Ryska raplåtar kan avslöja ledande hackernätverk

2021-06-15 06:00  

Ransomwareattacker drar in mångmiljonbelopp till organiserad brottslighet. En av de värsta grupperna bakom angreppen heter Nefilim, som riktar in sig mot riktigt stora bolag. De är duktiga på att sopa igen sina spår – men referenser till rysk hiphop kan avslöja nätverket.

7 maj 2021. Den största kända cyberattacken mot oljeinfrastruktur i USA som någonsin skett slår till med full kraft mot bolaget Colonial Pipeline och deras oljeledning från Houston i Texas. Flödet av olja stoppas snabbt vilket leder till bränslebrist i många delstater. Några timmar senare betalas lösensumman, 75 bitcoin, till vad som tros vara den ryska hackergruppen Darkside. Oljeledning kan därefter sätta igång, fast betydligt långsammare än tidigare.

Exakt en månad efter attacken kom nyheten att amerikanska myndigheter kommit över 63,7 bitcoins av lösensumman. Men attacken blir ändå en tydlig påminnelse om vilken skada ransomware-attacker, alltså angrepp där cyberkriminella att sig in på ett nätverk för att sedan kryptera filerna och begära betalning för att avkryptera dem, kan orsaka.

Tidigare var spammejl med länkar till suspekta sajter i syfte att komma över lösenord den vanligaste vägen in. Men med tiden har medvetenheten hos allmänheten blivit större och cyberförsvar hos företag starkare. Fast attackerna fortsätter ändå.

Inte lika automatiserat som tidigare

I en ny rapport från den japanska it-säkerhetsjätten Trend Micro har bolaget undersökt Nefilim, som både är namnet på en programvara som används i ransomwareattacker, och ett nätverk av cyberkriminella som använder just den programvaran. Det är inte det allra mest aktiva nätverket, men utmärker sig genom att tydligt rikta in sina attacker mot företag med en årsomsättning på minst en miljard dollar. Bland offren finns världens största vitvarutillverkare Whirlpool i USA och logistikföretaget Toll Group i Australien.

Liksom andra brottslingarna har de under de senaste åren gått från ”spray and pray” (fritt översatt att skjuta vilt runt sig och hoppas att något ska träffa) till mer organiserade attacker.

– Det är inte lika automatiserat som tidigare. Nu väljer angriparna ut sina offer noga och är mycket mer organiserade än tidigare. Ofta samarbetar flera grupper där någon bereder tillgång till ett nätverk och någon annan står för programvaran, säger Jean Diarbakerli, säkerhetsrådgivare på Trend Micro. Han har inte skrivit rapporten men presenterar den för företagets räkning i Sverige.

Planerar attackerna på darknet

Nefilims offer finns framför allt i Nord- och Sydamerika men även i resten av världen, inklusive Sverige. Vilket svenskt företag det handlar om har dock inte offentliggjorts. Bara under januari kom gruppen över 1 752 GB data under sina angrepp, enligt Trend Micros rapport.

På darknets forum planeras attackerna, med kontaktuppgifter till krypterade chattappar för den som är intresserad av att delta. Foto: Trend Micro

Attackerna organiseras bland annat via forum på darknet. Där läggs planerna upp med kontaktuppgifter till krypterade meddelandetjänster som Jabber och Telegram för den som är intresserad av att delta. Ofta delas vinsten mellan dem som har tagit sig in i ett nätverk och dem som står för programvaran, i regel 80/20 eller 70/30.

Vilka som ligger bakom Nefilim är svårt att säga.

– Det har inte bedrivit så mycket forskning på Nefilim, men våra forskare har tittat på källkoden som använts i vissa attacker, och där finns sångtexter till ryska raplåtar. Vår teori är därför att det är rysktalande aktörer. Men de är väldigt duktiga på att sopa igen sina spår, säger Jean Diarbakerli.

Ytterligare en faktor pekar mot Ryssland – den ip-adress som i rapporten anges kunna spåras till attacken mot ett svenskt bolag ligger i centrala Moskva.

