Målrettede løsepengeangrep mot utdanningssektoren

UK-NCSC har den siste tiden registrert et økt antall ransomware-angrep som påvirker utdanningsinstitusjoner i Storbritannia. Kommune-CSIRT har her skrevet en artikkel basert på erfaringene fra UK og ikke minst erfaringer fra de siste måneders løsepengeangrep i Norge. Målet er å belyse de viktigste elementene for å sikre seg mot- eller på en god måte kunne håndtere et løsepengeangrep.

Publisert: 26.03.2021

I fjor høst ble det meldt om løsepengeangrep mot utdanningsinstitusjoner i Sentral-Europa og USA. Nå melder også UK National Cyber Security Center (UK NCSC) om målrettede ransomware-angrep på utdanningssektoren fra avanserte nettkriminelle.

UK NCSC sier i sitt varsel at man siden slutten av februar 2021 har observert et økt antall ransomware-angrep mot utdanningsinstitusjoner i Storbritannia, inkludert skoler, høyskoler og universiteter.

Kommune-CSIRT vil peke mot Nasjonal sikkerhetsmyndighet (NSM) i Norge som oppfordrer alle organisasjoner til å følge sin veiledning om «Hvordan forhindre infeksjon av løsepengevirus, og hva bør gjøres hvis virksomheten blir infisert?». Her beskrives en rekke trinn organisasjoner kan gjennomføre for å begrense effekten av angrepsvektorer og muliggjøre effektiv gjenoppretting fra ransomware-angrep.

Kommune-CSIRT vil påpeke viktigheten av NSMs grunnprinsipper for IKT-sikkerhet 2.0. Dette er et sett med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. De er relevante for alle norske virksomheter.

Bakgrunn

UK-NCSC har den siste tiden registrert et økt antall ransomware-angrep som påvirker utdanningsinstitusjoner i Storbritannia, inkludert skoler, høyskoler og universiteter.

Deres rapport beskriver trender ved ransomware-angrep på den britiske utdanningssektoren. Dette omfatter trender observert i august og september 2020, samt de nyere angrepene siden februar 2021. Det gis også tiltaksråd for å beskytte denne sektoren mot angrep.

UK NSCS skriver på sine sider:

Dette varselet er designet for å bli lest av de som er ansvarlige for IT og databeskyttelse på utdanningsinstitusjoner i Storbritannia.

Det er viktig at IT-driftsenheter tar tak i denne informasjon og gjennomfører tiltak for å beskytte systemer og data. Der disse tjenestene er outsourcet, bør du diskutere dette varselet med IT-leverandøren.

Det er også viktig at ledere i IT-organisasjonen, på skolene og i forvaltningen forstår betydningen av denne trusselen og potensialet løsepengeangrep har for å forårsake betydelig skade når det gjelder tapt data og tilgang til kritiske tjenester.

På grunn av utbredelsen av disse angrepene, bør man følge UK NCSCs anbefalinger* og veiledere om løsepengeangrep. Dette vil hjelpe med å få på plass en strategi for å forsvare deg mot løsepengeangrep, samt planlegge og øve på løsepengeangreps-scenarier, slik at man er forbered om man får et angrep.

*) Her vil Kommune-CSIRT anbefale NSM sin veiledning som dekker de samme tiltakene.

Løsepengevirus (Ransomware)

Løsepengevirus er en type skadelig programvare som forhindrer deg i å få tilgang til systemene dine eller dataene som ligger på dem. Dataene blir vanligvis kryptert, men de kan også bli slettet eller stjålet, eller selve datamaskinen kan gjøres utilgjengelig.

Når data og systemer er gjort utilgjengelige vil angriperen vanligvis sende et krav om løsepenger for å gjenopprette dataene, eller de legger igjen en såkalt Ransom Note, en tekstfil med informasjon om kompromitteringen og kontaktinstruksjoner. De vil vanligvis bruke en anonym e-postadresse (for eksempel ProtonMail) for å få kontakt. Vanligvis ønsker de seg betaling i kryptovaluta.

I det siste året har det vært en trend at de kriminelle også truer med å publisere sensitive data stjålet fra nettverket under angrepet, hvis løsepenger ikke blir betalt, også kalt dobbel utpressing. Det er mange tilfeller der cyberkriminelle har fulgt opp med truslene sine ved å publisere sensitive data på det «mørke nettet».

I de seneste hendelsene som har rammet utdanningssektoren i Storbritannia, har løsepengeangrep ført til tap av studiemateriell, kompromittering av skolens økonomiske informasjon, samt kompromittering av data knyttet til COVID-19-testing.

Effekten av løsepengeangrep

Løsepengeangrep kan ha en ødeleggende innvirkning på organisasjoner, og det kreves betydelig gjenopprettingstid for kritiske tjenester. Disse angrepene kan også ha høy profil med stor interesse for publikum og media.

