Den ondsinnede programvaren krypterer innhold på offerets pc, og forlanger løsepenger for å dekryptere filene. (Bilde: M. Panchenko)

Utpressingvare

Cryptolocker har mutert. Schibsted, VG, Teknisk Ukeblad og digi.no ble rammet

Veldig mange opplever nå angrep. Her deler vi erfaringer og eksperter gir råd.

Skrivebordet til offerets pc endres til en plakat med betalingsanvisning og nedtellingsur.
NEDTELLING: Etter at filene er kryptert blir skrivebordet på pc-en endret til en plakat med betalingsanvisning og nedtellingsur. Bildet er fra en eldre utgave av Cryptolocker omtalt i 2013. Bilde: Sophos
På ettermiddagen tirsdag gikk alarmen i redaksjonslokalene til Teknisk Ukeblad Media. Den fryktende Cryptolocker-skadevaren hadde slått til i bedriftens interne nettverk.

Leserne var aldri truet. Det er viktig å understreke.

Dette er en kjent skadevare som låser filene på infiserte datamaskiner med sterk kryptering. For deretter å kreve løsepenger.

I vårt tilfelle kom én medarbeider i skade for å åpne et vedlegg, som utga seg for å være en hentemelding fra Posten Norge. Altså den samme skadevarekampanjen som har herjet mange norske virksomheter den siste tiden.

Angripere sender epost som forsøker å lure mottakeren inn på en forfalsket nettside under postennorg.com, men domenet vil kunne variere. Det blir brukt norsk språk med relativt få skrivefeil. «Hentelappen» du kan laste ned er en zip-fil som inneholder skadevaren som en kjørbar fil. Denne blir servert fra et russisk domene.

Filserverne våre ble rammet gjennom denne ene infeksjonen. Vi har backup, men dette har medført en del ekstra arbeid for IT-avdelingen. Nettverket ble friskmeldt i ettermiddag. Det var også enkelte pc-er konfigurert med lokale mapper delt åpent i nettverket, en usunn policy som nå er blitt endret. Heldigvis ble tapet av filer minimalt. Etter det vi får opplyst har én journalist mistet en ukes arbeid, som ikke lar seg gjenopprette.

– Veldig mange av kundene våre opplever utbrudd av ransomware. Spesielt Posten-forsøket ser vi ofte, sier sikkerhetsekspert Fredrik Bugge Lyche i Watchcom til digi.no.

Schibsted klarte å begrense skaden

Flere mediebedrifter ble i går rammet av samme skadevare, deriblant Schibsted. Hos VG skal det ha blitt etablert et slags kriseråd eller «war room».

– Helt udramatisk. Vi klarte å begrense skaden. Dette har ikke påvirket noen forretningsprosesser. Ingen aviser ble forsinket, beroliger IT-direktør Eva Sjøstrand i Schibsted når digi.no ringer.

Schibsted er landets største mediehus, inkludert blant annet VG og Aftenposten. Det meste av IT-systemene er sentralt driftet.

Her skal om lag ti pc-er har blitt infisert av Cryptolocker. Filservere ble også berørt og måtte stanses en periode.

– Det er standard prosedyre. De ti pc-ene ble retanket. Det er en prosess som gjøres på mindre enn tre timer. Vi har backup, forteller Sjøstrand.

– Så dere vurderte ikke å betale løsepenger?

– Det er ikke aktuelt for oss å betale. På ingen måte.

Etter at digi.no intervjuet IT-direktøren i Schibsted har mediehusets nettsted E24 publisert en egen artikkel om det aggresive dataangrepet.

Måtte stoppe servere

De avdramatiserer også etableringen av «war room». Det er en standard prosedyre hvor de samler tekniske personer fra de ulike avdelingene i ett rom. Det er for å koordinere arbeidet bedre enn hvis nøkkelpersoner sitter på hvert sitt kontor.

Hun er overbevist om at det må være «mange bedrifter som er truffet av det samme».

Selv om skadeomfanget ble lite hos dem kjenner ikke IT-direktøren til lignende utbrudd av skadevare hos Schibsted fra tidligere. Arbeidet med å tilbakeføre alle systemene til normal tilstand ble først ferdig i dag.

– Alt ble rettet i dag. Det tar ting å tilbakeføre filene. Det er servere som måtte stoppes og filer eldre enn tidspunktet for infisering som måtte restores. Det tar litt tid, sier hun.

