Truslen fra Ransomware

Transkript

1 Truslen fra Ransomware IDA-IT 9. februar 2016 DKCERT Henrik Larsen

2 Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Afpresning mod borgere og virksomheder Ransomware Ikke kun ransomware.. DDoS som afpresning Hvad skal vi gøre for at imødegå truslen? Patch sårbarheder Tekniske sikkerhedstiltag Bløde sikkerhedstiltag 2

3 Hvem er jeg? Cand.mag. (historie og nordisk arkæologi) 1985 Sideløbende uddannelse i handel, økonomi, ledelse og edb/it siden 1971 Exam. ESL, ITIL-F, CISSP, CISM, CGEIT, ISO27001-Master Nationalmuseet , Højskolen Marielyst Københavns Universitet og , informationssikkerhedschef tidligere bl.a. it-drift/infrastrukturchef i Koncern-it DeiC, Chef for DKCERT 2015->, medlem af bestyrelsen for Rådet for Digital Sikkerhed, DIFO Sikkerhedspanel mv. 3

4 DKCERT: opgaver og tjenester

5 Hvem er DKCERT? - Opgaver DKCERT er en tjeneste fra DeIC (Danish e-infrastructure Cooperation), der følger sikkerheden på internettet og advarer om potentielle it-sikkerhedsproblemer DKCERT tager imod henvendelser om sikkerhedshændelser på internettet fra Forskningsnettet og andre danske og udenlandske kilder DKCERT indgår i FIRST, et verdensomspændende netværk bestående af over 300 CERT/CSIRT teams, samt i den europæiske organisation Trusted Introducer DKCERT har et bredt samarbejde med danske og nordiske organisationer og myndigheder 5

6 Hvem er DKCERT? - Tjenester Informationstjenesten. Webnyheder, nyhedsbreve, advarsler, tweets, awareness, trendrapporter mv. Presse, konferencer mv. Borgerundersøgelser Sagsbehandlingen. Modtager og behandler rapporter om sikkerhedshændelser på eller relateret til Forskningsnettet. Rådgiver og støtter efter behov Sårbarhedsscanninger Otte parallelle Nessus Enterprise-scannere Omfattende rapport til institutionen Også on-demand scanning 6

7 ISO og -2, pkt : Kontakt med relevante myndigheder (ordensmagten, kontrolorganer, tilsynsmyndigheder m.v.) 6.1.4: Kontakt med særlige interessegrupper eller andre faglige sikkerhedsfora og faglige organisationer Modtage tidlige varsler om alarm, meldinger og patches vedrørende angreb og sårbarheder Få adgang til ekspertrådgivning om informationssikkerhed Skabe passende kontaktpunkter ved håndtering af informationssikkerhedsbrud Aftaler om informationsudveksling for samarbejde og koordination af sikkerhedsproblemer. Identificere krav om beskyttelse af fortrolig information. 7

8 Afpresning mod borgere og virksomheder

9 Afpresning Ransomware tager til flere eksempler fra universiteter, kommuner, virksomheder og private (Cryptolocker, Cryptowall v.3 osv.) Hidtil pc er, nu også disksystemer (Synolocker) DDoS-angreb som afpresning betal, eller vi lukker dit websted! 9

10 Ransomware Et ransomwareangreb foregår typisk ved, at et it-system inficeres med et stykke malware som følge af, at en person i god tro har åbnet vedhæftede filer eller links i en ondsindet . Malwaren krypterer herefter alt indholdet på ofrets harddisk og de drev, der er skriveadgang til. Når krypteringen er fuldført, vil ofret få en besked fra angriberne, som lover at dekryptere ofrets data mod betaling af en løsesum deraf navnet ransomware. 10

11 Afpresning Big Business nye beregninger viser at alene Cryptowall i 2014 havde en omsætning på omkring USD 325 mio.! DKCERT anbefaler: Hav backup af alt Brugeren skal ikke have administratorrettigheder (begræns skaden) Awareness om phishing (Digitaliseringsstyrelsen kørte en kampagne i efteråret) 11

12 Fra Borgernes informationssikkerhed 2014: Har du været ramt af ransomware? Yes No Don't know/unanswered 1% 8% 91% 12

13 Fra Borgernes informationssikkerhed 2015: Har du været ramt af ransomware? Yes No Don't know/unanswered 1% 7% 92% 13

14 Fra Borgernes informationssikkerhed 2014: Ramt af ransomware hvordan reagerede du? 2% 2% Paid ransom and got access to data 22% Got access to data by other means Did not get access to data 56% 18% Got access to data using security software Don't know/unanswered 14

15 Fra Borgernes informationssikkerhed 2015: Ramt af ransomware hvordan reagerede du? 9% 4% Fjernede spærringen med et sikkerhedsprogram 45% Fik data tilbage på anden vis Fik ikke data tilbage 42% Betalte løsesum, men fik ikke data tilbage 15

16 Virksomheder og organisationer rammes oftere Ingen tal og statistikker Flere kendte eksempler fra bl.a. kommuner DKCERT har kendskab til ransomware-sager ved flere universiteter Mange begrænsede enkeltsager Hænger i høj grad sammen med phishing Phishing kan også have andre formål 16

17 Ikke kun ransomware

18 DDoS Distributed Denial of Service DDoS er nemt, billigt og let tilgængeligt, hvis man vil genere virksomheder eller enkeltpersoner Kan bestilles på nettet for få dollars Kan være svært at beskytte sig imod især for enkeltpersoner og mindre virksomheder 18

