransomware utan ett program som kan slå larm, om du som användare använder det på rätt sätt och kan läsa av varningen på rätt sätt.
Detsamma gäller den brandvägg som du ska sitta bakom när du är ute på nätet. Den kan också ställas in för att stoppa hub varna för otillåten access men det är för de flesta användare överkurs och i ett företag en fråga för IT-avdelningen.
Mac
Drygt 95 procent av alla ransomware-program är skrivna för Windows, Microsofts plattform, vilket inte är detsamma om att din Mac är immun. Det finns ransomware-program som är skrivna för macOS och det finns skadliga program som läser av vilket operativsystem du har och som sedan slår till med ”rätt” version.
Anledningen till att utpressarna siktar mot just Windows är att det är det vanligaste operativsystemet bland alla operativsystem och att det är vanligast inom företag och andra organisationer. Tilläggas kan att sedan Windows version 10 så finns ett inbyggt skydd som ska begränsa hur program får tillgång till information och som ska begränsa skadorna av ransomware.
Logga inte in
Slutligen, logga inte in (aldrig) in på/i ett system som du vet har drabbats av ransomware. Kommer du till jobbet och får veta att ni kan ha utsatts för en attack – anslut inte din bärbara drar (om du har en sedan) och logga inte in.
Sammanfattning
Är det din egen dator så följ dessa råd:
- Klicka inte på länkar och installera inte program utanför säkra miljöer
- Uppdatera dins system
- Ha tre eller flera kopior på alla viktig information
av Mikael Winterkvist | jan 23, 2024 | Bluesky, Nyheter, Säkerhet
Ett epostmeddelande med en länk till ett skadligt program räcker för att slå ut ett företags hela IT-system på några sekunder. Det skadligt programmet kallas ransomware och gör det lönsamt att i stort sett attackera vem som helst och det är en typ av attack som det är mycket svårt att helt skydda sig från.
Ett enkelt e-postmeddelande med en länk till vad som påstås vara en programuppdatering, ett dokument eller en viktig uppgift för verksamheten. Meddelandet skickas till ett mycket stort antal mottagare och nu räcker det med att en enda enskild invid inte är tillräckligt uppmärksam, eller försiktigt misstänksam för att hela företagets IT-system ska slås ut på några sekunder.
I exemplet så har den anställde tillgång till interna system – det kan handla om en anställd som har till uppgift att hantera löner, bokföring och andra delar som rör företagets ekonomi. Det kan också handla om en anställd som behöver ha tillgång till den typen av uppgifter för att kunna sköta sitt jobb.
Steg 1 – kryptering
Det skadliga programmet är i grunden ett krypteringsprogram och när det aktiveras så söker det blixtsnabbt igenom den lokala datorn och alla anslutna enheter, externa hårddiskar, nätverksuppkopplingar och så vidare. Programmet söker efter vissa filer, bilder, dokument, videor eller filer som tillhör viktiga program. Hittas sådana filer så krypteras de och görs oläsliga.
När det första steget av attacken lyckats så inleds steg 2 – utpressningen.
Steg 2 – utpressningen
När attacken lyckats så skickar förövarna, brottslingarna ett meddelanden till den som drabbats. I meddelandet så krävs företaget på pengar för att få den fil, en nyckel, som krävs för att låsa upp och avkryptera filerna. Pengarna ska betalas till en anonym digital plånbok i kryptovaluta. Görs inte det inom en viss tidsgräns så kommer filerna att vara ohjälpligt oläsliga eller så kommer ett nytt meddelande – nu med en ännu högre prislapp.
I ett tredje steg kommer beskedet om att information stulits.
Steg 3 – informationstöld
När attacken är genomförd och utpressningsbrevet landar i inkommande e-post så kommer också beskedet om att förövarna har stulit stora mängder data – viktig information. Det kan vara interna affärsplaner, strategiska dokument, bokföringen, alla faktureringsunderlag och så vidare. Information som allvarligt kan skada företaget om de offentliggörs – vilket är steg 4.
Steg 4 – offentliggörande
Förutom att alla viktiga filer är oläsliga och att information har stulits så kommer också hotet om att offentliggöra all stulen information.
Steg 5 – förhandlingen
Drabbade företag kan välja att försöka att förhandla med utpressarna för att försöka att få ned priset och det finns konsulter som för dyra pengar kan anlitas för att sköta denna märkliga typ av kontakter.