Mutert Cryptolocker

Fredrik Bugge Lyche i IT-sikkerhetsselskapet Watchcom.
Litt skuffet kan man være over at antivirus og sikkerhetsløsninger ikke fanget opp skadevaren, medgir Sjøstrand i Schibsted.

– Slike angrep dukker opp i nye versjoner. Mailen ser kjent ut, og man skulle tro at dette blir fanget opp, men under panseret har viruset endret seg slik at det ikke fanges opp, sier hun.

For dette er en mutert eller ny versjon av Cryptolocker. Slik vil dukke opp også i fremtiden, for å snike seg under radaren til løsningene som er ment å stoppe den.

– Ved å gjøre små endringer i angrepet kan man passere antivirus. Antivirusløsninger ligger alltid et steg bak ved at de detekterer fingeravtrykk fra skadevare den allerede kjenner, sier Fredrik Bugge Lyche i sikkerhetsselskapet Watchcom og fortsetter:

– Vi anbefaler at virksomheten har fokus på brukerbevissthet og informasjonssikkerhet med rutiner og regler, men det er naivt å tro at det alene er nok. Spesielt for Cryptolocker gjelder det å også ha gode backup-rutiner.

Slik fungerer utpressingsvaren:

Det ondsinnede programmet kjører lokalt på maskinen, der hvor det blir startet manuelt av brukeren den første gangen, med den påloggede brukerens rettigheter. Det er således ikke et virus, selv om effekten raskt kan spre seg internt i virksomheten.

Alt av delte mapper i nettverket, inkludert lagringstjenester av typen Dropbox eller OneDrive er innen rekkevidde og kan bli rammet fra den infiserte datamaskinen.

Raskt sørger Cryptolocker da for å erstatte filene den kommer over med krypterte utgaver. Disse får filbenevningen .encrypted og lar seg ikke åpne. Ikke uten nøkkelen som de kriminelle bakmennene krever klekkelig betalt for å utgi.

I dette tilfellet forlangte angriperne tilsvarende drøyt 4000 kroner i bitcoin for nøkkel til én infisert maskin.

Med mindre man betaler, eller har backup, er filene tapt. Man har heller ingen garanti for at de kriminelle bakmennene faktisk gir deg nøkkelen for dekryptering hvis man punger ut.

– Ikke la deg friste til å betale

IKKE BETAL: Da gjør blir du en del av den kriminelle verdikjeden, sier NorSIS-sjef Roger Johnsen. Bilde: Marius Jørgenrud
Roger Johnsen er administrerende direktør i Norsk senter for informasjonssikring (NorSIS). Han er overbevist om at det er organisert kriminalitet som står bak Cryptolocker og lignende skadevare.

– Det er stadig større økonomiske motiver bak denne typen kriminalitet. Det er organisert og internasjonal kriminalitet. Vårt råd er uansett ikke å betale. Det vil bare stimulere kriminaliteten ytterligere. Hvis du lar deg friste til å betale løsepenger blir du en del av den kriminelle verdikjeden, advarer Johnsen.

Rådet hans er å sørge for at virksomheten har gode IT-driftsavtaler eller backuprutiner.

– Vi vet at dette fort kan blir svært kostbart for virksomhetene som rammes. En solid driftsavtale er viktig. Dette vil du nesten uansett komme til å bli rammet av på et eller annet tidspunkt. Den ondsinnede programvaren og trusselaktørene finner stadig bedre metoder, og endrer koen slik at man ikke kjenner igjen mønstrene. Det er ikke noe nytt. Det som er nytt er omfanget og konsekvensene.

Foruten de tekniske rådene nevnt tidligere, er kanskje det aller viktigste å informerer medarbeidere om hvordan de kan bli misbrukt til å infiltrere systemene. Og det bør skje jevnlig, mener NorSIS-sjefen.

– Metoden som oftest brukes er at de sender en melding til medarbeidere i selskapet. Dette er en kjent metode fra tidligere, men som vi ser man fortsatt i stor grad faller for. Folk får lyst til å klikke på det, man har en travel jobb og det er lett å la seg villede. Språk og andre ting i eposten tilgodegjør stor troverdighet. Norge bedrifter og offentlig virksomhet må legge stor vekt på å holde de ansatte løpende orientert om hvordan dette ser ut. Det nytter ikke å ha et seminar en gang i året om faren ved å klikke på noe, sier Roger Johnsen.

Til toppen