Forskere hos Check Point ser en økende trend i en ny løsepenge-taktikk. I det forskerne kaller “dobbelt utpressing”, ligger taktikken i at trusselaktører legger til et ytterligere stadium i et løsepengeangrep: før de krypterer et offers database, vil hackere trekke ut store mengder sensitiv informasjon, og true med publisering med mindre løsepenger blir betalt. For å bevise trusselens alvor, lekker hackerne en liten del av den sensitive informasjonen på det mørke nettet, og truer med at mer følger hvis løsepenger ikke blir betalt.

"Dobbelt utpressing" – prosessen

1. Trusselaktører får innpass i et offers nettverk
2. Trusselaktører trekker ut sensitive data, for eksempel kundeinformasjon, økonomiske og ansattes personlige opplysninger, pasientjournaler og mer
3. Trusselaktørene krypterer filene og krever løsepenger fra offeret
4. Trusselaktørene truer med lekkasje av sensitive data
5. For å bevise at trusselen er ekte, lekker trusselaktøren en liten del av utvunnet informasjon på det mørke nettet

Fremvekst i november 2019
Den første publiserte saken om dobbel utpressing fant sted i november 2019 og involverte Allied Universal, et stort amerikansk selskap for sikkerhetsbemanning. Da ofrene nektet å betale løsepenger på 300 Bitcoins (ca. 2,3 millioner dollar), truet angripere, som brukte "Maze" løsepengeskadevaren, å bruke sensitiv informasjon hentet fra Allied Universals systemer, samt stjålet e-post og domenenavnsertifikater til spam-kampanje som utgir seg for Allied Universal. For å bevise poenget sitt, publiserte angriperne et utvalg av de stjålne filene, inkludert kontrakter, legejournaler, krypteringssertifikater og mer. I et senere innlegg på et russisk hackerforum inkluderte angriperne en kobling til det de hevdet å være 10 % av den stjålne informasjonen, samt et nytt krav om løsepenger som var 50 % høyere. Maze har siden publisert detaljene til dusinvis av selskaper, advokatfirmaer, leverandører av medisinske tjenester og forsikringsselskaper som ikke har gitt etter for kravene. Det anslås at mange andre selskaper unngikk publisering av sensitive data ved å betale løsepengene som ble krevd.

Egne nettsteder for informasjonslekkasjer - følger trenden
Cyberkriminelle grupper har fulgt den nye taktikken med dobbelt utpressing, og åpnet sine egne nettsteder for å publisere og lekke stjålet informasjon som et middel til å legge et ekstra press på ofrene sine for å betale løsepenger. Angripere som bruker Sodinokibi ransomware (aka REvil), publiserte detaljer om angrepene deres på 13 forskjellige mål. National Eating Disorders Association (USA) var den siste på listen over organisasjoner som ble angrepet.

Andre angrep som har sluttet seg til trenden inkluderer Clop ransomware, Nemty, DopplelPaymer og mer. Informasjon som ble publisert på disse nettstedene, ble snart funnet tilbudt for salg av løsepenge-gruppen selv eller av andre kriminelle som samlet inn dataene fra nettsteder hvor informasjonen dumpes.

Teknologisjef i Check Point Norge, Nils-Ove Gamlem:

– Double Extortion er en tydelig og voksende løsepenge-angrepstrend. Vi så mye av dette i 1. kvartal av 2020. Med denne taktikken fanger trusselaktører ofrene ytterligere ved å lekke sensitiv informasjon inn på de mørkeste stedene på nettet for å underbygge sine løsepengekrav. Vi er spesielt bekymret for at sykehus skal møte denne trusselen. Med fokus på koronaviruspasienter ville det være veldig vanskelig å adressere et angrep av denne typen. Vi maner til forsiktighet hos sykehus og store organisasjoner, og ber dem å sikkerhetskopiere dataene sine og gi god opplæring til sine ansatte.

Sykehus – pass på

Check Point Research ber sykehus om å være forsiktige, ettersom de er de viktigste målene for løsepengeangrep siden de står nærmest koronaviruset. Løsepengeangrep har berørt mer enn 1000 helseorganisasjoner i USA alene siden 2016, med kostnader på totalt mer enn 157 millioner dollar, ifølge en fersk analyse. I 2017 ble dusinvis av britiske sykehus og legekontorer rammet av løsepengeviruset kjent som WannaCry, noe som resulterte i tusenvis av kansellerte avtaler og stenging av flere ulykkes- og akuttmottak. I 2019 måtte flere amerikanske sykehus avvise pasienter etter en mengde løsepengeangrep.

Hvordan sykehus og foretak kan beskytte seg selv
I den pågående kampen mot stadig nye løsepenge-taktikker, er det beste forsvaret å forhindre å bli et offer i utgangspunktet. Check Point har tidligere beskrevet sine beste fremgangsmåter for å hjelpe deg med å unngå å bli et løsepenge-offer:

1. Sikkerhetskopier data og filer
Det er viktig at du konsekvent tar sikkerhetskopi av viktige filer. Aktiver automatiske sikkerhetskopier, hvis mulig, for dine ansatte, slik at du ikke trenger å stole på at de husker å utføre vanlige sikkerhetskopier på egen hånd.

2. Lær opp ansatte til å gjenkjenne potensielle trusler
De vanligste infeksjonsmetodene som brukes i løsepenge-kampanjer er fortsatt spam og nettfisking-e-poster. Ganske ofte kan brukerbevissthet forhindre et angrep før det oppstår. Ta deg tid til å lære opp brukerne dine, og sørg for at hvis de ser noe uvanlig, rapporterer de det til sikkerhetspersonell umiddelbart.

3. Begrens tilgangen til de som trenger det
For å minimere den potensielle effekten av et vellykket løsepenge-angrep mot organisasjonen din, må du sikre at brukerne bare har tilgang til informasjonen og ressursene som kreves for å utføre jobbene sine. Hvis du tar denne forholdsregelen, reduseres muligheten for et ransomware-angrep betydelig sideveis i nettverket ditt. Det kan være vanskelig å adressere et ransomware-angrep på ett brukersystem, men implikasjonene av et nettverk-omfattende angrep er dramatisk større.

4. Hold signaturbaserte beskyttelser oppdaterte
Fra informasjonssikkerhetssiden er det absolutt fordelaktig å holde antivirus- og andre signaturbaserte beskyttelser på plass og oppdatert. Selv om signaturbaserte beskyttelse alene ikke er tilstrekkelige til å oppdage og forhindre sofistikerte løsepenge-angrep designet for å unngå tradisjonelle beskyttelser, er de en viktig komponent i en omfattende sikkerhetsstrategi. Oppdaterte antivirusbeskyttelser kan beskytte organisasjonen din mot kjent skadelig programvare som er sett før og har en eksisterende og gjenkjennbar signatur.

5. Implementere flerlags sikkerhet, inkludert avanserte teknologier for å forhindre trusler
I tillegg til tradisjonelle, signaturbaserte beskyttelser som antivirus og IPS, må organisasjoner ta i bruk flere lag for å forhindre ny, ukjent skadevare som ikke har noen kjent signatur. To nøkkelkomponenter du må vurdere er trusselekstraksjon (filrensing) og trusselemulering (avansert sandkasse). Hvert element gir distinkt beskyttelse, som når de brukes sammen, tilbyr en omfattende løsning for beskyttelse mot ukjent skadelig programvare på nettverksnivå og direkte på endepunktenheter.