Företaget har nu obrukbara IT-system, livsviktiga för hela verksamheten, och hotas med utpressning på lera plan och i flera steg. Betalar inte företaget så kommer filerna att förstöras och all information som stulits kommer dessutom att offentliggöras.
Spridning
Teknisk så finns det en gång rad av olika ransomware – allt från enkla program som slår till lokalt, i den drabbades dator, till mer avancerade program som inte bara slår till lokalt utan som kan sprida sig genom drabbade (smittade) system och slå till mot uppkopplade system och system som ansluter sig. Anställda som loggar in på måndagsmorgonen när de kommer till jobbet för att ta ett vardagligt exempel. Det finns ransomware som kopierar adressböcker och som skickar meddelanden vidare, blixtsnabbt, till andra anställda och alla kontakter. Får du ett brev från en kollega med uppmaningen att ladda hem och installera en programuppdatering, exempelvis, så ökar chanserna att attacken lyckas.
Det finns också ransomware som låser upp programmen, i sig, eller som låser anslutna enheter och gör dem obrukbara.
Omsätter miljarder
Det finns en lång rad av olika ransomware-program och den här brottsliga branschen omsätter miljarder, i dollar, årligen vilket gör det till en synnerligen lukrativ verksamhet. Beroende på vem du frågar så varierar beräkningarna på såväl kostnader som hur mycket pengar som årligen betalas ut till utpressare. Det här är en bransch med ett gigantiskt mörkertal därför att många som drabbas inte kan, törs eller vill berätta om det. Ta därför alla siffror med en nypa salt och utgå ifrån att siffrorna sannolikt ligger högre än de beräknade.
Siffror
För fyra år sedan beräknades de sammanlagda utbetalningarna till utpressare till minst 18 miljarder dollar, globalt. Detta i en ”bransch” som samtidigt beräknades ha en tillväxt på över 80 procent, per år.
- Enligt Verizons 2023 Data Breach Investigations Report (DBIR) var ransomware-attacker involverade i 24 % av alla intrång.
- Ransomware påverkade 66 % av olika organisationer, 2023, enligt Sophos rapport ”The State of Ransomware 2023”.
- Sedan 2020 har det upptäckts mer än 130 olika ransomware-varianter, enligt VirusTotals rapport ”Ransomware in a Global Context”:
- GandCrab ransomware-familjen var den vanligaste och utgjorde 78,5 % av alla mottagna prover.
- Nittiofem procent av alla ransomware-prover var Windows-baserade körbara filer eller dynamiska länkbibliotek.
Måltavlorna
Rangordnas olika branscher utifrån hur intressante eller vanliga de är som måltavlor så ser liten ut som följer:
- Utbildning.
- Byggnad och fastighet.
- Central och federal regering.
- Media, underhållning och fritid.
- Lokala och statliga myndigheter.
- Detaljhandeln.
- Energi och allmän infrastruktur.
- Distribution och transport.
- Finansiella tjänster.
- Affärs-, professionella och juridiska tjänster.
- Sjukvård.
- Tillverkning och produktion.
- IT, teknik och telekom.
Leverantörer
På senare år så siktar utpressarna allt oftare direkt mot leverantörer av IT-system, finska Titoevry som nu drabbats är ett exempel. Attacken som stängde 800 av Coops butiker sommaren 2021 (juli) är ett annat exempel då även Systembolaget, SJ och flera andra drabbades är ett annat exempel.
Andra måltavlor är tillverkare, underleverantörer, som kan vara bundna av avtal – de måste kunna leverera och de sitter dessutom ofta på stora mängder mycket konfidentiell information om produkter, lanseringar och affärsstrategier.
Betala inte
Det finns ett råd, genomgående, som säkerhetsexperter och polis tidigare alltid gav – betala inte. Får utpressarna betalt så finns inga som helst garantier för att du får den nyckel eller det program som krävs för att kunna återställa dina filer. Du kan bli sittande med helt obrukbar datorsystem trots att du har betalat. Det finns inte heller några garantier för att utpressarna inte kommer tillbaka och vill ha mer betalt för att inte offentliga den information de har stulit.
Det rådet, att inte betala, har omvärderats över tid och det finns säkerhetsexperter som menar att den snabbaste och enklaste lösningen är att betala, få informationen återställd för att sedan gå vidare och säkra upp systemen så att det inte händer igen. Andra menar att betalning är en garanti för att brottslingarna kommer att fortsätta med sin utpressningsverksamhet.
Amerikanska FBI har givit rådet, betala, återställ och gå vidare. För tydlighetens skull ska sägas att inte heller alla polisorganisationer är eniga om hur ransomsware ska hanteras – och att uttalandet från FBI har några år på naken (2015).
