Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Angrebet på MOVEit Managed File Transfer (MFT) er omfangsrigt og særligt to ting omkring angrebet er værd at bide mærke i.
For det første undlod ransomware-gruppen Clop at kryptere ofrenes data, som man ellers ville forvente ved et ransomware-angreb. For det andet fortalte gruppen, at ofrene selv skulle henvende sig for at indlede forhandlinger, og at Clop ville offentliggøre oplysninger om de ofre, der ikke fik kontaktet dem, på deres hjemmeside.
Disse to faktorer afslører, at Clop ser selve afpresningen som mere lukrativt end kryptering. Måske fordi virksomheder trods alt er blevet bedre til at sørge for sikkerhedskopiering og gendannelse, hvilket gør dem mindre tilbøjelige til at betale for dekryptering af data.
Clop har specialiseret sig i dobbelt afpresning (trussel om at kryptere og offentliggøre data), tripelafpresning (udvider truslen til kunder og partnere) og firedobbelt afpresning (tilføjer truslen om at lukke for servere via DDoS-angreb) siden midten af 2020. Indtil nu har alle angreb forudsat en eller anden form for kryptering.
Ren afpresning
Ændringen kan være et signal om, at de cyberkriminelle grupper bevæger sig væk fra ransomware og hen imod corporate doxing, hvor de indsamler fortrolige data og truer med at offentliggøre dem.
Det fremhæver også, hvor sårbar softwareforsyningskæden er, og hvor store konsekvenserne kan være.
Clop eksperimenterer tydeligvis med, hvordan de bedst håndterer et stort antal kompromitterede organisationer, fordi de får ofrene til selv at henvende sig.
Gartner har faktisk advaret om, at 45 procent af organisationer på verdensplan vil opleve angreb på deres forsyningskæder inden 2025. Det er tre gange så mange som i 2021 og indikerer, at forsyningskæden meget vel kan blive en vigtig angrebsvektor fremover, hvis Clop baner vejen.
Clop vil stadig gennemgå de data, de har tiltusket sig fra leverandører som Zellis, der udbyder løn- og HR-løsninger, for at udnytte deres kunder og partnere så meget som muligt. Clop har tidligere brugt mere end en måned på at analysere og orkestrere afpresning efter de har eksfiltreret data, så vi kan godt forvente, at nye ofre vil se dagens lys den kommende tid.
Siden angrebets spæde start er flere dele af den amerikanske regering blevet ramt, herunder energiministeriet, samt universiteter og banker, hvilket har fået det amerikanske udenrigsministerium til at udlove en dusør på 10 millioner dollars, selvom Clop har forsikret om, at de ikke er interesserede i data fra offentlige myndigheder.
De seneste kommercielle ofre inkluderer British Airways, BBC og Boots, som alle er kompromitteret via Zellis.
Problematiske sikkerhedsråd
Hvordan skal danske virksomheder forholde sig til udviklingen?
Ifølge Shodan, der en søgemaskine over servere forbundet til internettet, er der mere end 2.500 offentligt tilgængelige MOVEit-servere, som alle bør patches, men lige nu er sikkerhedsbranchen fanget i en reaktiv position.
Rådene, der gør sig gældende, er at lede efter indikatorer for kompromittering (IOC) og webshells samt gennemsøge deres servere de sidste op til 90 dage, som er perioden siden sårbarheden blev opdaget.
Der er to problemer med den tilgang.
For det første er IOC en flygtig indikation. Cyberkriminelle kan i principet ændre IP eller domæne i løbet af sekunder, så hvis man jagter IOC’er, ender det sædvanligvis med et hav af falsk positive alarmer.
For det andet har de færreste virksomheder i SMV-segmentet mulighed for at gemme data, især på firewall og webapplikationer i 90 dage, fordi det kræver stor lagerplads og ressourcer at vedligeholde ordentligt.
Det er en bedre tilgang at lede efter taktikker, tekniker og procedurer (TTP) i stedet for IOC.
Det er en mere præcis metode til at opdage og forstå unormal og ondsindet adfærd. Man kan opdage mulige angreb ved at indsamle og analysere bruger-, enheds- og procesadfærd og sammenholde det med MITRE ATT&CK-databasen, som definerer TTP-angrebsmønstre.
Det er tidskrævende at gøre manuelt, men teknologier som SIEM, der indsamler og analyserer sikkerhedsdata, og SOAR, der automatiserer efterforskning og håndtering, kan udføre en stor del af arbejdet.
Cybersikkerhedsplatforme baseret på SIEM eller SOAR-teknologier har længe kun været de største virksomheder forundt, men sådan er det ikke længere. De to teknologier smelter mere og mere sammen og udbydes derudover også i skyen, så de er kommet indenfor SMV’ernes rækkevidde.
Flere års planlægning
Proaktiv trusseljagt er vigtigere end nogensinde før. Især, hvis vi står overfor en stigning i antallet af cyberangreb på softwareforsyningskæden med omfattende afpresning til følge.
I takt med at flere detaljer kommer frem, står det klart, at angrebet ikke var en spontan opportunistisk handling, som nogle har hævdet.
MOVEit blev først opdaget af Microsoft d. 27. maj, selvom Progress, som ejer MOVEit, først offentliggjorde det d. 31. maj, men de første spor af sårbarheden går helt tilbage til juli 2021. Det ser ud til, at Clop har testet sårbarheden i juli 2021 og april 2022, før de udførte angrebet.
Den organiserede udførelse af angrebet viser, at ransomware-grupperne bliver mere disciplinerede i deres tilgang og mere ambitiøse i forhold til deres mål. Det er afgørende for organisationer at implementere effektive, automatiserede processer til at udføre trusselsjagt og håndtere af sikkerhedshændelser, så de kan opdage og afværge truslen eller begrænse følgevirkningerne, indtil et patch frigives.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.