Nulägesuppdatering och djupdykning i ransomware

Nulägesuppdatering, september 2022: Avlyssning via operatörer - ett nytt fenomen?

Utanför Sverige rapporterar flera medier om "nya" risker som möjliggör otillåten avlyssning och spårning av mobiltelefonabonnenter. Frågan aktualiseras även av pågående utfrågningar inom EU, där EU-parlamentariker och tjänstemän misstänks ha utsatts för just avlyssning och kartläggning. När undertecknad skriver detta har inget svenskt mediahus tagit upp de "nya" riskerna.

De internationella artiklarna beskriver att cyberkriminella och ett specifikt utpekat italienskt säkerhetsföretag exploaterar bristerna. En av aktörerna säljer sin tjänst med löftet att kunna "track the movements of almost anybody who carries a mobile phone, whether they are blocks away or on another continent".

Kraftigt förenklat beskrivs att någon med avancerad telekomkunskap (cyberkriminella, statsstödda aktörer eller oseriösa säkerhetsföretag) olagligen nyttjar en sårbarhet hos en telekomoperatör. Därefter manipuleras bakomliggande konfiguration för den destination en enskild mobiltelefonanvändares samtalstrafik och uppgifter ska skickas till. Man kan säga att telekomsystemen luras att skicka uppgifterna en annan väg, vilket gör att uppgifterna kan avlyssnas utan att den utsatta har möjlighet att upptäcka att så sker.

Genom Tele2s globala säkerhetsnätverk fick vi uppgift om denna "nya" sårbarhet innan publicering och har noga analyserat de många aspekterna av det. Efter analysen kan vi fastslå att Tele2 redan har flera lager av skydd som förhindrar just denna typ av risk mot telekominfrastruktur och tjänster. Dels genom it-intrångsskydd, dels genom tekniska regelverk och dels genom särskilda "telekomskydd".

Det som anges som en ny risk är en risk Tele2 känt till, hanterat och utvecklat skydd mot under flera år. Genom Tele2s säkerhetsanalysverktyg ser vi också att några internationella aktörer dagligen – hos oss liksom som resten av världens operatörer – olovligen försöker tillskansa sig information om specifika mobiltelefonikunder.

Spionprogram och virus vanligare vid avlyssning

Just risken för otillåten avlyssning eller annans kontroll av en mobiltelefon sträcker sig tyvärr även bortanför en telekomoperatörs kontroll. Det absolut vanligaste tillvägagångssättet för obehörig kontroll och avlyssning är att någon lyckats installera virus- eller spionprogram på enheten. Antingen genom att ha haft tillgång till telefonen, eller genom att lura användaren att exempelvis klicka på länkar eller bilagor som leder till installation av sådana program.

Bland de som utsatts för mer sofistikerade virus finns historiskt sett högt uppsatta politiker, myndighets- och företagsledare eller andra typer av nyckelpersoner. Även privatpersoner, exempelvis kvinnor som olagligen övervakas av sin partner, finns bland de som utsätts.

Grunden i att förebygga just mobilbaserade virus- och spionprogram är ett kraftfullt UEM (Unified Endpoint Management). Ett UEM ska ha flera funktioner inbäddade, exempelvis det mer kända MDM (mobile device management) samt enrollment-funktioner av beslutade it-säkerhetsregler och regelverk för godkända applikationer.

Tele2 Företag är en av aktörerna som tillhandahåller anpassade UEM-skydd samt auto enrollment för mobiltelefoner och mobila enheter, något som också kan samlas med övriga tjänster hos Tele2.

Vi har precis nämnt vad ransomware är, men hur blir man utsatt? Är det bara via mejl?

– Phishing-mejl är fortfarande den absolut vanligaste metoden och varje cyberkriminell och gruppering utvecklar egna utskick. Vissa skickar till många och hoppas att någon klickar på länken eller bilagan, medan andra gör mycket verklighetstrogna mejl som imiterar en betrodd partner. Men tyvärr finns det även ett stort antal andra sätt att smittas av ransomware. Ett exempel är besök på infekterade webbplatser, där ett klick kan leda till en dold installation av skadlig programvara.

Just att Ransomware är en konsekvens av någon form ett it-intrång blir tyvärr alltmer vanligt. Utöver exemplet med virus via webbplatser är andra intrångsvägar via en VPN-tjänst som inte uppdaterats, legitima fjärrstyrningsfunktioner (till exempel RDP, fjärrskrivbord), verksamhetsapplikationer med säkerhetsbrister, en otillräcklig brandvägg eller exponering av olämplig utrustning mot Internet.

En annan tydlig trend är att vissa cyberkriminella riktar in sig på verksamheter som skulle kunna resultera i en så kallad supply chain attack. Det har inget med logistikbranschen att göra utan innebär att exempelvis en mjukvaruleverantör, med många it-öppningar till sina kunder, utsätts för en attack som smittar även mjukvaruleverantörens kunder. Konsekvenserna kan bli enorma och det finns flera allvarliga exempel på detta, det var exempelvis så en stor svensk matvarukedja drabbades.

Om den möjliga skadan är stor ökar också risken att man utsätts för mer sofistikerade attacker.

I exemplet med it-intrång visar många utredningar att angriparna också spenderat tid med att kartlägga den bakomliggande it-miljön innan de väljer att slå till mot specifika mål, detta för att göra så mycket skada som möjligt. IBM skrev nyligen i en rapport att genomsnittstiden från att ett intrång inleds till att det upptäcks är över 200 dagar.

Hur har Ransomware-virus utvecklats och vad gör de mest allvarliga varianterna?

