Varningar om ransomware mot kommuner i Norge, Frankrike och Storbritannien ("Mespinoza/Pysa")

Norska cybersäkerhetscentret (NCSC) och Direktoratet for samfunnssikkerhet og beredskap (DSB) varnar om en pågående utpressningsattack mot en norsk kommun. [1]

De delar information om att den skadliga koden som används är “Mespinoza/Pysa” [2], som även använts i liknande attacker mot kommuner i Frankrike [3] och Storbritannien [4].

Angreppssättet ser ut som följer: Angriparen försöker komma in i nätverket genom att använda “brute force”-attacker mot tjänster och användare som är uppkopplade mot internet, exempelvis fjärråtkomstlösningar som RDP. Om angriparen får åtkomst till nätverket kommer de försöka söka sig vidare med hjälp av en rad olika metoder, till exempel RDP. Angriparna har använt sig av verktyget “Mimikatz” för att hämta lösenord och dumpa lösenordsdatabaser. Angriparen kartlägger sedan nätverket och försöker att utföra en eller flera av följande åtgärder:- Stänga av antiviruslösningar. Exempelvis har angripare stängt av Microsoft Defender genom lokala grupprinciper.

• Sätta undantag för alla filer som har filtillägget “.exe” som har skapats i Microsoft Defender.
• Ta bort säkerhetskopior och skuggkopior av systemet.
• Hämta information om nätverk, användare, databaser och säkerhetskopior.
• Använda flera PowerShell-skript för kartläggning och automatisering.
• Flytta i sidled genom nätverket med hjälp av “PsExec”.

Beroende på hur svårt det är för angriparen att få tillgång till administrationsrättigheter kan det handla om timmar eller dagar innan den skadliga koden aktiveras i nätverket.

När kartläggningen med flera åtgärder är genomförda går angriparen vidare till att kryptera filerna i systemet. Dessa får ett nytt filnamn som slutar på “.pysa” och den drabbade får ett meddelande om att de ska kontakta angriparen för att kunna låsa upp sina filer. De drabbade kommunerna har observerat att angriparen då använder en slumpgenererad e-postadress från ProtonMail, till exempel “[slumpmässig text]@protonmail.com”.

Det finns ett antal tecken att hålla utkik efter:
* Misstänkt trafik från och till det egna nätverket till TOR-nätverket
* Misstänkta RDP-anslutningar från internet till den egna infrastrukturen
* Inloggningsförsök genom "brute force"-attacker
* Misstänkta inloggningar
* Avaktivering av antivirustjänster och skydd mot skadlig kod
* Användning av verktyg som "PsExec" och "procdump"`

Rekommendationer

CERT-SE har inte fått några indikationer om att svenska kommuner är drabbade.

Vi rekommenderar dock att man tar tillfället i akt och ser över vilka tjänster i nätverket som är internetuppkopplade, inklusive öppna RDP-tjänster och andra fjärråtkomstlösningar. Se till att använda tvåfaktorsautenticering och se över era återställningsrutiner. Håll koll på aktiviteten på administratörskonton. Stäng av trafiken till TOR-nätverket om den inte är verksamhetskritisk. Överväg om trafik från länder som organisationen normalt inte ser trafik från/till bör blockas/geofiltreras. Se till att det finns tillräckliga loggar över de tjänster som används och att dessa sparas i minst tre månader, och gärna längre än så.

För flera generella råd gällande utpressningsvirus och skadlig kod, se [5].

Om er organisation ser tecken på att ni är drabbade ska detta polisanmälas. Ni får gärna kontakta CERT-SE för rådgivning och stöd, mejla då till cert@cert.se.

Källor

[1] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/varsel-om-losepengevirus

[2] https://thedfirreport.com/2020/11/23/pysa-mespinoza-ransomware/

[3] https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-003/

[4] https://www.teiss.co.uk/pysa-ransomware-gang-leaks-hackney-council-data/

[5] https://www.cert.se/2020/06/oka-motstandskraften-mot-ransomware