Här hemma i Sverige så tycks uppfattningen vara mer enhetligt – betala aldrig och polisanmäl.
Inom kort – del två – Så skyddar du dig mot Ransomware och del tre Här finns utpressarna
Länkar
Stora amerikanska företag och myndigheter drabbade av intrång
Stor ransomware-attack mot amerikanska bolag
Värsta ransomware-attacken i Italiens historia har slagit ut alla centrala system i Lazio
av Mikael Winterkvist | jan 21, 2024 | Bluesky, Säkerhet
En hackargrupp med förmodade kopplingar till rysk underrättelsetjänst har tagit sin i Microsofts datorsystem och där skaffat sig tillgång till flera högt uppsatta Microsoft-chefers e-post.
Microsoft har lämnat information om intrånget och säger att egna, interna undersökningar visar att intrånget begicks den 12 januari i år. De digitala spåren pekar mot en grupp som kallas Midnight Blizzard eller Nobelium vilket är samma grupp som antals ligga bakom intrånget 2020 i SolarWinds datorsystem.
Statsunderstödd
Microsoft och amerikanska myndigheter har tidigare sagt att Nobelium är en del av Rysslands Foreign Intelligence Service (SVR), alltså en statsunderstödd grupp hackare.
Beginning in late November 2023, the threat actor used a password spray attack to compromise a legacy non-production test tenant account and gain a foothold, and then used the account’s permissions to access a very small percentage of Microsoft corporate email accounts, including members of our senior leadership team and employees in our cybersecurity, legal, and other functions, and exfiltrated some emails and attached documents. The investigation indicates they were initially targeting email accounts for information related to Midnight Blizzard itself. We are in the process of notifying employees whose email was accessed.
Microsoft
Säkerhet
Intrånget sätter återigen fingret på Microsofts egen säkerhet och kvaliteten på den kod som företaget producerar i sina produkter. Vid intrånget i Solar Winds system i april 2021 så pekades bristfällig kod med buggar och säkerhetshål ut av de säkerhetsföretag som utredde intrånget:
SolarWinds-hackarna utnyttjade till fullo vad George Kurtz, VD för cybersäkerhetsföretaget CrowdStrike, kallade ”systematiska svagheter” i nyckelelementen i Microsofts kod för att bryta sig in i minst nio amerikanska statliga myndigheter – bland dem justitie- och finansdepartementen – och mer mer än 100 privata företag och tankesmedjor, inklusive mjukvaru- och telekommunikationsleverantörer.
Associated Press
Nu var det alltså dags igen och den här gången var måltavlan Microsofts själva.
av Mikael Winterkvist | jan 14, 2024 | Bluesky, Säkerhet
Den amerikanska tillsynsmyndigheten SECs, konto på X hackades nyligen och ett falsk inlägg gällande krypto-valutor publicerades vilket bland annat fick till följd att värdet på Bitcoin ökade. Nu visar det sig att den myndighet som ska övervaka och skydda investerares intressen inte skyddades med 2FA, tvåfaktor-inloggning.
Kort efter det att SECs konto på X hackats så postades ett tillkännagivande och besked som SEC förväntades göra om bitcoin, vilket ledde till att kryptovalutans pris snabbt ökade. Det falska inlägget på @SECGov sa att SEC hade godkänt att vissa typer av fonder får använda bitcoin. Det ledde till att kryptovalutans värt snabbt ökade tots att inlägget raderas inom en halvtimme.
Händelsen utreds nu av den federala polisen FBI:
”SEC fortsätter att undersöka ärendet och samordnar med lämpliga brottsbekämpande enheter, inklusive SEC:s kontor för generalinspektören och FBI,” sade en talesperson för SEC i ett uttalande.
CNN
Plattformen
Inledningsvis så riktades kritiken mot X, den sociala plattormen. X sades ha för dålig säkerhet, ett för dåligt skydd för användarnas konton och det gjordes kopplingar till det faktum att en stor del av anställda som haft som uppgift att skydda användarnas integritet sparkats i Elon Musk. X slog då tillbaka och publicerade uppgifter om att SECs konto inte skyddats med 2FA, tvåfaktor inloggning. Ett enkelt men synnerligen effektiv skydd som innebär att för att du ska kunna logga in så krävs ett engångslösenord, oftast en pinkod som kan skickas till dig i ett meddelande eller skapas lokalt, i din dator eller din iPhone.