Så går Nefilims angrepp till

För att komma över filerna krävs att angriparna först tar sig in på ett nätverk, och sen kommer över administratörsrättigheter. Det första steget är att leta efter sårbarheter i till exempel webbservrar och vpn-tjänster, eller andra saker som exponerar ett nätverk mot internet. I flera fall har Nefilim utnyttjat sårbarheter som har fixats för många år sedan, men där bolaget inte har uppdaterat sina system. Men de kan också ta sig in genom att få användare att klicka på skadliga filer i ett mejl, eller helt enkelt genom att prova olika lösenord.

– När de väl kommit in är nästa steg att ladda ner de verktyg som de behöver för att ansluta till systemet, extrahera lösenord, stänga ner skyddssystem, och så vidare. Sedan börjar de gå igenom nätverket, från maskin till maskin, för att leta efter data att stjäla, säger Jean Diarbakerli.

Jean Diarbakerli, säkerhetsrådgivare på Trend Micro, varnar för mer organiserade cyberkriminella. Foto: Trend Microsystems

Vad är det för uppgifter Nefilim är ute efter?

– Det som är mest känsligt, ofta immateriella tillgångar som patent. Uppgifter som företagen är beroende av eller som skulle orsaka stor skada om de offentliggörs. Då är det större chans att få betalt.  

Begär lösensumma i bitcoin

När Nefilim hittat känsliga filer skickas de över till hackergruppens egna servrar, där de krypteras. Sedan är det dags att berätta om angreppet och ställa sina krav. Offret hotas inte bara med att gå miste om all data, utan också om att filerna kan publiceras på nätet. I Nefilims fall framförs hotet genom en textfil som placeras på skrivbordet (se faktaruta).

– Lösensumman som begärs är anpassad efter bolaget som utsatts, men i regel är det mellan 10 och 15 bitcoin som ska skickas till en specifik adress. Vi pratar alltså belopp i miljonklassen, säger Jean Diarbakerli.

Finns det någon chans att få tillbaka filerna om man inte betalar?

– Krypteringsalgoritmerna som finns i dag är så bra att de inte går att knäcka. Men om företaget har en sund backup-strategi kan man återställa systemet till en gammal version.

Kan skydda sig med 3-2-1-regeln

De branscher som Nefilim riktar in sig på är industri-, finans- och fordonsektorn. Det är givetvis ingen slump, utan verksamheter där ett stopp i en fabrik eller i ett banksystem kan innebära att bolaget förlorar väldigt mycket pengar. Därför frestas många att betala lösensumman, vilket alltså amerikanska Colonial Pipeline gjorde. Rekommendationen från olika it-experter brukar vara att inte betala angriparna, vilket även Trend Micro stämmer in i.

– Det finns inget som säger att de inte kommer att publicera data även om bolaget betalar, säger Jean Diarbakerli.

Den viktigaste regeln för skydd mot ransomware-attacker som Trend Micro nämner i rapporten lyder 3-2-1: Ha tre kopior alla viktiga filer, på minst två olika platser, varav en i ett annat system eller i molnet.

– Det gäller att säkra upp systemet i flera lager. Även om en angripare tar sig in i systemet ska denne inte kunna komma åt all data. Plattformstänket, med skydd i flera lager, är viktigt. Sen gäller det att ha en sund lösenordsstrategi och använda mulitfaktorsautentisering. Då minskar du markant risken för att behöva ta ställning till om du ska betala en lösensumma eller inte.

Fakta: Kravbrevet från hackergruppen

Nefilim lägger fram sina krav i form av ett textdokument vid namn NEFILIM-DECRPYT.txt som läggs på skrivbordet. Det innehåller följande text:

All of your files have been encrypted with military grade algorithms.

We ensure that the only way to retrieve your data is with our software.

We will make sure you retrieve your data swiftly and securely when our demands are met.

Restoration of your data requires a private key which only we possess.

A large amout of your private files have been extracted and is kept in a secure location.

If you do not contact us in seven working days of the breach we will start leaking the data.

After you contact us we will provide you proof that your files have been extracted.

To confirm that our decryption software works email to us 2 files from random computers.

You will recieve further instructions after you send us the test files.

Henning Eklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt