"Dobbel utpressing" ny trend ved løsepengevirusangrep

En sterkt økende trend i løsepengevirusangrep er observert de siste ukene - såkalt dobbel utpressing: Angriper kombinerer kryptering/låsing av filene med datatyveri og trussel om offentliggjøring av data hvis ikke løsepengene betales. Trusselaktøren presser offeret ekstra ved å lekke enkelte data på en åpen nettside.

Publisert: 4/23/2020

Denne trenden var i sin spede begynnelse mot slutten av fjoråret, da spesielt ved bruk av skadevaren som kalles Maze eller ChaCha. Aktøren bak denne skadevaren - ofte benevnt som TA2101 - angrep i desember i fjor Pensacola kommune i Florida, USA, og stjal samtidig data som ble sendt til en ekstern server. Faren for at slike data blir offentliggjort fører til ekstra press på offeret, som ofte betaler. I tilfellet Pensacola, er det ikke kjent om offeret betalte, men systemene kom etterhvert tilbake til normal drift. I november 2019 ble Allied Universal - et amerikansk sikkerhetsselskap - angrepet på samme måte, og ble bedt om 2,3 millioner USD i løsepenger. Som bevis på datatyveriet ble kontrakter, helseopplysninger og digitale sertifikater lagt ut på det mørke nettet.

Denne doble taktikken er kopiert av flere aktører og kampanjer utover i 2020, blant annet av aktørene bak Clop, DoppelPaymer, Nemty (som nå ikke lenger åpent annonsérer for sin tjeneste) og Sodinokibi, forteller Check Point.

Angripere som utnytter Sodinokibi skadevare (aka REvil) publiserte detaljer om angrepene sine mot 13 offervirksomheter, i tillegg til sensitiv virksomhetsinformasjon som var stjålet fra ofrene.

Relativt nylig ble en bydel i Los Angeles - City of Torrance - angrepet av DoppelPaymer, melder bleepingcomputer.com. Angriperne krevde 100 Bitcoin (ca. 7 MNOK) for en dekrypteringsnøkkel og for å hindre lekkasje av sensitive data. DoppelPaymer-aktørene har lagt ut informasjon om bydelen på sine "Dopple leaks" sider, som ser slik ut:

City of Torrance lekkasjer vist på "Dopple Leaks"

Prosess for dobbel-utpressing

Gangen i et dobbel-utpressing angrep foregår som regel slik:
1. Angriper kommer på innsiden av offerets nettverk
2. Angriper henter ut sensitive data fra offerets systemer (kundedata, pasientdata, ansattdata)
3. Skadevaren aktiveres, filer krypteres og aktøren forlanger løsepenger for å låse opp
4. Trusselaktør truer med å lekke sensitive data som et ekstra betalingspress
5. Som bevis på at data er stjålet og kan lekkes, legges noen få opplysninger ut på en åpen nettside, gjerne på det mørke nettet.

Risikoreduserende tiltak mot denne type angrep:

1. Ta backup, og sørg for at den finnes offline, utilgjengelig for skadevareangrep
2. Den menneskelige faktor: Lær opp brukerne til å være årvåkne og sikkerhetsbevisste
3. Begrens datatilgang til de som trenger filene/dataene.
4. Sørg for at antivirus, brannmur, IPS og andre signaturbaserte mekanismer er oppdatert
5. Benytt avanserte beskyttelsesmekanismer som hvitlisting av applikasjoner (AppLocker), geo-blokkering (IP-blokkering), sandkasse-kjøring og trusselekstrahering (fjerning av aktive eksekverbare komponenter i dokumenter).

Vær oppmerksom på at i Norge må datalekkasjer som nevnt i denne artikkelen rapporteres innen 72 timer til Datatilsynet, hvis det sannsynliggjøres brudd på personopplysningssikkerheten, dvs at personopplysninger er kompromittert.


Noen IOC'er (hasher mm hos Macafee) for Maze:

Domain mazedecrypt.top
IP 91.218.114.11
IP 91.218.114.25
IP 91.218.114.26
IP 91.218.114.31
IP 91.218.114.32
IP 91.218.114.37
IP 91.218.114.38
IP 91.218.114.4
IP 91.218.114.77
IP 91.218.114.79

Kilder:

https://www.bleepingcomputer.com/news/security/doppelpaymer-ransomware-hits-los-angeles-county-city-leaks-files/

https://threatpost.com/double-extortion-ransomware-attacks-spike/154818/

https://www.zdnet.com/article/nemty-ransomware-operation-shuts-down/

https://securitybrief.co.nz/story/check-point-discovers-new-double-extortion-ransomeware-tactic

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ransomware-maze/

https://research.checkpoint.com/2020/ransomware-evolved-double-extortion/