Analyse rejser kritik: Knap halvdelen af danske virksomheder er blevet hacket succesfuldt

Illustration: leowolfert/Bigstock
43 pct. af de it-sikkerhedsansvarlige i nogle af Danmarks største virksomheder svarer i en rundspørge fra KMD, at deres firma er blevet hacket succesfuldt. Virksomheder er ikke gode nok til at holde hackere ude, lyder kritikken.

»Danske virksomheders data er i sigtekornet for it-kriminelle. Det er bekymrende, at det i så stort omfang lykkes angriberne at trænge igennem,« siger Lars Neupart, sikkerhedsdirektør i KMD og medlem af regeringens virksomhedsråd for IT-sikkerhed, i KMD’s egen pressemeddelelse.

Hans konklusion kommer på baggrund af en KMD-rundspørge blandt 54 IT-sikkerhedsansvarlige blandt de største virksomheder i Danmark. Her er 80 pct. af de adspurgte blevet udsat for ransomware og 89 pct. for phishing inden for det seneste år.

I alt kender 43 pct. til succesfulde hackerangreb mod deres virksomhed, imens hver femte ikke ved, om de er blevet hacket.

Veletablerede danske virksomheder må betale løsesum

I KMD’s pressemeddelelse forklarerJakob Scharf, der er direktør i IT-rådgivningsfirmaet CERTA og tidligere chef i PET, at virksomheder ikke er gode nok it-sikkerhed.

»Mange virksomheder er fortsat meget sårbare og ikke rustet godt nok til at holde uvedkommende ude,« begynder han.

»Man kan blive overrasket over, hvordan selv store og veletablerede danske virksomheder, der har meget på spil, kommer i situationer, hvor de for eksempel må betale løsepenge til kriminelle for igen at få adgang til deres egne informationer,« fortsætter Jakob Scharf.

Ifølge ham er det medarbejderne, som er nøglen til at beskytte informationerne, da ’insider-truslen’ er den ’måske største sikkerhedsmæssige risiko’.

Ransomware snyder utrænede medarbejdere

Ransomware-angrebene er de mest succesfulde, hvor 41 pct. svarer, at hackere er lykkes med at kryptere deres data.

Ifølge Lars Neupart leder den konklusion tilbage til Jakob Scharfs pointe om, at medarbejdere udgør den måske største risiko.

Rundspørgen viser, at 41 pct. af virksomhederne ikke underviser deres medarbejdere i informationssikkerhed, og det gør risikoen endnu større.

»Det er naturligvis oplagt at kæde den manglende undervisning sammen med succesraten på ransomware, som netop rettes mod de ansatte,« siger han.

Virksomheder bliver taget med bukserne nede

Opdager virksomheder, at de er blevet succesfuldt hacket, er det desuden langtfra alle, som er klar med et modangreb. KMD’s rundspørge viser nemlig, at 31 pct. ikke har et beredskab klart, hvis deres sikkerhedsmure brydes ned.

»Ransomware og kryptoware kan være yderst generende og medføre store tab af viden, og selvfølgelig også direkte økonomiske tab, hvis virksomhederne ikke har beskyttet sig tilstrækkeligt,« kommenterer Lars Neupart i pressemeddelelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Rastrup

Hvad jeg kan læse af Trygs beskrivelse blev de ramt af Ransomware.
Det er ikke et hack men et malware angreb.
Forskellen ligger i at ved et hack er der fremmede personer, der har fri adgang til din computer men ved et malware angreb er det kun den indsmuglede kode, der hærger.
I dette tilfælde åbenbart noget kode som krypterede filer og så skulle have en nøgle til at låse dem op igen (som man selvfølgelig skulle betale for).

  • 6
  • 0
Anne-Marie Krogsbøll

Tak for forklaring, Kristian Rastrup.
Men malware kan vel også potentielt indeholde trojanere etc, som giver adgang til data, passwords m.m.? Men man har måske indtil videre ikke oplevet, at der var tale om krav om løsesum og egentlig indtrængen i data på en gang?

  • 0
  • 0
Kristian Rastrup

Men malware kan vel også potentielt indeholde trojanere etc, som giver adgang til data, passwords m.m.?


Ja, det kan det så overgangen fra det ene til det andet kan være flydende.

Men man har måske indtil videre ikke oplevet, at der var tale om krav om løsesum og egentlig indtrængen i data på en gang?


