Løsepengeviruset WannaCry - Hvordan beskytte virksomheten?

Fredag 12. mai ble virksomheter og privatpersoner over hele verden infisert av en omfattende ransomware (løsepengevirus) kampanje. Enkelte selskaper i Norge har blitt rammet, men i skrivende stund kan det se ut som om vi har sluppet billig unna. Skadevaren blir omtalt som bl.a. ‘WannaCry’ og ‘WanaCrypt0r’, og spredde seg i svært høy hastighet.

PwCs foreløpige vurdering er at skadevaren sprer seg via Microsoft Windows sin implementasjon av server message block (SMB) protokollen. Sårbarhetene som utnyttes ble rettet opp av Microsoft i sikkerhetsoppdateringen MS17-010 i mars.

Hva vet vi så langt?

Ifølge Europol er mer enn 200.000 systemer i over 100 land rammet. Det reelle antallet vil sannsynligvis øke i de kommende dagene.

• Det er to distinkte komponenter i kampanjen. Løsepengeviruset i seg selv, og spredningsmekanismen som benyttes både for å laste ned løsepengeviruset og å spre det videre til andre sårbare systemer. Våre tekniske analyser indikerer at spredningsmekanismen kan benyttes til å infisere systemer med andre typer skadevare, og vi forventer å se andre varianter i løpet av kommende uke.
• Flesteparten av virusene PwC har analysert fra kampanjen som startet på fredag inneholder et såkalt ‘kill switch’ domene. Dersom skadevaren lykkes å kontakte dette domenet vil ikke data på systemet bli kryptert. Sikkerhetseksperter har tatt kontroll over de to foreløpige kjente ‘kill switch’ domenene [1]. PwC anbefaler at disse ikke blokkeres da infiserte systemer som lykkes å kontakte de ikke vil krypteres.
• Minst en kopi av skadevaren har blitt endret for å omgå ‘kill switch’ funksjonaliteten. Det at en eksisterende kopi av skadevaren ble endret for nettopp dette formålet - istedenfor at den opprinnelige utvikleren fjernet funksjonaliteten - tyder på at endringen ble utført av noen andre enn de som står bak kampanjen.
• Det er i skrivende stund flere uverifiserte rykter om hvordan skadevaren blir distribuert. Flere har antydet at den blir levert via ondartede e-postvedlegg, men vi kan på nåværende tidspunkt ikke bekrefte denne påstanden. 'Phishing' har lenge vært den mest populære metoden å spre løsepengevirus på, men i dette tilfellet har vi ingen håndfaste bevis som peker i den retningen.
• Microsoft har publisert ytterligere sikkerhetsoppdateringer som også inkluderer oppdateringer til Windows XP, et operativsystem som ikke har mottatt oppdateringer siden 2014: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Strategiske anbefalinger

I løpet av de siste par årene har bruk av løsepengevirus økt i popularitet blant datakriminelle. Det har blitt utviklet flere varianter som er skreddersydd for å infisere bedriftsnettverk. Det finnes flere tiltak virksomheter kan iverksette som vil redusere sannsynligheten for at infeksjoner lykkes, og begrense skadeomfanget dersom uhellet skulle inntreffe.

PwCs råd dekker en rekke aspekter av virksomhetens IT- og sikkerhetsarbeid, og oppsummeres som følger:

• Styrets og ledelsens ansvar - Cybersikkerhet er et svært teknisk fag, og er i rask utvikling. God styring forutsetter riktig kompetanse, herunder evnen til å stille gode spørsmål. PwC har utarbeidet en veiledning som kan leses i cybersikkerhetskapittelet av PwCs Styrehåndbok.
• Robust kontinuitetsplanlegging og øving - Tilstreb at systemer og servere raskt kan bli gjenopprettet fra sikkerhetskopier, og at det tas kopier i en frekvens som er i samsvar med virksomhetens akseptable risiko for driftsavbrudd.
• Trening i krise, beredskaps- og hendelseshåndtering - Sikre at det finnes formelle prosedyrer, og at ansatte og ledere trenes jevnlig for å vite hvilke roller, ansvar, oppgaver og myndighet de har for raskt å kunne håndtere alvorlige hendelser.
• Sterk sikkerhetshygiene og brukerbevissthet - Sørg for at ansatte trenes i å oppdage og rapportere phishing-forsøk, samt at sikkerhetsmekanismene justeres for å redusere risikoen for at brukere blir eksponert for ondartede e-postvedlegg og lenker.
• Sterk kontroll på sikkerhetsoppdateringer og sårbarhetsanalyser - Det er utfordrende å sørge for at alle systemer til enhver tid har de siste oppdateringene. Likevel ser vi at sårbarhetene som ble utnyttet i denne kampanjen ble rettet i Microsofts sikkerhetsoppdateringer allerede i mars. Ved å gjennomføre jevnlige sårbarhetsanalyser av systemer som er eksponert mot internett kan virksomheten skaffe seg nødvendig oversikt over hvilke oppdateringer som bør prioriteres.

Prioriterte anbefalinger for å håndtere løsepengeviruset WannaCry

Ledere bør tilstrebe at IT-avdelingen får nødvendige ressurser for å installere Microsoft sikkerhetsoppdateringer for mars, april og mai, med spesielt fokus på MS17-010.

Ledere bør være forberedt på at oppdateringene kan medføre driftsavbrudd og at enkelte tjenester midlertidig blir utilgjengelige etterhvert som nye sikkerhetskontroller kommer på plass og sårbare tjenester deaktiveres.

Videre anbefaler PwC følgende konkrete tiltak:

• Deaktiver ekstern SMB-tilgang (blokkering av portene 137, 139 og 445 til og fra internett)
• Deaktiver versjon 1 av SMB nettverksfildelingsprotokollen i hele bedriftens nettverk
• Deaktiver muligheten for brukere å kjøre usignerte makroer i Microsoft Office-dokumenter ved hjelp av group policy-innstillinger, og signer makroer som benyttes internt i egen virksomhet
• Sørg for at to-faktorautentisering implementeres for ekstern tilgang til IT-systemer (eksempelvis via VPN og RDP)
• Identifiser alle bedriftssystemer som ikke har installert oppdateringen MS17-010
• Segmenter gjestenettverk fra bedriftens nettverk
• Oppdater virksomhetens antivirussignaturer
• Sørg for at klienter og servere kan oppnå forbindelse med ‘kill switch’ domenene [1], og at de ikke blir blokkert av eksisterende sikkerhetsmekanismer
• Sørg for at infiserte systemer raskt kobles ut av virksomhetens nettverk for å forhindre spredning til andre systemer
• Rapporter infeksjoner til sektorvise responsmiljøer der dette finnes, alternativt til NSM NorCERT

PwC anbefaler ikke å betale løsepenger - med mindre liv og helse står i fare. Ved å betale løsepenger bidrar man til å finansiere kriminell virksomhet, som igjen vil brukes til å videreutvikle nye typer skadevare.

For mer informasjon, legg igjen en kommentar eller send oss en e-post.

[1] ‘Kill switch’ domener
De følgende domenene er foreløpig under kontroll av sikkerhetseksperter. PwC anbefaler å monitorere utgående trafikk mot internett for disse domenene, men ikke å blokkere de. Dersom skadevaren lykkes å kontakte dette domenet vil ikke data på systemet bli kryptert: Merk at vi har brukt klammer for å forhindre utilsiktet trafikk mot domenene.
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com