iStock-626530416

Slik oppdaget vi hackerangrep hos en av våre kunder før det var for sent

I begynnelsen av september 2019 oppdaget våre sikkerhetsanalytikere mistenkelige trafikkmønstre hos en av våre kunder. Ved nærmere undersøkelser ble det observert ukryptert webtrafikk mot en ekstern IP med negativt omdømme, hvor en av kundens PC-er lastet ned både exe-filer og en unormal mengde tekstdokumenter. Ved å sette dette inn i en større sammenheng og utvide søkeområdet for undersøkelsene, kom det frem avvik fra normalt bruksmønster rundt mailtrafikk fra den interne PC-en. Du kan lese mer om denne hackerkampanjen i reseach paperet til Checkpoint som ble publisert 16. oktober 2019.

Med disse funnene iverksatte analyseteamet videre undersøkelser for å kartlegge hva som hadde skjedd. Ved å undersøke kundens logger i vårt SIEM-verktøy, kunne våre analytikere raskt fastslå at det her var snakk om en maskin som var medlem av et botnett. En videre spredning internt i kundens system kunne ikke påvises. Basert på trusselinformasjon og egne undersøkelser fant analytikerne ut at tekstfilene som ble lastet ned var fulle av kontodetaljer som etter all sannsynlighet stammet fra kjente e-post- og passordlekkasjer på internett.

Ytterligere undersøkelser avdekket at den infiserte PC-en hadde unormalt mange DNS-forespørsler, i tillegg til et veldig høyt antall tilkoblinger mot eksterne mailservere. Teamet dannet seg en formening om at dette var en «sextortion» kampanje, hvor en av kundens PC-er ble brukt som et verktøy for å sende ut utpressingsmail til flere tusen e-postadresser.

Eksempel på tilsvarende utpressingsmail:
Utpressingsmail

Illustrasjonsbilde: NorSIS

Pedab MSS klassifiserte dette som en sak med fare for omdømme- og økonomisk tap. Saken ble dermed varslet til kunden og analytikerne assisterte dem med aksjonspunkter for å utbedre situasjonen og iverksette fremtidige sikkerhetstiltak.  

Over 90% av ledere er ikke forberedt på hvordan de skal håndtere et cyberangrep, men angrep skjer jevnlig også i Norge. Det vi ønsker å illustrere med å ta frem denne saken i Sikkerhetsmåneden, er at våre analytikere klarte å oppdage den unormale trafikken på et tidlig stadie før andre mest sannsynlig ikke visste om denne hackerkampanjen. I tillegg ønsker vi å få frem hvor viktig det er å ha gode analytikere, som kan sikkerhet, til å følge med på trafikken for deg – det er ikke nok å kun ha en brannmur eller antivirus hvis ingen har noe eierskap eller oversikt over løsningen, eller muligheten til å tolke det som dukker opp.

Les mer om Pedab MSS her.

//Roger Ison-Haug

Hva er sextortion?

Sextortion ut på at hackeren sender en epost der han eller hun presser offeret til å betale løsepenger i bitcoinform. De truer også med å eksponere seksuell video eller private data relatert til mottakeren hvis betaling ikke mottas. De prøver å få offerets troverdighet ved å presentere et av offerets passord i begynnelsen av mailen. Målet med denne metoden er å gjøre offeret usikker og ukomfortabel slik at vedkommende ender opp med å betale. Og dette virker. De kriminelle bak kampanjen har fått inn 14 bitcoin, som tilsvarer cirka 88 000 dollar.  
Kilde: Checkpoint, 16. oktober 2019