Det ville ikke give mening. Hvis man prøver at hacke vil jeg gætte på man ikke vil have det bliver opdaget, hvor ransomware netop selv gør opmærksom på sin tilstedeværelse med en fin stor dialog om at man skal betale.

  • 4
  • 0
Anne-Marie Krogsbøll

Tak for svar, Kristian Rastrup.

Det ville ikke give mening. Hvis man prøver at hacke vil jeg gætte på man ikke vil have det bliver opdaget, hvor ransomware netop selv gør opmærksom på sin tilstedeværelse med en fin stor dialog om at man skal betale.

Jeg kan nu ikke se, hvad der skulle være i vejen for også at skjule en bagdør, eller skynde sig at lænse en masse data til senere brug? Ville det nødvendigvis blive opdaget, samtidig med at man b eder om "ransom"?

  • 0
  • 1
Kristian Rastrup

Jeg kan nu ikke se, hvad der skulle være i vejen for også at skjule en bagdør, eller skynde sig at lænse en masse data til senere brug? Ville det nødvendigvis blive opdaget, samtidig med at man b eder om "ransom"?

Der er heller ikke noget galt med ideen.

Men brugeren ved der er noget galt og han/hun vil aktivt gøre noget, det er ikke godt for stealth at nogen aktivt leder efter uregelmæssigheder:
Ideelt genskaber de en backup, mere normalt vil dog være at få en svigersøn til at geninstallere Windows og leve med tabet. Nogen tager det som en grund til at købe en ny computer.
Og nogle få uden backup, svigersøn og penge til en ny computer vil betale hvad det koster, det kan så være dem, hvor bagdøren kan leve videre. Men de vil nok være væsentligt mere interesseret i antivirus og patchning end før (selv om det ikke hjælper mod ransomware)

Men jeg tror også de folk som distribuerer ransomware er ligeglade. Deres forretning er at få penge for at låse computere op. Det kræver sikkert noget support hotline og nogle folk til at formulere snedige mails, og det kan man sikkert rigeligt få tiden til at gå med.

Hvis jeg skulle lede efter bagdøre ville jeg starte et andet sted i hvert fald.

  • 3
  • 0
Anne-Marie Krogsbøll

Jeg bruger sikkert fagudtrykkene forkert, Kristian. Jeg undrer mig bare over, at man hele tiden hører ransomware omtalt kun i forbindelse med "ransom" og kryptering. For hvis først man har fået en letsindig bruger til at klikke på et uheldigt link, har man jo allerede skabt en dør ind i systemet, hvor man jo i samme hug vel kunne lænse en masse personoplysninger, inden man gik videre med at kryptere?

Måske sker det ikke - måske er det ikke så oplagt, som jeg forestiller mig. Men jeg kunne da frygte, at vi kun får den halve historie om disse angreb. Tab af personfølsomme oplysninger vil velsagtens være meget mere pinlige og farlige at indrømme for de angrebne firmaer? Husker journalisterne overhovedet at spørge til dette - eller er det simpelthen ikke relevant?

  • 0
  • 1
Kristian Rastrup

Det er meget svært at få virksomheder til at indrømme tab af data. Kun tvang har vist sig at være vejen frem. Det er ikke god PR. Journalister er heller ikke de bedste til at dække historier, hvilket kan ses af denne artikel i hvordan hack og malware blandes sammen.

Jeg kan ikke give nogen garantier om at det ikke sker som du beskriver, men hvis man vil lænse en computer for data er det ikke en ligefrem opgave. Hver bruger og hvert firma gemmer på sin egen måde så det er mere en case-by-case fremgangsmåde. Det kræver at man bruger arbejde på at sætte sig ind i en bestemt computer.

Ransomware er at skyde med spredehagl i en tåge og håbe man rammer noget. Send en masse emails og find en tilpas naiv bruger, så klarer dit lille program resten og du kan vente til folk selv vender tilbage.

I den virkelige verden ville sammenligningen være en der går fra dør til dør med et scam og prøver at lokke penge fra naive folk (ransomware) og en hemmelig agent, der skal installere overvågning af et hus (bagdør).

  • 3
  • 0
Mogens Bluhme

Hvad angår APT-angreb (Advanced Persistent Threat) : Det er sjældent at man får fat i noget særlig værdifuldt ved kun at inficere en medarbejderPC. En bagdør lægges ind og trin for trin bliver der downloadet mere og mere malware. Det gælder så om at komme ind på netværksshares, domain-controllere mm. Det kan stå på i årevis. Hvis det er formålet vil angriberen ikke risikere den "store" gevinst ved at påkalde sig opmærksomhed bare for at få nogle småskillinger som løsesum.

