av Bente Hoff

Siden begynnelsen av 2016 har løsepengevirus vært en økende global digital sikkerhetstrussel som har kunnet påvirke enhver virksomhet som ikke er tilstrekkelig sikret. Løsepengevirus er lønnsomt for kriminelle aktører da de har kunnet infisere store mengder brukere med sårbare enheter. Selv med beskjedne krav om løsepenger, har antall berørte brukere ofte vært nok til å gi kriminelle aktører god fortjeneste.

Det har også vært en internasjonal trend for mer målrettede løsepengevirusangrep, hvor kriminelle aktører gjennomfører grundige analyser av målets nettverk for å forstå "verdien" til virksomheten og sette løsepengekrav deretter. Gjennom analyse av målets nettverk og lateral bevegelse i nettverket forsøker ondsinnede aktører å påvirke virksomheten mest mulig; potensielt i den grad at virksomheten nektes tilgang til forretningskritiske filer og systemer, og at operativ drift av virksomheten hindres.

Så langt har angrep med løsepengevirus vært mest utbredt på Windows-operativsystemer, men angrep mot Mac- og Linux-systemer er også observert.

Metodene som brukes for å infisere systemer med løsepengevirus ligner på de som brukes til infisering av systemer med andre typer skadevare. På samme måte ligner også tiltakene virksomheter bør ta for å sikre seg selv.

Avhengig av hvor godt forberedt virksomheten er, kan en infeksjon med løsepengevirus forårsake alt fra mindre irritasjon til store forstyrrelser.

Denne teksten gir en oversikt over løsepengevirus, foreslår enkle tiltak som kan forhindre en løsepengevirushendelse, og gir råd om hva som bør gjøres hvis virksomheten infiseres med løsepengevirus.

Hva er løsepengevirus?

Det finnes to typer løsepengevirus. Den første typen krypterer filene på en datamaskin eller et nettverk, mens den andre typen låser skjermen. Begge typer krever betaling av løsepenger for å kunne bruke datamaskinen normalt igjen. Denne betalingen kreves ofte i en kryptovaluta som Bitcoin.

I mange tilfeller er beløpet ganske beskjedent, slik at det å betale løsepenger skal være den raskeste og billigste måten å få systemet tilbake til normal tilstand. Det er imidlertid ingen garanti for at nøkkelen eller passordet som trengs for å låse opp datamaskinen vil bli overlevert dersom løsepenger betales.

Løsepengevirusangrep er ofte lønnsomt fordi omfang og automatisering gir muligheter for å ramme mange virksomheter samtidig. Dette står i motsetning til utpressing av store summer gjennom mer målrettede angrep. I noen tilfeller har løsepengevirus vært kjent for å infisere det samme målet flere ganger på rad. Løsepengevirusangrep er vanligvis ikke rettet mot bestemte personer eller systemer, og kan derfor forekomme i hvilken som helst sektor og virksomhet, og mot tilfeldige privatpersoner.

Hvordan infiserer løsepengevirus systemet?

Datamaskiner infiseres med løsepengevirus på en rekke måter. Noen ganger blir brukere lurt til å kjøre legitime programmer som inneholder løsepengevirus. Disse kan komme via tilsynelatende legitime e-postvedlegg eller via lenker til tilsynelatende legitime nettsider (også kjent som phishing).

Nylig har det blitt observert løsepengevirus som utnytter programvare med sårbarheter. I disse tilfellene kan det da være nok å besøke en ondsinnet nettside for å bli infisert. En rekke angrepsvektorer har blitt brukt, for eksempel sårbare nettlesere, eldre protokoller som SMBv1, eller fjernadministrasjonsverktøy som Remote Desktop Protocol (RDP). Her har angripere utviklet metoder for å identifisere og utnytte sårbare RDP-sesjoner ved å stjele påloggingsinformasjon og annen sensitiv informasjon.

Selv om det er mindre vanlig, kan dataoverføringer mellom datamaskiner (for eksempel via USB-minnepinner) også føre til spredning av løsepengevirus.

Hvilken konsekvens har løsepengevirus?