– Ransomware är fortfarande lönsamt för de som utför det och lockar både enskilda och statsstödda aktörer. Den finns en negativ utveckling med nya virusvarianter och förändrade angreppsätt. Vissa virusvarianter har kriminella grupperingar egen kontroll över och andra är öppet tillgängliga. Som med annan cyberkriminalitet kan också ransomware köpas som tjänst. En tekniskt okunnig kan med andra ord uppdra någon annan att utföra en attack. Dessutom till en låg kostnad – prislappen börjar idag på ungefär 50 euro.

En tydlig utveckling bland vissa grupperingar är också att ransomware används för få den utsatte att förstå att den haft ett it-intrång, d.v.s. att filer och servrar inte går att nå. Det finns ett flertal händelser där cyberkriminellas primära syfte uppfattats vara att kopiera och exportera data. Därefter kontaminerar man it-miljön med ransomware och kräver en lösensumma. Antingen betalar den utsatta, eller så betalar den utsatta inte. Oavsett vilket kommer det nya hot om att den cyberkriminella ska publicera eller sälja de stulna uppgifterna på Darknet. Metoden kallas ofta double-ransomware.

Om uppgifter stulits innan de krypterats är mycket svårt att fastslå, särskilt under den tidspress som råder vid en så allvarlig it- och driftshändelse.

Att ransomware ska hanteras med att säkerställa bra backup-tagning och skyndsam återläsning är alltså en gammal sanning. Med tanke på de senaste årens utveckling av nya ransomwarevarianter behöver istället fokus vara att förebygga ransomware och begränsa vad en angripare kan påverka.

Som ni säger har det svängt från att främst reaktivt hantera ransomware till att istället förebygga och begränsa skadan som kan åstadkommas. Vilka säkerhetsåtgärder måste finnas på plats idag?

– Alla former av digitala risker behöver hanteras med det grundläggande skyddet.

• Ett - Patchning (mjukvaruuppdatering), då det kan räcka med en exponerad sårbarhet för att utsättas. Alla tillgångar måste löpande uppdateras.

• Två - För att veta vad du måste uppdatera ska alla servrar, it-system och stödapplikationer finnas i ett inventarie- och mjukvaruregister.

• Tre - Utforma och säkerställ segmentering av tillgångar. Separera klienter (t.ex. datorer) från servrar. Separera testmiljö från utvecklings- och produktionsmiljöer. Interna servrar ska aldrig vara nåbara mot internet. Flera lager av skydd och begränsningar är en nödvändighet.

• Fyra - När grunden är säkerställd krävs detaljinsatser. Vilka segmenteringslager kräver intrångsskydd (IPS)? Grundläggande eller avancerad loggning? Behövs analys av trafik? Begränsa vilka användare som ska få nå olika kategorier av servrar och applikationer. Inför flerfaktorsautentisering (MFA) där det är möjligt. Systematisera sårbarhetsscanningar och intrångsförsök (penetrationstest).

Listan kan göras lång. Mycket handlar såklart också om it-miljöers komplexitet, generation samt interna och externa it-kopplingar. Zero trust är ett välanvänt begrepp inom it-säkerhet. Ett begrepp som potentiellt rymmer mycket men som syftar till säkra zoner som användare och utrustning inte kan röra sig fritt emellan. För att säkerställa skydd mot effekterna av bland annat ransomware är det nödvändigt.

Sedan är det ofta så att även teknik- och it-mogna verksamheter behöver experthjälp. Dels för stöd med att förebygga ransomware, men även med hanteringen när det inträffar.

Var börjar man? Vilka åtgärder kan man vidta på kort sikt och vilka åtgärder bör man överväga på längre sikt?

– Grunden är att förstå sitt nuläge. Vilka tillgångar har vi, vilka hård- och mjukvaruversioner används, vem äger och ansvarar för dessa? Vilka tekniska regler och skydd finns införda? Är server- och användarlösenord tillräckligt säkra? Håller skyddsåtgärderna över tid och har vi förmåga att styra detta gentemot tillgångsägare och leverantörer? Kan vi automatisera skyddsåtgärder?

Även här blir listan lång men nödvändig sett till den potentiella skadan. Ett förekommande misstag är också att börja med att köpa in avancerade (och dyra) it-säkerhetssystem innan man fått koll på de grundläggande riskerna.

Den man kan börja med tidigt är ofta kunskapsdelen hos slutanvändarna. Att användarna är medvetna om it-risker genom utbildning, hur de hanterar lösenord och aldrig lämnar datorn utan uppsikt. Här ska också fokus vara på andra risker än enbart ransomware. Omvärldsbevakning och att ansluta sig till kunskapsnätverk som skapar värde är exempel på andra åtgärder som kan göras tidigt.

Sammanfattning

Det är lätt att uppfatta det nödvändiga resultatet som ouppnåeligt, och dessutom svårnavigerat när såväl den interna it-miljön och de möjliga riskerna hela tiden förändras. För att uppnå detta krävs dessutom resurser inom just teknisk säkerhet.

En allt vanligare trend är därför att hela eller delar av it-infrastrukturen sköts av en expertleverantör. Detta för att åberopa kunskap och kapacitet motsvarande behovet. Den egna verksamhetens interna resurser kan då också frigöras till andra områden, som skydd av verksamhetens it-system eller säkerhetskänsliga databaser.

Tele2 är en av flera leverantörer som tillhandahåller privata- och publika molntjänster, samt infrastruktur som anpassas efter verksamhetens behov, såsom datalagring inom Sverige. Varmt välkommen att läsa mer om Tele2s olika molntjänster.