Truslen fra Ransomware IDA-IT 9. februar 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk
Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Afpresning mod borgere og virksomheder Ransomware Ikke kun ransomware.. DDoS som afpresning Hvad skal vi gøre for at imødegå truslen? Patch sårbarheder Tekniske sikkerhedstiltag Bløde sikkerhedstiltag 2
Hvem er jeg? Cand.mag. (historie og nordisk arkæologi) 1985 Sideløbende uddannelse i handel, økonomi, ledelse og edb/it siden 1971 Exam. ESL, ITIL-F, CISSP, CISM, CGEIT, ISO27001-Master Nationalmuseet 1979-1988, Højskolen Marielyst 1993-1998 Københavns Universitet 1989-1993 og1998-2015, informationssikkerhedschef 2011-2015 tidligere bl.a. it-drift/infrastrukturchef i Koncern-it DeiC, Chef for DKCERT 2015->, medlem af bestyrelsen for Rådet for Digital Sikkerhed, DIFO Sikkerhedspanel mv. 3
DKCERT: opgaver og tjenester
Hvem er DKCERT? - Opgaver DKCERT er en tjeneste fra DeIC (Danish e-infrastructure Cooperation), der følger sikkerheden på internettet og advarer om potentielle it-sikkerhedsproblemer DKCERT tager imod henvendelser om sikkerhedshændelser på internettet fra Forskningsnettet og andre danske og udenlandske kilder DKCERT indgår i FIRST, et verdensomspændende netværk bestående af over 300 CERT/CSIRT teams, samt i den europæiske organisation Trusted Introducer DKCERT har et bredt samarbejde med danske og nordiske organisationer og myndigheder 5
Hvem er DKCERT? - Tjenester Informationstjenesten. Webnyheder, nyhedsbreve, advarsler, tweets, awareness, trendrapporter mv. Presse, konferencer mv. Borgerundersøgelser Sagsbehandlingen. Modtager og behandler rapporter om sikkerhedshændelser på eller relateret til Forskningsnettet. Rådgiver og støtter efter behov Sårbarhedsscanninger Otte parallelle Nessus Enterprise-scannere Omfattende rapport til institutionen Også on-demand scanning 6
ISO 27001 og -2, pkt. 6 6.1.3: Kontakt med relevante myndigheder (ordensmagten, kontrolorganer, tilsynsmyndigheder m.v.) 6.1.4: Kontakt med særlige interessegrupper eller andre faglige sikkerhedsfora og faglige organisationer Modtage tidlige varsler om alarm, meldinger og patches vedrørende angreb og sårbarheder Få adgang til ekspertrådgivning om informationssikkerhed Skabe passende kontaktpunkter ved håndtering af informationssikkerhedsbrud Aftaler om informationsudveksling for samarbejde og koordination af sikkerhedsproblemer. Identificere krav om beskyttelse af fortrolig information. 7
Afpresning mod borgere og virksomheder
Afpresning Ransomware tager til flere eksempler fra universiteter, kommuner, virksomheder og private (Cryptolocker, Cryptowall v.3 osv.) Hidtil pc er, nu også disksystemer (Synolocker) DDoS-angreb som afpresning betal, eller vi lukker dit websted! 9
Ransomware Et ransomwareangreb foregår typisk ved, at et it-system inficeres med et stykke malware som følge af, at en person i god tro har åbnet vedhæftede filer eller links i en ondsindet e-mail. Malwaren krypterer herefter alt indholdet på ofrets harddisk og de drev, der er skriveadgang til. Når krypteringen er fuldført, vil ofret få en besked fra angriberne, som lover at dekryptere ofrets data mod betaling af en løsesum deraf navnet ransomware. https://fe-ddis.dk/cfcs/cfcsdocuments/begræns_risikoen_for_ransomware.pdf 10
Afpresning Big Business nye beregninger viser at alene Cryptowall i 2014 havde en omsætning på omkring USD 325 mio.! DKCERT anbefaler: Hav backup af alt Brugeren skal ikke have administratorrettigheder (begræns skaden) Awareness om phishing (Digitaliseringsstyrelsen kørte en kampagne i efteråret) 11