Løsepengevirus blokkerer tilgang til systemer eller data frem til en løsning er funnet. Hvis berørte systemer leverer kritiske tjenester, kan dette ha alvorlige omdømme-, økonomi- og sikkerhetsmessige konsekvenser for berørte virksomheter og deres kunder. Selv om virksomheten har en nylig sikkerhetskopi av systemet, kan det fortsatt ta lang tid å gjenopprette normal drift.

Hvis en kriminell virksomhet har utført et vellykket løsepengevirusangrep mot en virksomhet, bør det stilles spørsmål om mer indirekte og varige konsekvenser. For eksempel, hvor mange andre varianter av løsepengevirus er fortsatt tilstede i systemet og bare venter på å bli aktivert? Hvordan skal de bli fjernet, og hvordan skal brukere bli advart? Ble andre typer skadevare distribuert samtidig? Hvilke type skadevare er det snakk om og hva gjør de? Og når?

Tiltak 1: Hindre at skadevaren får kjørt

Løsepengevirus er en av mange typer skadevare, og leveransemetoden ligner på de fleste andre typer skadevare. Risikoen for å bli infisert av løsepengevirus kan minimeres ved å ta de samme forholdsreglene som er nødvendige for beskyttelse mot skadevare generelt.

Følgende tiltak er eksempler på god sikkerhetspraksis:

  • Vær bevisst på at phishing utnytter folks naturlige tendenser til å være hjelpsomme. En kombinasjon av teknologiske, prosess- og brukerbaserte virkemidler vil hjelpe virksomheter å minimere brukeres eksponering for phishing, gjenkjenne og rapportere angrep, beskytte seg og håndtere hendelser. Vær dog varsom med å delegere for mye av sikkerhetsansvaret til brukerne, da NSM har observert at det oftest gir liten effekt. Se derfor videre på etterfølgende punkter som legger vekt på teknologiske og prosessuelle virkemidler for å redusere brukerens mulighet for å gjøre feil.
  • Oppgrader program og maskinvare: Gamle utgaver av operativsystemer og programmer som Windows og Office er mer sårbare. Nyere produktversjoner har tettet flere sikkerhetshull enn eldre versjoner, og de har ofte flere og bedre sikkerhetsfunksjoner. Mange av de mest kjente dataangrepene rammer primært virksomheter som fremdeles benytter eldre produkter som f.eks. Windows XP, Vista og 7.
  • Installer sikkerhetsoppdateringer så fort som mulig: Noen løsepengevirus får kontroll ved å utnytte sårbarheter i operativsystemer, nettlesere, nettleserutvidelser eller programvare. Ofte har disse sårbarhetene vært kjent en stund, og oppdateringer har vært tilgjengelige. Implementering av disse oppdateringene er en av de mest effektive måtene å forhindre at et system blir kompromittert på. I tillegg til oppdatering av enheter som brukes til nettlesing og e-post, er det viktig å oppdatere systemene de er tilkoblet, ettersom noen løsepengevirus er kjent for å bevege seg til andre systemer og kryptere filer etterhvert som de nye systemene nås. Det er viktig å iverksette tiltak for å hindre at en angriper kan etablere fotfeste i nettverket og oppnå ytterligere tilgang (lateral bevegelse), samt å sikre systemgrenser.
  • Ikke tildel administrator-rettigheter til sluttbrukerne: De fleste brukere har ikke behov for rettigheter til å installere programvare på sine enheter uten tillatelse fra en administrator. Unntaksvis kan enkelte brukergrupper ha behov for å kjøre kode som ikke er tillatt på forhånd; vurder hvordan dette skal være mulig, slik at det ikke gjøres på måter som ikke kan monitoreres eller risikostyres. Administrator-rettigheter kan også misbrukes av angriper til å skru av sikkerhetsinnstillinger på enheten.
  • Gi kun tilgang til autoriserte programmer: Få oversikt og kontroll på programvare brukerne trenger til arbeidet sitt, og sperr alt ellers av ukjent og ikke-autorisert programvare. En vanlig måte angripere får kjørt kode på er ved å lure brukere til å tillate kjøring av Office-makroer. Svært mange brukere trenger ikke denne funksjonaliteten som misbrukes av angripere. Dette kan forhindres ved å blokkere kjøring av makroer, eller kun tillate virksomhets-signerte makroer. For generell kontroll av programvare-kjøring på Windows enheter anbefales «AppLocker» (ikke tilgjengelig på «Pro») eller «Software Restriction Policies - SRP» (tilgjengelig på alle Windows utgaver). 
  • Kontroller dataflyt: Benytt brannmurer med logging for å filtrere og kontrollere trafikken mellom de ulike sikkerhetssonene og mot Internett. Filtreringen bør utføres ved å hviteliste ønsket nettverkstrafikk. Brannmurregler bør ha en begrunnelse for åpning og bør revideres jevnlig.

