Ekspert: - Norge har stått i en ransomware-pandemi

Ekspertene mener at Log4j og ransomware har vært noen av de største sikkerhetsutfordringene i 2021.

Mange hackere bruker Cobalt Strike til ransomware-angrep, forteller Jan Henrik Schou Straumsheim. 📸: Thomas Winje Øijord / NTB
Mange hackere bruker Cobalt Strike til ransomware-angrep, forteller Jan Henrik Schou Straumsheim. 📸: Thomas Winje Øijord / NTB Vis mer

– Samtidig med koronaviruset har vi hatt en ransomware-pandemi. Det tror jeg dessverre vil fortsette i 2022, sier Jan Henrik Schou Straumsheim, direktør og leder for Cyber Threat Operations i PwC.

I løpet av 2021 har Norge sett en rekke dataangrep. Straumsheim og hans kollega Freddy Murre i NFCERT, har til nå registrert minst 42 offentlig kjente datainnbrudd i privat og offentlig sektor.

Onsdag økte antallet til 43 etter at Nortura meldte på sine hjemmesider at de var blitt hacket, ifølge VG.

kode24 spurt norske sikkerhetseksperter blant annet om hvilke dataangrep som har skilt seg ut, hvordan hackerne går fram og hvilke teknologier de benytter seg av.


Verste angrepet noensinne

Av dataangrepene i 2021 var minst 21 såkalte ransomware-angrep. Det reelle antallet angrep er større, da det ifølge Straumsheim er flere hendelser som ikke er offentlig kjent.

Straumsheim fremhever særlig ransomware-angrepet mot Østre Toten kommune i januar. Ifølge NRK ble rundt 30 000 dokumenter rammet og 1000 datamaskiner måtte gjenopprettes. Dokumentene inneholdt opplysninger som MinID, bankkonto, fødselsnummer og seksuelle forhold. Statskanalen omtaler det som det verste dataangrepet noensinne mot en norsk kommune.

- Angrepet påvirket eksempelvis spesialisthelsetjenesten og andre kommunale tjenester, og de var nødt til å gå over til manuelle prosesser. Dette påvirker folk flest helt på en annen måte enn om passord og brukernavn fra sosiale medietjenester havner på avveier, sier Straumsheim.

Straumsheim forteller at de aller fleste ransomware-innbrudd starter med én av to fremgangsmåter: Phishing eller at hackerne scanner etter enheter som er direkte eksponert til internett. Disse utnytter man og fortsetter å grave seg lengre inn i nettverket.

- En tredje fremgangsmåte er supply chain-angrep hvor trusselaktørene bryter seg inn hos tjenesteleverandører. Herfra benytter de tilgangen til kundenes systemer for å angripe målet med utgangspunkt i legitime credentials. Disse kan de bruke til å logge inn i kundens nettverk, sier han.

Jan Henrik Schou Straumsheim, direktør og leder for Cyber Threat Operations i PwC. 📸: Hung Pham.
Jan Henrik Schou Straumsheim, direktør og leder for Cyber Threat Operations i PwC. 📸: Hung Pham. Vis mer

Er flerspråklige

Ifølge sikkerhetseksperten bruker mange av hackerne linuxdistribusjoner slik som Kali. Når det gjelder ransomware har mange benyttet seg av Cobalt Strike - et kommersielt verktøy til penetrasjonstesting.

Straumsheim forteller at flere trusselaktører også har skaffet seg mer eller mindre gyldige versjoner av verktøyet. Det legger ut agenter, såkalte "beacons" på ofrenes maskiner.

- Det gir hackerne en mengde funksjonaliteter. Blant annet muligheten til å kjøre kommandoer, å kunne avlytte tastetrykk, eskalere rettigheter, nettverksscanning og muligheten til å flytte seg internt på nettverket, sier han.

- Hvilke programmeringsspråk er det som blir brukt?

- For å ta trusselaktører slik som ATP 28 og ATP 29 som eksempler. De bruker ulike typer programmeringsspråk for å gjøre det vanskeligere for sikkerhetsanalytikere å dekonstruere programvaren deres. Ved å bytte til nye språk kan de også gjøre det vanskeligere å unngå signaturbaserte deteksjonsmekanismer.

Bruker åpne kilder

Straumsheim legger til at ved å bruke moderne programmeringsspråk kan man også gå etter folk som bruker ulike plattformer.