”Vi kan också bekräfta att kontot inte hade tvåfaktorsautentisering aktiverad vid den tidpunkt då kontot äventyrades”, sa X i inlägget.
X
Tvåfaktor
Det faktum att en amerikansk myndighet, tillsatt för att övervaka handel med värdepapper och som ska skydda investerares intressen sätter fingret på en öm punkt – har du skyddat dina konton med 2FA, tvåfaktor-inloggning?
Så här får du ordning på 2FA-inloggningar i alla dina enheter
av Mikael Winterkvist | jan 6, 2024 | Bluesky, Säkerhet
Twitters utredning av intrånget (för några år sedan) då drygt 130 kända personers konton kapades och falska inlägg postades går vidare och nu skriver Twitter att intrånget möjliggjordes via det som kallas ”spearheaded attacks” – målinriktade attacker inriktade på vissa utvalda anställda.
Vid intrånget lyckades de skydliga komma åt interna administrationsverktyg som Twitter använder för att hantera konton. Det finns uppgifter om att vägen in till Twitter gick via en intern kanal på Slack. Obehöriga kom in i kanalen, kunde knyta kontakter och sedan stegvis lura av Twitters egna anställda inloggningsuppgifter.
Socialt hack
Detta är ett klassiskt tillvägagångssätt och generellt betydligt mer framgångsrikt och effektivt än att försöka ta sig igenom spärrar, brandväggar, inläggningar och andra skydd som finns i mjukvaran. Känner du inte till en direkt exploaterbar bugg så är den här typen av sociala hack mycket snabbare, enklare och mindre tidsödande. Du utger dig för att vara nyanställd, vädjar till en person som du vet har inloggningsuppgifter och skyller på att du tappat bort dina uppgifter och att du nu är i en knipa. Vädja till folks godtrogenhet och vilja att hjälpa till.
En av världens mest framgångsrika hackare, Kevin Mitnick, använde precis just den metoden på sin tid. Han ringde upp anställda, ljög om vem han var och bad att få information – som han påfallande ofta fick därför att vi människor i allmänhet är hjälpsamma och vi vill väl. Det är en modern, något mera digital variant vi kan ha fått se resultatet av på Twitter.
Ett exempel
Ett konkret exempel:
Företaget A anlitar ett konsultbolag, tekniker, för att hjälpa till med sin IT-drift. Konsulterna är lätta att identifiera. Deras målade bilar står utanför företag A rätt ofta. Klockan tio i tolv, en helt vanlig dag så lyfter du luren, ringer IT- och säkerhetschefen och får veta via växeln att han inte är tillgänglig. Han sitter i ett möte. Då klockan är strax före lunch så åker du till företaget, iförd samma kläder som konsultbolaget med vad som ser ut att vara en arbetsorder i handen. Du berättar för de i växeln eller någon annan anställda att du fått lite tid över, svängt förbi företaget för att se om du kan fixa ett allvarligt fel och en störning i det lokala nätverket.
I normalfallet, och om alla regler hade följts, så hade du inte kommit längre än till receptionen men nu är det lunch och det är semesterpersonal som sitter i receptionen. Du förklarar att arbetet egentligen skulle ha utförts om några veckor, efter alla semestrar men att du alltså fått tid över och att du kan tänka dig att ta en titt på problemet redan nu.
Följande vet de anställda:
Det finns ett fel i det lokala nätverket som stör trafiken och som ställer till det, ordentligt. Nu står alltså en person framför dem som säger att hen kan ordna felet men om det inte kan göra nu så kommer störningarna att fortgå i flera veckor till.
Säkerhetschefen går inte att nå och nu ska en semestervikarie besluta om att antingen släppa in personen som ser ut att ha rätt kläder, som har en arbetsorder i sin hand och som kan fixa ett irriterande fel.
Samma sits
Fundera på hur du skulle göra i samma sits. Så mycket kan jag avslöja att exemplet är ett verkligt exempel och att den falske konsulten släpptes ända in i server-rummet. Väl där ringde vederbörande säkerhetschefens privata mobil och meddelade att uppdraget var slutfört. Intrångstestet hade inte fallit väl ut och nu var säkerhetschefen skyldig honom en brakmiddag.
Hen var konsult, säkerhetskonsult med uppdrag att testa säkerheten. Redan dag 1 tog han sig in i server-rummet dit han på inga villkors vis borde ha tagit sig.
Vi människor är snälla och hjälpsamma – det utnyttjat hackarna och det kan ha varit så Twitter hackades.
