[JustisCERT-varsel] [#003-2021] [TLP:CLEAR] Løsepengevirus rammer kommune

JustisCERT formidler informasjon fra Nasjonalt Cybersikkerhetssenter (NCSC) vedrørende pågående angrep knyttet til løsepengevirus mot en kommune.

Varsel fra NCSC:
Merk at følgende kun beskriver kjente handlinger og verktøy, det kan ikke utelukkes at en angriper benytter andre verktøy. Man bør derfor undersøke bredt dersom man mistenker at man kan være truffet. Det aktuelle løsepengeviruset er kjent som "Mespinoza/Pysa" og man er kjent med lignende angrep mot lokale myndigheter i Frankrike [1] samt flere andre [2]. Fra disse og andre kjente hendelser vet man at aktøren bak angrepet vil forsøke å komme seg inn i nettverket gjennom blant annet "brute force"-angrep mot internetteksponerte tjenester og brukere. For eksempel vil angriper forsøke å koble seg til fjernaksessløsningen RDP dersom dette er tilgjengelig.

Dersom angriper kommer seg inn i nettverket har man observert at de vil forsøke å bevege seg mellom maskiner ved hjelp av RDP eller andre metoder for å bevege seg lateralt. Man har observert bruk av verktøyet "Mimikatz" for å hente ut passord og man vet at angriperen vil forsøke å dumpe passorddatabaser for å kunne få tilgang til flere brukere.

Angriper tar seg tid til å kartlegge nettverket de har fått tilgang til og man har sett at angriper har utført flere av følgende handlinger:

• Skrudd av antivirusløsninger. For eksempel har angriper skrudd av Microsoft Defender igjennom lokale gruppe policyer.
• Unntak for alle filer som har filendelsen ".exe" har blitt opprettet i Microsoft Defender
• Slette backup og skyggekopier av systemet
• Hente ut detaljer om nettverk, brukere, databaser og backup
• Bruk av flere PowerShell skripts for å kartlegge og automatisere
• Bevege seg lateralt ved hjelp av "PsExec"

Avhengig av hvor lett angriper oppnår tilgang til en administratorbruker, vet man at angriperen kan bruke alt fra timer til dager før man aktiverer løsepengeviruset.

I etterkant av kartlegging, infeksjon og handlinger utført av angriper ser man at angriper starter løsepengeviruset for å kryptere filene. Filene får en ny filendelse som slutter på ".pysa", i tillegg vil man få opp en beskjed om hvordan man skal kontakte angriper for å få dekryptert filene sine. Som regel vil angriper oppgi en tilfeldig generert e-post hos ProtonMail, "[tilfeldig tekst]@protonmail.com".

Hva kan du se etter?

• Mistenkelig trafikk inn og ut av nettverket til TOR-nettverket
• Mistenkelige RDP tilkoblinger fra internett mot egen infrastruktur
• Påloggingsforsøk gjennom "brute force"-angrep
• Mistenkelige pålogginger
• Deaktivering av antivirus
• Bruk av verktøy som "PsExec", "procdump" og "Mimikatz"

Anbefalinger:

1. Benytt 2-faktor/MFA på alle internetteksponerte løsninger som tillater pålogging.
2. Sørg for at det benyttes lange, sikre og unike passord over alt (f.eks. 16 tegn for vanlige brukere, minst 18 tegn for administratorbrukere og 29 tegn for servicekontoer).
3. Herde alle løsninger som er eksponert mot internett ekstra godt/nøye, og gjennomgå oppsettet regelmessig for å sikre at det er "up to date".
4. For Microsoft operativsystem: Benytt Local Administrator Password Solution (LAPS) på klienter og servere der det er mulig/aktuelt (eller tilsvarende løsninger for å hindre at det samme lokale administratorpassord benyttes på flere enheter).
5. For Microsoft operativsystem: Opprett GPO der det er mulig/aktuelt som setter "Interactive logon: Number of previous logons to cache (in case domain controller is not available)" på klienter og servere så lav som mulig. Dette gjør det vanskeligere for angriper å få tak i brukernavn og passord.
6. Logg og overvåk aktivitet på kontoer med utvidede rettigheter (som administrator/service-kontoer).
7. Ikke åpne for flere porter/tjenester/host/destination enn det som er absolutt nødvendig i brannmurer.
8. Benytt IP-filter/IPS/GEO-blokkering i FW/proxy for å beskytte internett-eksponerte tjenester. Tillatt kommunikasjon kun til/fra aktuelle IPer eller områder/land (f.eks. Norge dersom ansatte kun skal nå tjenesten fra Norge).
9. Benytt Web/DNS-filter som hindrer servere og klienter i å kontakte uønskede nettsider på internett (dersom denne internett-tilgangen er nødvendig).
10. Ikke tillatt RDP fra internett mot virksomhetens ressurser dersom det er mulig.
11. Aldri tillatt RDP fra virksomhetens internetteksponerte resurser (DMZ) til andre sikkerhetssoner (slik som DMZ 2, servernett 1 og klientnett 1).
12. Blokker all trafikk mot TOR-nettverket dersom dette ikke er strengt nødvendig.
13. Ha kontroll på og overvåkning av hvilke tjenester som er internetteksponert, deriblant åpne RDP-tjenester og andre fjernaksessløsninger.
14. Ha kontroll på og overvåkning av trafikk mellom sikkerhetssoner.
15. Ha gode gjenopprettelsesrutiner og om mulig ha egen backup offline eller plassert slik at denne ikke kan bli kryptert.
16. Installer sikkerhetsoppdateringer så raskt som mulig etter lansering.
17. Ikke tildel sluttbrukere administrator-rettigheter.
18. Blokker kjøring av ikke-autorisert programvare.
19. Ha tilstrekkelig logging av tjenester man benytter og bevar disse loggene i tilstrekkelig tid, gjerne lenger enn tre måneder.
20. Fas ut/erstatt program og maskinvare som ikke lenger mottar oppdateringer.

Dersom man er offer for løsepengevirus anbefales det at man ikke betaler angriper for å gjenopprette filene da dette vil være med på å finansiere kriminell aktivitet. Forholdet bør anmeldes til lokalt Politi. Se forøvrig følgende for ytterligere råd og generelle tiltak [3, 4, 5].

Referanser:

[1] https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-003/

[2] https://thedfirreport.com/2020/11/23/pysa-mespinoza-ransomware/

[3] https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/fire-effektive-tiltak-mot-dataangrep

[4] https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/losepengevirus

[5] https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/grunnprinsipper-ikt