JOINT CYBERSECURITY ADVISORY

JOINT CYBERSECURITY ADVISORY


USA rammes for tiden af en bølge af ransomware. Meget specifikt angribes en lang række hospitaler, som i forvejen er hårdt presset på grund af Corona. Kan det samme ske i Danmark? Før det vil ske, er der hjælp at hente.

Cybersecurity and Infrastructure Agency (CISA) har, sammen med FBI og Department of Health and Human Services (HHS), lavet en uddybende advisory. Her beskrives TTP’erne (taktikker, teknikker og procedurer), der anvendes af de cyberkriminelle, når de angriber sundhedssektoren.

Typisk er angrebene bygget op omkring Trickbot eller Bazarloader samt Ryuk ransomware. Rapporten beskriver IoC’s (Indicator of Compromise) for angrebene samt anbefaling til mitigering.

Ikke overraskende handler det om helt basal cyberhygiejne. Vi refererer til CIS20 kontroller:

– Patch systemer straks producenten frigiver sikkerhedspatches (CSC3)

– Effektiv mailsikkerhed m. sandbox af såvel domæner som eksekverbare filer. Bloker dårlige domæner inkl. detektering og blokering for brug af DNS tunneling (CSC7)

– Kontinuerlig check af konfigurationer (CSC5)

– Brug MFA (Multi Faktor Autorisation) hvor det er muligt (CSC4 + CSC14 + CSC12)

– Luk for remote adgang/RSDP porte der ikke er i brug (CSC9)

– Overvåg administrative konti og konfigurer adgang til least privilege access (CSCS4 og CSC14)

– Audit logs for at sikre at nye konti er legitime (CSC6 + CSC14)

– Scan for åbne porte og luk for porte der ikke er nødvendige (CSC9)

– Identificer kritiske aktiver. Lav backup og sikre backups offline fra netværket (CSC10)

– Sæt end-point protection til automatisk update og scan regelmæssigt (CSC8)

– Fokus på awareness-træning med fokus på ransomware samt phishing scams og hvordan disse leveres (CSC16)

Specifikt for Ryuk ransomware findes klare mitigerende handlinger samt detektering beskrevet med mapping til Mitre Att@ck matrix. Men blandt de anbefalede teknikker er:

– Segmentering (CSC14)

– Whitelisting af applikationer (CSC2)

– File integrity monitorering (CSC5 + CSC14)

Den Detect og Respons løsning vi tilbyder, er i dag opdateret med de seneste use cases (logs og netværkstrafik) til at detektere brud på og brugen af en række af de TTP’er som benyttes af de cyber kriminelle.

Læs hele rapporten her: https://us-cert.cisa.gov/ncas/alerts/aa20-302a