Ransomware-tips från RSA Security Conference av Henrik Skovfoged, chef, SE, Conscia
Vi rapporterar lite från den stora RSA-säkerhetskonferensen som ägt rum i Moscone Conference Center i hjärtat av San Francisco i början av mars. Det märks att konferensen är en av de viktigaste inom säkerhetsområdet eftersom den drar så mycket folk att hotellpriserna höjts dramatiskt under veckan.
Jag är här med min kollega Niels Mogensen från Conscia. Vår första session vi deltar i handlar om ”emerging threats”. Den pågår hela måndagen och har ungefär 4000–5000 konferensdeltagare. Sessionen är uppdelad i korta 30-minuterspass där olika föredragshållare berättar om hur de ser på ämnet ”emerging threats”.
Sociala medier, Putin och Cryptojacking
Det första passet handlade om Putin och hur Ryssland påverkar bilden av det egna landet via sociala medier. Det har skett i samband med det amerikanska valet, Brexitomrösningen och i och med Kataloniens krav på självständighet. Några skarpa bevis framfördes inte men däremot ett antal postulat om Rysslands inblandning. Talarna menade att sociala medier kommer att vara den nya kanalen att genomföra attacker via eftersom många privatpersoner och företag kontrollerar sin e-post men inte sina sociala medier, där det alltså finns mer fritt spelrum. Det är dessutom otroligt billigt att driva effektiva kampanjer på sociala medier.
Nästa session handlade om kryptojacking. Här var det Cisco Umbrella DNS Blocker som nämndes som ett effektivt skydd mot det växande problemet med kryptojacking – det vill säga när din dator används för att mina kryptovaluta utan att du märker det. Också här framfördes tankarna att det är Europa och Ukraina som ligger bakom den här typen av hot.
IOT-hot – Linux/Moose-botnet
Nästa session handlade om praktiska erfarenheter från ett IOT botnet som genomförde bedrägerier på sociala medier. Botnetet var Linux / Moose. Det används till exempel för att köpa fler följare på Instagram. Priset är cirka 13 dollar för 1000 följare. Och botnetet är gjort så att det också ”gillar” riktiga stjärnor på instagram så att det verkar vara äkta.
Nästa pass handlade om hackning av IOT-enheter och om huruvida det är lönsamt. Sessionen hölls av forskare från Symantec. De utgick i sin presentation från en botnet med 100 000 IOT-botar. 75% av dessa infekterade IOT-enheter var faktiskt routrar. Det var en bra presentation som visade att det faktiskt inte finns mycket pengar att komma över genom att hacka IOT-enheter.
Skadligt Office-makro in i Windows 10
Presentationerna fortsatte under hela dagen och handlade mycket om kapplöpningen mellan dem som försvarar och dem som angriper. Om Exploit kits och hur de används allt mindre, eftersom polisen nu genomför raider mot utvecklarna. I stället för Exploit kits riktas nu insatserna på makron i Office-dokument, brute force-attacker med mera. En presentation visade ett mycket konkret exempel på ett skadligt Word-makro som kunde slinka igenom det grundläggande skyddet som är inbyggt i Windows 10.
Ransomware-tips: skydda dig mot Ransomware-on-demand
Den sista presentationen på måndagen hölls av McAfee. Det handlade om det nu Norsk Hydro-aktuella ämnet ransomware och om ökningen av målinriktade ransomware, alltså när angriparen väljer ett offer, hittar en väg genom exempelvis en oskyddad RDP-session och därefter planterar sin ransomware. Angriparen kommer sannolikt att få en mycket större vinst genom att välja och attackera specifika mål än att genom att bara distribuera ransomware slumpmässigt.
Man gav också exempel på hur lätt det är att få tillgång till nätverk, och en RDP-åtkomst till en anonym amerikansk flygplats för $ 10 nämndes som exempel på hur ransomware kan sprida sig. Ransomware sprids inte via e-post, eftersom den oftast blockeras.
Gandcrap ransomware från Ryssland nämndes, och man berättade att mellanhänder används för att sprida ransomware mot betalning.
Dessutom berättade McAfee att de har släppt webbplatsen www.nomoreransom.org, där du kan hitta nycklar till vissa versioner av ransomware och också få hjälp med att hitta rätt nyckel.
Vi fick också några bra Ransomware-tips om hur man skyddar sig.
Ransomware-förebyggande åtgärder:
- Backup, backup, backup
- Använd ett robust säkerhetsprogram för endpoints
- Segmentera nätverket
- Använd robust Identitetshantering
- Håll all programvara på din dator uppdaterad
- Filtillägg måste vara synliga
- Överväg att använda en Software Restriction Policy (SRP)
Ransomware-tips vid angrepp:
- Starta inte om eller stäng av datorn
- Koppla direkt bort anslutningar till Internet och andra nätverk
- Ta en minnesdump
- Radera INTE några filer (inte heller lösenordsnoteringar)
- Ta bilder för dokumentation
- Ta en kopia av den krypterade enheten (där kan finnas en lösning i framtiden). Dålig programmering kan också innebära att du inte kan dekryptera filerna utan att de förstörs
- Försök att återställa filerna med forensic-verktyg som PhotoRec
- Betala inte, men kolla nomoreransom.org för en eventuell dekrypteringsnyckel
- Acceptera risken att förlora all data om du väljer att betala och söka professionell rådgivning
- Utarbeta en bra incidentsplan och åtgärdsplan.
Sammantaget har det varit en bra och spännande dag som visat bredden på alla RSA-sessioner och detta är fortsatt ett event vi varmt kan rekommendera.
Har du en fråga till en av våra certifierade säkerhetskonsulter – är det kanske dags att göra en analys av er säkerhet, få mer Ransomware-tips innan olyckan är framme? Hör av dig!
Henrik Skovfoged har en kandidatexamen i revision och en master i IT. Han är Certified Information Systems Security Professional (CISSP) och Certified Information Systems Auditor (CISA) och har under många år arbetat med IT-säkerhet, både ur tekniskt och ur processperspektiv. Henrik anser att IT-säkerhet direkt skall bidra med värde till verksamheten på samma sätt som IT gör det.