Fra Borgernes informationssikkerhed 2014: Har du været ramt af ransomware? Yes No Don't know/unanswered 1% 8% 91% 12
Fra Borgernes informationssikkerhed 2015: Har du været ramt af ransomware? Yes No Don't know/unanswered 1% 7% 92% 13
Fra Borgernes informationssikkerhed 2014: Ramt af ransomware hvordan reagerede du? 2% 2% Paid ransom and got access to data 22% Got access to data by other means Did not get access to data 56% 18% Got access to data using security software Don't know/unanswered 14
Fra Borgernes informationssikkerhed 2015: Ramt af ransomware hvordan reagerede du? 9% 4% Fjernede spærringen med et sikkerhedsprogram 45% Fik data tilbage på anden vis Fik ikke data tilbage 42% Betalte løsesum, men fik ikke data tilbage 15
Virksomheder og organisationer rammes oftere Ingen tal og statistikker Flere kendte eksempler fra bl.a. kommuner DKCERT har kendskab til ransomware-sager ved flere universiteter Mange begrænsede enkeltsager Hænger i høj grad sammen med phishing Phishing kan også have andre formål 16
Ikke kun ransomware
DDoS Distributed Denial of Service DDoS er nemt, billigt og let tilgængeligt, hvis man vil genere virksomheder eller enkeltpersoner Kan bestilles på nettet for få dollars Kan være svært at beskytte sig imod især for enkeltpersoner og mindre virksomheder 18
Reflection- eller amplification-angreb Åbne UDP-services (NTP: Network Time Protocol, DNS: Domain Name Service, SSDP: Simple Service Discovery Protocol, m.fl.) udnyttes til at forstærke angreb Pakkestrømmen reflekteres fra en intetanende parts åbne NTP eller tilsvarende ( reflection ) ved, at angriberen sender en forespørgsel med offerets IP-adresse angivet som afsender Herved forstærkes pakkestrømmen med en høj faktor ( amplification ) DNS-amplification 1:70 NTP-amplification 1:20 1:200 eller mere..! 19
Danske virksomheder og forskningsinstitutioner angriber den indiske banker! Denne overskrift kunne have været bragt i aviserne i september Henvendelse fra indiske CERT om omfattende DDoS-angreb mod indiske banker og andre finansvirksomheder hen over sommeren Mange forkert konfigurerede NTP, DNS og SSDP-instanser i en lang række lande anvendt til reflection/amplification 73 IP-adresser alene på Forskningsnettet deltog i angrebene! Der var pr. 3. oktober 186 åbne NTP-servere og 9 SSDP på Forskningsnettet I dag til morgen har vi rapporteret 163 NTP, 8 SSDP, 2 DNS, 7 SNMP 20 og 8 NetBIOS.
Afpresning med DDoS eksempel Tre græske banker blev angrebet af cyberkriminelle ( hackere ) I slutningen af november 2015. Angrebet lukkede kortvarigt for bankernes internetforretning En gruppe, der kaldte sig Armada Collective, truede med at angribe igen, med mindre bankerne betalte en betydelig løsesum i Bitcoins Elektroniske transaktioner blev afbrudt af en bølge af forbindelsesforsøg. Man mener ikke, at angriberne har haft adgang til kundedata Armada Collective menes også at stå bag nylige cyberangreb mod banker I Thailand og Schweiz Financial Times: http://www.ft.com/fastft/2015/11/30/hackers-targeted-greek-banksdemanded-bitcoin-ransom/ DKCERT har kendskab til et dansk firma, der er blevet angrebet af nogle, der påstår at være den samme gruppe 21
Afpresning med hacking af kundedata eksempel Wired.com fortalte 3. december 2015 om en cyberkriminel, som kalder sig Hacker Buba Han hackede en bank i De Forenede Arabiske Emirater og truede med at offentliggøre stjålne kundedata, hvis banken ikke betalte en løsesum Da banken nægtede at betale, lagde han data om mere end 500 bankkunder på Twitter http://www.wired.com/2015/12/hacker-leaks-customer-data-after-a-united-arabemirates-bank-fails-to-pay-ransom/ 22
Hvad skal man gøre?