En ganske inspirerende analyse af hvor mange faser, hvor evasiv teknik, der benyttes for at undgå opdagelse og hvor udspekuleret et APT-angreb er, findes i en guldafhandling fra Sans-instituttet :

https://www.sans.org/reading-room/whitepapers/casestudies/case-study-cri...

Ransomware er pengeafpresning - det kan ske som eksempelvis crypto-udgaver eller Denial-Of-Service-angreb, hvor der kræves en dummebøde for at få forretningen til at køre igen. Dog bruges DOS også uden berigelse for øje - motivet kan være sentiment-baseret eller politisk - lidt ukorrekt kaldet hacktivisme.

Men det initierende middel er mange gange det samme : en phising mail med vedhæftning eller link til et giftigt website, som udnytter en sårbarhed i browseren.

  • 2
  • 0
Kjeld Flarup Christensen

Men det initierende middel er mange gange det samme : en phising mail med vedhæftning eller link til et giftigt website, som udnytter en sårbarhed i browseren.


Og i begge tilfælde lægger hackeren sin egen kode ind på den ramte computer og får kontrol over den.
Derfor kan man med god ret sige at i begge tilfælde er computeren blevet hacket. Konsekvenserne er blot forskellige.

Vi kan også tilføje botnet til listen af konsekvenser, ved at en hacker får kontrol over computeren. At en computer bliver en del af et botnet er nok den mest udbredte form for hackning og en virkelig ubekendt størrelse, fordi det er sjældent det opdages. Computeren bliver blot lidt langsom en gang i mellem.

Og hvorfor skulle en hacker ikke gå efter flere af disse mål. Først henter han interessante dokumenter ud, så bruger han den i et botnet, og tilsidst sælger han botnettet til en Ransomware hacker.

  • 1
  • 0
Anne-Marie Krogsbøll

Og hvorfor skulle en hacker ikke gå efter flere af disse mål. Først henter han interessante dokumenter ud, så bruger han den i et botnet, og tilsidst sælger han botnettet til en Ransomware hacker.

Netop, Kjeld Flarup Christensen (hvis jeg har forstået dig rigtigt). Ransomware-historierne er et symptom på huller i sikkerheden hos virksomhederne - så hvorfor er vi ikke også bekymrede for vore persondata i forbindelse med de historier?

  • 1
  • 0
Hanne Kristensen

De små tiltag kan hjælpe meget i mindre virksomheder:

1) Sætte Adobe Reader i sikkerhedstilstand. (ingen kode kan udføres)

2) Sætte Word i sikkerhedstilstand. (ingen kode kan udføres)

3) Indstil browseren til altid at spørge, hvor man vil gemme en downloadet fil (giver et ekstra lag af beslutning til, om man i det hele taget vil downloade, og kan ved en mappe opdeling begrænse visse typer malwares mulighed for at virke.)

  • 1
  • 0
Mogens Bluhme

Jeg vil ikke afvise at der er hybrider. Men APT-angreb forstår jeg som stats-eller statsunderstøttet hacking eller industrispionage, hvor der stjæles værdifuld information. Det behøver ikke at være højteknologisk forskning - det kan også være strategisk viden. Eksempelvis hvorfor blev et salgsfremstød i Asien aldrig den succes, man havde forventet? Det kunne tænkes at nogle konkurrenter havde "læst" planen og tog modforholdsregler. Visse vellykkede APT-angreb opdages aldrig og det er netop idéen. Alle spor slettes efter fuldendt mission.

Man skal lige forstå, at der er et hieraki blandt IT-kriminelle lige som andre kriminelle. De ovennævnte har meget høje skills og har ikke meget tilovers for små-kriminelle og scriptkiddies. Sidstnævnte er heldigvis for dumme til at gennemføre et APT-angreb. De tilhører lav-statusgruppen.

Midt i hierakiet findes der ramsomeware-forfatterne. De har også høje skills men er "selvstændig" erhvervsdrivende, altså ikke backet op af en stat eller moralsk anløben virksomhed. De skriver tingene i rigtige programmeringssprog som C++ og C# og sælger deres værktøjer til scriptkiddies.