Det er derfor viktig at skoler og it-driftsorganisasjoner har oppdatert og testet offline sikkerhetskopiering. Kommune-CSIRT vil her presisere betydningen av offline bakcup. Dette er en type backup hvor selve lagringsmedia blir frakoblet nettverket etter at kopieringen er foretatt.

Vanlige ransomware-infeksjonsvektorer

Ransomware-angripere kan få tilgang til offerets nettverk gjennom en rekke forskjellige måter. Det kan være vanskelig å forutsi hvordan et angrep vil begynne, da de nettkriminelle justerer angrepsstrategien avhengig av sårbarheten de identifiserer. I de siste hendelsene i Storbritannia har imidlertid UK-NCSC observert følgende trender:

Fjerntilgang

Angripere angriper ofte organisasjoners nettverk gjennom fjernaksessystemer som RDP (Remote Desktop Protocol) og virtuelle private nettverk (VPN). De utnytter jevnlig:

  • svake passord
  • mangel på flerfaktorautentisering (MFA),
  • upatchede sårbarheter i programvare.

Remote Desktop Protocol (RDP) er fortsatt den vanligste angrepsmåten som brukes av trusselaktører for å få tilgang til nettverk. RDP er en av mest brukte protokollene som brukes fra eksterne enheter slik at ansatte kan få tilgang til PC-er eller servere i interne nettverk over internett. Usikre RDP-konfigurasjoner brukes ofte av ransomware-angripere for å få fotfeste på ofrenes enheter.

Ofte har angriperen forutgående kunnskap om brukerlegitimasjon, gjennom phishing-angrep, fra lekkasjer eller via innsamling av brukerlegitimasjon (credential harvesting). Brukerlegitimasjon kan også bli oppdaget gjennom brute force-angrep på grunn av dårlige passordregler. Kompromittert legitimasjon og ekstern tilgang selges ofte av cyberkriminelle på kriminelle markedsplasser og fora på det mørke nettet.

VPN-sårbarheter

Siden 2019 har flere sårbarheter blitt avslørt i en rekke VPN-løsninger (for eksempel Citrix, Fortinet, Pulse Secure og Palo Alto). Ransomware-aktører utnytter disse sårbarhetene for å få fotfeste i offerets nettverk.

Hjemmeskole

Skiftet mot hjemmeskole det siste året har betydd at mange skoler raskt har utplassert nye nettverk, inkludert VPN og tilhørende IT-infrastruktur Cyberkriminelle vil fortsette å utnytte sårbarhetene i fjerntilgangssystemer.

Phishing

Phishing-e-postmeldinger brukes ofte av trusselaktører til å distribuere ransomware. Disse e-postene oppfordrer brukerne til å åpne en skadelig fil eller klikke på en ondsinnet lenke til en server med skadelig programvare.

Annen sårbar programvare eller maskinvare

Enheter som ikke er oppdaterte, har ofte blitt brukt av angripere som en enkel vei inn i nettverk. For eksempel rapporterte Microsoft tidlig i mars at nettkriminelle hadde utnyttet sårbarheter i Microsoft Exchange-servere for å installere løsepengevirus i nettverk over hele verden.

Navigering i nettverket

Når angriperen har skaffet seg fotfeste i et nettverk, vil angriperen vanligvis forsøke å navigere rundt i nettverket, øke privilegiene og identifisere verdifulle systemer, ofte ved hjelp av ekstra verktøy (som Mimikatz, PsExec og Cobalt Strike). De forsøker også å skjule sine handlinger slik at påfølgende etterforskning blir vanskeligere.

Nylig har både Kommune-CSIRT og UK NCSC observert angripere som ønsker å:

  • Slette backup for å gjøre gjenoppretting vanskeligere,
  • kryptere hele virtuelle servere,
  • bruke skriptmiljøer (f.eks. PowerShell) for å enkelt distribuere verktøy eller krypteringsprogramvare.

Skadebegrensning

Kommune-CSIRT vil peke mot Nasjonal sikkerhetsmyndighet som gjennom sin veiledning har to tiltak som anbefales for skadebegrensning. Løsepengevirus er en av mange typer skadevare, og leveransemetoden ligner på de fleste andre typer skadevare. Risikoen for å bli infisert av løsepengevirus kan minimeres ved å ta de samme forholdsreglene som er nødvendige for beskyttelse mot skadevare generelt.

Les mer om tiltakene her: https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/losepengevirus

Tiltak 1: Hindre at skadevaren får kjørt

Tiltak 2: Begrens konsekvensen skadevaren kan påføre

Kommune-CSIRT ønsker også med dette å påpeke viktigheten av at alle virksomheter har en digital beredskapsplan for å håndtere alvorlige digitale angrep.

Kilder

https://www.ncsc.gov.uk/news/alert-targeted-ransomware-attacks-on-uk-education-sector

https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/losepengevirus