Figur 1 - NSMs 4+6

For mer informasjon, se NSMs Grunnprinsipper for IKT-sikkerhet (https://www.nsm.stat.no/grunnprinsipper-ikt)

Tiltak 2: Begrens konsekvensen skadevaren kan påføre

Følgende tiltak kan bidra til å redusere konsekvensen av om et løsepengevirus likevel skulle klart å kjøre (oftest fordi tiltakene over ikke er tilstrekkelig fulgt opp).

  • God tilgangsstyring er viktig for å bidra til at løsepengeviruset ikke krypterer all data i virksomheten. Begrensninger av brukernes tilganger til bare de data og filsystemer det er tjenstlig behov for kan dermed bidra til å redusere omfanget av krypteringen, hvor da bare de dataene som brukeren har tilgang til vil bli berørt. Tilganger til delte nettverksstasjoner bør også regelmessig vurderes for å forhindre at data lagret på disse også blir kryptert.
  • Rettighetsstyring vil bidra til å redusere hvilke typer data løsepengeviruset kan kryptere. Brukere uten administrator-rettigheter vanskeliggjør mulighet til å kryptere systemmapper, og kun datamapper de har skriverettigheter til vil bli kryptert. Det bør derfor vurderes om alle ansatte trenger å ha skriverettigheter til alle mapper og dokumenter, i noen tilfeller er det tilstrekkelig med leserrettigheter. Dette kan også bidra til at enkelte typer løsepengevirus ikke får kryptert tilstrekkelige eller nødvendige filer for å hindre operativ tilgang til systemet. Dette er god praksis uansett og, i likhet med mange av de andre anbefalingene, vil det forhindre en rekke dataangrep.
  • Sikkerhetskopiering av data. Virksomheter bør sørge for at de har testede sikkerhetskopieringsløsninger på plass. Sikkerhetskopier bør ikke være tilgjengelig for maskiner som er utsatt for løsepengevirus, og heller ikke være den eneste beskyttelsen en virksomhet har mot løsepengevirus; god sikkerhetspraksis gjør at virksomheten ikke får løsepengevirus i utgangspunktet.
  • Ha kontroll på datatrafikken mellom virksomhetens forskjellige delsystemer. Mange virksomheter vil ha delsystemer som er spesielt kritisk å beskytte. Det kan være delsystemer knyttet til sensitiv funksjon (f.eks. produksjon), spesielle geografiske lokasjoner, eller en kombinasjon. Noen virksomheter kobler for mange av delsystemer sammen, uten å ha god kontroll av datatrafikken mellom de forskjellige delsystemene. Dette er risikabelt og kan øke spredning av et dataangrep. Det anbefales at trafikken til og fra de mest sensitive delsystemene er begrenset til kun de aller mest nødvendige protokoller/porter, og at disse sensitive delsystemene har egne nettverksoner (VLAN eller lignende mekanismer). I slike sensitive delsystemer bør man ikke ha mulighet til utføre risikable operasjoner som f.eks. lesing av epost og surfe på internett. Når man oppdager et dataangrep på virksomheten, bør man koble fra de mest sensitive delsystemene. Det krever at man på forhånd forstår konsekvensene av det og har beredskapsplaner klare for en slik frakopling. Delsystemer som allerede er rammet bør frakobles helt fra andre delsystemer. Noen virksomheter har delsystemer som er så kritiske at de ikke bør ha fast tilkobling til de andre delsystemer i det hele tatt, men kun være begrenset manuell dataoverføring (med flyttbare medier) der det er nødvendig. Det krever gode manuelle rutiner.