Bromium sender ind imellem detaljerede rapporter om udviklingen i crypto-ransomware - den sidste jeg har set er https://www.bromium.com/sites/default/files/bromium-report-ransomware.pdf

Ikke alene er der forskel i målsætning mellem ransomware og APT - der bør også være forskel i forsvarsstrategien.

Lad os tage APT først :

I erkendelse af nødvendigheden af at the good guys må holde sammen er der introduceret opensource-baserede communities, der udveksler såkaldte Indicators of Compromise (IOC) - der er dog flere standarder og det er ikke helt modent endnu. Det kan være hashes (bedre end signaturer), IP-adresser men det helt nye er mutex'er.

Mutex er tekststrenge, som giver eksklusiv adgang til et sted i hukommelsen. Det er nødvendigt for al software for et undgå race conditions, altså en potentiel akilleshæl for malware. Derfor obfuskeres disse tekststrenge for ikke at blve afsløret.

Der findes imidlertid værktøjer, der i nogen grad kan gennemskue og de-obfuskere disse strénge. Det er Yara og Volatility. Sidstnævnte laver forensic analyse i hukommelse. En god idé er at lave memory dumps og eksportere den til en virtuel REMnux-maskine - det er en opensource virtuel Linux-maskine, som er fyldt med gode tools til reverse engineering.

Ransomeware er fuldstændig ligeglad med alle de IOC'ere, der bliver genereret når først filerne er krypterede. Tidligere kunne man overvåge Windows crypto-funktion men nu kommer skidtet med hele openssl-pakken og for selve krypteringen behøves nu ingen kontakt med command-og control-servere (gemmelegen for at finde nøglen i systemet vil jeg gerne spares for). Så er det ligemeget om man abonnerer på alverdens reputation-baserede services, heuristisk detection af DGA'ere (Domain Generation Algorithms) mm.

Det har vist sig at al malware udnytter et begrænset antal exploits, 25+ og der udvikles kun 2-3 nye om året. Microsoft kender nogle af disse og man kan aktivere EMET i Windows, men efter sigende virker det ikke optimalt - det gør systemet ustabilt.

Så er der Palo Alto's traps, som overvåger hukommelse og kan lidt flere exploits.

Checkpoint har et tool, som overvåger den måde, CPU'en arbejder på, ofte benytter malware sig af Return Oriented Programming, ROP, hvor returadressen i et register ændres

Fælles for dem begge er at de har en mulighed for at hindre afvikling af ondsindet kode i forbindelse med kryptering men er temmelig kostbare.

Ransomware kan også imødegås med lidt omtanke omend intet er 100 %.

Som nævnt i tidligere tråde burde DMARC for længst være standard, backup og patch en selvfølge. Dertil kommer segmentering af netværk, rettighedsstyring og whitelisting af applikationer.

Er der nogen som ved hvorfor danske virksomheder bliver ramt så meget af CVE'ere, der er både to og tre år gamle?

  • 2
  • 0
Jesper Ravn

Hej Mogens

Jeg er meget enig i det meste af det du skriver :-)
Angående dit spørgsmål omkring CVE'ere, så kan en del af forklaringen være, at vi stadigvæk i dag har meget svært ved at få udryddet de skide lokal admins ude på de enkelte klienter.
Samtidig opsætter vi ikke den nødvendige overvågning/KPI/statistik, der fortæller os om health state på de selv samme klienter.

For begrænse/eliminere det du kalder APT, må første step derfor være, at følge least privilege princippet for klienter og servere.

Implementing Least-Privilege Administrative Models
https://technet.microsoft.com/en-us/library/dn487450.aspx

Dette bliver også bakket op af Microsoft Vulnerabilities Report 2015

Microsoft Vulnerabilities Report 2015 – What you need to know (removing admin rights)
https://blog.avecto.com/2016/02/microsoft-vulnerabilities-report-2015-wh...

Dette vil igen også minimere Pass the Hash problematikken.

An Introduction to Pass the Hash
https://bogner.sh/2015/05/an-introduction-to-pass-the-hash/

I Windows 10 kan man med Credential Guard beskytte sig mod Pass the Hash

Protect derived domain credentials with Credential Guard
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential...

Sidst men ikke mindst er det værd at nævne det nye tiltag fra Microsoft, som jeg glæder mig til at teste. Har lige fået adgang til preview udgaven.

Announcing Windows Defender Advanced Threat Protection
https://blogs.windows.com/windowsexperience/2016/03/01/announcing-window...

  • 0
  • 0
Log ind eller Opret konto for at kommentere