Hvad skal man gøre? Patch sårbarheder
Sårbarheder På verdensplan voksede mængden af registrerede sikkerhedshuller i 2014 med 53 procent til 7.937 sårbarheder Kritiske sårbarheder udgjorde en fjerdedel I 2015 er der kun registreret 6.488 sårbarheder heraf mere end en tredjedel kritiske 25
Sårbarheder i National Vulnerability Database 8000 7000 6000 5000 4000 3000 Mindre alvorlige Kritiske 2000 1000 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 26
Hold øje med sårbarheder Få foretaget jævnlige sårbarhedsscanninger og patchninger! Sørg for at have en god og opdateret antivirusbeskyttelse Hav en firewall, der kun er åben for det helt nødvendige 27
Hvad skal man gøre? Tekniske sikkerhedstiltag
Mail-filtrering (Normalt) ingen grund til at kunne udveksle exe-filer på mail Zip-filer, der indeholder Java-script (.js-filer).ade,.adp,.app,.bas,.bat,.chm,.cmd,.com,.cpl,.crt,.csh,.exe,.fxp,.hlp,.hta,.inf,.ins,.isp,.js,.jse,.ksh,.lnk,.mda,.mdb,.mde,.mdt,.mdw,.mdz,.msc,.msi,.msp,.mst,.ops,.pcd,.pif,.prf,.prg,.reg,.scf,.scr,.sct,.shb,.shs,.url,.vb,.vbe,.vbs,.wsc,.wsf,.wsh,.xsl. 29
Begræns administratorrettigheder Hvis brugerkontoen har rettigheder som lokaladministrator, kan brugeren gøre alt på computeren: Installere programmer, installere drivere, ændre firewall-opsætning og hvad man ellers har lyst til Ingen grund til, at brugerkontoen skal have rettigheder til at skrive i Windows-biblioteket Skriverettigheder til filer på fællesdrev kan gøre skaden værre - som det fx skete ved et af universitetsangrebene 30
Backup Hav altid backup af dine filer de fleste klarer et ransomwareangreb ved at geninstallere det inficerede system og indlæse en backupkopi Hav helst flere generationer af backup og sørg for at tage backup jævnligt Hold backupkopien off-line 31
Hvad skal man gøre? Bløde sikkerhedstiltag
Passwordsikkerhed Nu som for 10 år siden: Brug forskellige passwords til forskellige tjenester Borgernes informationssikkerhed 2014: 41% af deltagerne svarede, at de bruger samme password til flere onlinetjenester Brug komplekse passwords Kravene til komplekse passwords har udviklet sig Del aldrig dine passwords med andre heller ikke med phishere.. 33
To-faktor-autentifikation Brugeren skal indtaste en éngangskode sammen med sit brugernavn/- password. Gør det sværere at misbruge et stjålet password Eksempler: Kodekortet til NemID, sms-koder til netbanker, autentifikations-app på Android til Google-tjenester Apple udvidede brugen af to-faktor-autentifikation til icloud efter offentliggørelsen af berømtheders private nøgenfotos 34
Awareness Oplysning om phishing Ikke nødvendigvis dårligt oversat, kluntet dansk Bevidsthed hos brugerne om faren ved at klikke på links Aldrig aflevere password og andre personlige oplysninger 35
Eksempel på phishingmail 36
Eksempel på phishingmail 37
Eksempel på phishingmail 38
[ Tak for opmærksomheden!] [Spørgsmål?] Henrik Larsen Email: henrik.larsen@cert.dk DKCERT