- Vi ser at APT 28 og APT 29 i økende grad har beveget seg mot programmeringsspråk som Go og Rust. De skiller seg ut fra ransomware-aktører gitt tilknytningen til russisk etterretning. De har lengre tidshorisont på operasjonene sine, og en helt annen motivasjon enn ransomware-aktører.

Ifølge Straumsheim benytter de fleste hacker-grupperingene seg av verktøy som allerede er fritt kommersielt tilgjengelig fra åpne kilder, slik som GitHub.

Straumsheim tror at trusselaktørene også bruker mange av de samme IDEene og compilerene som lovlydige utviklere.

- Skillet ligger kanskje i at en normal utvikler vil sette opp unit testing for hvordan appen oppfører seg. For hackerne handler det i større grad om hvordan de kan pakke det på en smart måte uten at det blir oppdaget av antivirusprogramvare eller andre mekanismer, sier han.

Har fått en vekker

Erik Vetle Larsen er seniorkonsulent i Aztek og spesialist i penetrasjonstesting og hendelsesrespons. Også han trekker fram hackingen av Østre Toten kommune. Itillegg nevner han hackingen av Stortinget via Exchange sårbarheten som ble sluppet tidlig i år.

- Her så vi utnyttelsen av det som på hendelsestidspunktet var en helt fersk sårbarhet, hvor et statlig organ var offeret. Dette ble for mange en vekker på hvor viktig cyberdomenet er. Vi fikk et helt konkret eksempel på hvordan cyberangrep kan påvirke våre demokratiske prosesser.

En annen viktig hendelse er nyheten om sårbarheten i Log4j, kalt Log4shell. Ifølge Larsen er dette ikke en enkeltstående hendelse, men en sårbarhet som gjør det lett å levere andre typer skadevare eller gjøre andre typer angrep.

Han sier at det er flere elementer som gjør denne sårbarheten så alvorlig:

- Den er enkel å utnytte, fører til iverksetting av vilkårlig kode, den er svært utbredt over hele verden, og for mange er det ikke-trivielt å skulle patche det. Blant annet har den kriminelle gjengen bak Conti-ransomwaren allerede utviklet en fullverdig angrepskjede som aktivt utnytter Log4Shell.

Erik Vetle Larsen er seniorkonsulent i Aztek og spesialist i penetrasjonstesting og hendelsesrespons. 📸: Privat.
Erik Vetle Larsen er seniorkonsulent i Aztek og spesialist i penetrasjonstesting og hendelsesrespons. 📸: Privat. Vis mer

Kjøper seg tilgang

Det er lett å tenke at de cyberkriminelle er "ninjaer" med ekstremt høyt teknisk nivå. Larsen sier at selv om dette i noen tilfeller stemmer, slik som med statssponsede grupper, så er de "ordinære" cyberkriminelle gruppene som oftest langt enklere i fremgangsmåten.

- Mange kompromitteringer som har skjedd gjennom året har vært grunnet lekkede brukernavn og passord, upatchede systemer og generelt manglende sikkerhetskontroller. Det er som oftest her de kriminelle starter.

Han legger til at for de fleste kriminelle gruppene handler det om økonomisk insentiv. Derfor leter de ofte etter eksponerte sårbarheter eller lekkede passord på internett.

- Det finnes også en hel drøss med open-source verktøy som egentlig er tiltenkt formål som penetrasjonstesting og sikkerhetsvurdering, men som kan benyttes til angrep.

Frivillige ildsjeler

Ifølge Larsen skriver angripere mye egne verktøy for å komplementere eksisterende teknikker. Men det som er mest kjent er malware.

- Mye malware er skrevet i C og C++, men det fins mangfoldige eksempler på andre språk, som Python, Powershell, Perl og mer. Hvilke språk varierer nødvendigvis ut ifra hvilke operativsystemer som er målet, og hva som er formålet til programvaren som skrives.

Han sier at du gjerne kan ha selve skadevaren som skal kjøres, kalt payload, i ett språk, mens koden eller angrepet som blir brukt for å levere payloaden kan være noe annet.

I tillegg til ransomware tror Larsen at vi vil se flere sårbarheter i samme klasse som Log4Shell, nemlig svakheter i mye brukte open source-programvare.

- Dette er ikke fordi utviklerne bak er dårlige på sikkerhet, ofte tvert i mot, men fordi disse prosjektene ofte er drevet av frivillige ildsjeler på fritiden uten noe videre kompensering.