19 Reflection- eller amplification-angreb Åbne UDP-services (NTP: Network Time Protocol, DNS: Domain Name Service, SSDP: Simple Service Discovery Protocol, m.fl.) udnyttes til at forstærke angreb Pakkestrømmen reflekteres fra en intetanende parts åbne NTP eller tilsvarende ( reflection ) ved, at angriberen sender en forespørgsel med offerets IP-adresse angivet som afsender Herved forstærkes pakkestrømmen med en høj faktor ( amplification ) DNS-amplification 1:70 NTP-amplification 1:20 1:200 eller mere..! 19

20 Danske virksomheder og forskningsinstitutioner angriber den indiske banker! Denne overskrift kunne have været bragt i aviserne i september Henvendelse fra indiske CERT om omfattende DDoS-angreb mod indiske banker og andre finansvirksomheder hen over sommeren Mange forkert konfigurerede NTP, DNS og SSDP-instanser i en lang række lande anvendt til reflection/amplification 73 IP-adresser alene på Forskningsnettet deltog i angrebene! Der var pr. 3. oktober 186 åbne NTP-servere og 9 SSDP på Forskningsnettet I dag til morgen har vi rapporteret 163 NTP, 8 SSDP, 2 DNS, 7 SNMP 20 og 8 NetBIOS.

21 Afpresning med DDoS eksempel Tre græske banker blev angrebet af cyberkriminelle ( hackere ) I slutningen af november Angrebet lukkede kortvarigt for bankernes internetforretning En gruppe, der kaldte sig Armada Collective, truede med at angribe igen, med mindre bankerne betalte en betydelig løsesum i Bitcoins Elektroniske transaktioner blev afbrudt af en bølge af forbindelsesforsøg. Man mener ikke, at angriberne har haft adgang til kundedata Armada Collective menes også at stå bag nylige cyberangreb mod banker I Thailand og Schweiz Financial Times: DKCERT har kendskab til et dansk firma, der er blevet angrebet af nogle, der påstår at være den samme gruppe 21

22 Afpresning med hacking af kundedata eksempel Wired.com fortalte 3. december 2015 om en cyberkriminel, som kalder sig Hacker Buba Han hackede en bank i De Forenede Arabiske Emirater og truede med at offentliggøre stjålne kundedata, hvis banken ikke betalte en løsesum Da banken nægtede at betale, lagde han data om mere end 500 bankkunder på Twitter 22

23 Hvad skal man gøre?

24 Hvad skal man gøre? Patch sårbarheder

25 Sårbarheder På verdensplan voksede mængden af registrerede sikkerhedshuller i 2014 med 53 procent til sårbarheder Kritiske sårbarheder udgjorde en fjerdedel I 2015 er der kun registreret sårbarheder heraf mere end en tredjedel kritiske 25

26 Sårbarheder i National Vulnerability Database Mindre alvorlige Kritiske

27 Hold øje med sårbarheder Få foretaget jævnlige sårbarhedsscanninger og patchninger! Sørg for at have en god og opdateret antivirusbeskyttelse Hav en firewall, der kun er åben for det helt nødvendige 27

28 Hvad skal man gøre? Tekniske sikkerhedstiltag

29 Mail-filtrering (Normalt) ingen grund til at kunne udveksle exe-filer på mail Zip-filer, der indeholder Java-script (.js-filer).ade,.adp,.app,.bas,.bat,.chm,.cmd,.com,.cpl,.crt,.csh,.exe,.fxp,.hlp,.hta,.inf,.ins,.isp,.js,.jse,.ksh,.lnk,.mda,.mdb,.mde,.mdt,.mdw,.mdz,.msc,.msi,.msp,.mst,.ops,.pcd,.pif,.prf,.prg,.reg,.scf,.scr,.sct,.shb,.shs,.url,.vb,.vbe,.vbs,.wsc,.wsf,.wsh,.xsl. 29

30 Begræns administratorrettigheder Hvis brugerkontoen har rettigheder som lokaladministrator, kan brugeren gøre alt på computeren: Installere programmer, installere drivere, ændre firewall-opsætning og hvad man ellers har lyst til Ingen grund til, at brugerkontoen skal have rettigheder til at skrive i Windows-biblioteket Skriverettigheder til filer på fællesdrev kan gøre skaden værre - som det fx skete ved et af universitetsangrebene 30

31 Backup Hav altid backup af dine filer de fleste klarer et ransomwareangreb ved at geninstallere det inficerede system og indlæse en backupkopi Hav helst flere generationer af backup og sørg for at tage backup jævnligt Hold backupkopien off-line 31

32 Hvad skal man gøre? Bløde sikkerhedstiltag

33 Passwordsikkerhed Nu som for 10 år siden: Brug forskellige passwords til forskellige tjenester Borgernes informationssikkerhed 2014: 41% af deltagerne svarede, at de bruger samme password til flere onlinetjenester Brug komplekse passwords Kravene til komplekse passwords har udviklet sig Del aldrig dine passwords med andre heller ikke med phishere.. 33

34 To-faktor-autentifikation Brugeren skal indtaste en éngangskode sammen med sit brugernavn/- password. Gør det sværere at misbruge et stjålet password Eksempler: Kodekortet til NemID, sms-koder til netbanker, autentifikations-app på Android til Google-tjenester Apple udvidede brugen af to-faktor-autentifikation til icloud efter offentliggørelsen af berømtheders private nøgenfotos 34

35 Awareness Oplysning om phishing Ikke nødvendigvis dårligt oversat, kluntet dansk Bevidsthed hos brugerne om faren ved at klikke på links Aldrig aflevere password og andre personlige oplysninger 35

36 Eksempel på phishingmail 36

37 Eksempel på phishingmail 37

38 Eksempel på phishingmail 38

39 [ Tak for opmærksomheden!] [Spørgsmål?] Henrik Larsen DKCERT