Norsk Kommune utsatt for alvorlig sikkerhetshendelse

Kommune-CSIRT ble lørdag 9. januar kjent med at en norsk kommune hadde vært utsatt for et massivt målrettet løsepengevirusangrep. Aktør har lykkes i ramme hele den kommunale tjenesteleveransen med noen få unntak.

Publisert: 1/14/2021

Store deler av kommunens servere ble kompromittert og kryptert – inkludert backup-serveren, og backupene ble slettet. Mange kommunale tjenester blir nå håndtert med penn og papir. Korona-håndtering, HR, Teams/365 for digital undervisning og økonomi-systemet er noen av systemene som ikke er berørt. Kommunen jobber sammen med et team fra ATEA for å forsøke å gjenoppbygge serverne. Backup er sendt til IBAS for forsøk på oppretting. Angrepet er anmeldt og Kripos/NC3 er på saken.

Det aktuelle løsepengeviruset er kjent som "Mespinoza/Pysa" og man er kjent med lignende angrep mot lokale myndigheter i Frankrike og Storbritannia. Aktøren leverer løsepengevirus som en tjeneste (RaaS - Ransomware as a Service) og er i dag blant de 10 mest aktive gruppene.

Aktøren er kjent for å ta seg god tid i de initielle fasene og jobber strukturert for å etablere fotfeste i offerets infrastruktur. Aktøren velger seg ut mål med omhu. Fra disse og andre kjente hendelser vet man at aktøren bak angrepet vil forsøke å komme seg inn i nettverket gjennom blant annet "brute force"-angrep mot internetteksponerte tjenester og brukere. For eksempel vil angriper forsøke å koble seg til fjernaksessløsningen som RDP, VPN eller Citrix dersom dette er tilgjengelig. Manglende bruk av tofaktorautentisering bidrar til at dette lykkes.

Dersom angriper kommer seg inn i nettverket har man observert at de vil forsøke å bevege seg mellom maskiner ved hjelp av RDP eller andre metoder for å bevege seg lateralt. Utnyttelse av sårbarheter som Zerologon (CVE-2020-1472) er også observert. Man benytter også verktøy for å sanke passord/brukernavn etter hvert som man beveger seg lateralt i infrastrukturen. Det søkes aktivt etter backup systemer og skyggekopier på klient, som slettes. Antivirus og annen deteksjon på server og klient skrus av eller avinstalleres.

Avhengig av hvor lett angriper oppnår tilgang til en administratorbruker, vet man at angriperen kan bruke alt fra timer til dager før man aktiverer løsepengeviruset.

I etterkant av kartlegging, infeksjon og handlinger utført av angriper ser man at angriper starter løsepengeviruset for å kryptere filene. Filene får en ny filendelse som slutter på ".pysa", i tillegg vil man få opp en beskjed om hvordan man skal kontakte angriper for å få dekryptert filene sine. Som regel vil angriper oppgi en tilfeldig generert e-post hos ProtonMail, for eksempel "[tilfeldig tekst]@protonmail.com".


Hva kan man se etter:

* Mistenkelig trafikk inn og ut av nettverket til TOR-nettverket

* Mistenkelige RDP tilkoblinger fra internett mot egen infrastruktur og internt

* Påloggingsforsøk gjennom "brute force"-angrep

* Mistenkelige pålogginger

* Deaktivering/avinstallering av antivirus

* Bruk av verktøy som "PsExec" og "procdump"


Denne typen aktører begynner nå å bli så målrettede at denne typen scenarier med kryptering og eksfiltering av data, at det bør vurderes om slike scenario bør inn i beredskapsplanverket. Både for å sikre effektiv håndtering av selve hendelsen, men også hvordan problematikken rundt lekkasje av sensitive data skal håndteres.