På coronajagt med threat hunters

30. april 2020 - Angrebsmønstre følger samfundstrends, og cyberkriminelle var hurtigt i gang med at udnytte coronapandemien, da den ramte. Men sikkerhedsanalytikere og threat hunters udnytter deres evner, viden og netværk til at følge de kalkulerede angrebsforsøg tæt.

Daniel Tolboe Handler er sikkerhedsanalytiker i Security Analytics Centret hos Dubex, hvor man holder øje med markedet og sikkerhedsovervåger kunderne 24/7.

”Vi følger jo med i de aktuelle, sikkerhedsrelevante hændelser og kunne hurtigt konstatere, at der især var mange phishing-kampagner relateret til COVID-19, ” fortæller Daniel om arbejdet i centret. Arbejdet er struktureret sådan, at man ved større hændelser som fx WannaCry, med det samme kan opbygge use cases for at gøre overvågningen mere effektiv.

Derfor kunne man også hurtigt opbygge en omfattende use case for coronapandemien.

Dataindsamling og angrebsafdækning

En uge inde i den delvise nedlukning af Danmark fik kunderne opdateret deres use case stack med en COVID-19-use case.

”Ved at threat hunte fandt vi en lang række IP-adresser, filer, URL’er og domæner relaterede til COVID-19-angreb,” siger Daniel og fremhæver bl.a. sundhedsstyrelsen.org og sundhedsstyrelsen.com, som især blev brugt meget i starten.

Sikkerhedsanalytikerne hos Dubex var tidligt ude og rekognoscere, undersøge statistikker og threat feeds, samt konsultere et netværk af andre analytikere rundt om på kloden for at klarlægge fællestræk i den trafik, som man så i forbindelse med bl.a. phishingmails og forsøg på CEO fraud.

Og der var en række fællestræk. En stor mængde IP-adresser og URL’er gik blandt andet igen i mange tilfælde, og elementer som emnefeltet i e-mails havde også bestemte mønstre. Dermed kunne man hurtigt opbygge en use case med en række effektive IoC’er – indicators of compromise.

Overvågning giver hurtig melding

Det er umuligt at undgå angreb, men hvis uheldet er ude, er det vigtigt hurtigt at være opmærksom på, hvorfor alarmen opstod, og hvad problemet går ud på.

To slags angreb har især været fremtrædende – phishing og falske hjemmesider. Der blev blandt andet lavet en populær threat map, hvor man angiveligt kunne se, hvor mange der er ramt af coronavirusset rundt om i verden. Den var maskeret som en oplysende og hjælpsom side midt i den tiltagende panik, men siden blev brugt til at distribuere malware til de besøgende.

”Hvis nogle af vores kunder trigger på disse ting, melder en alarm straks om, at en bruger for eksempel har trykket på noget, som de ikke burde have trykket på,” fortæller Daniel. Med overvågning døgnet rundt er der mulighed for at reagere hurtigt og minimere skaden.

Når sikkerhedsanalytikerne eller threat hunters finder nye IoC’er relaterede til COVID-19, bliver de tilføjet den dynamiske use case, som bliver opdateret og vedligeholdt flere gange om dagen.

Angrebsmønstre følger virussets udbredelse

”I starten af COVID-19-udbruddet i Danmark, var der et mindre fald i phishing-angreb relateret til andre ting,” fortæller Daniel om tiden, hvor COVID-19-relaterede angreb blussede op i vores del af verden. ”Der var ikke så mange angreb, der rettede sig mod SKAT, NemID og de andre sædvanlige aktører.”

Men den udvikling ændrede sig i takt med, at pandemien spredte sig til USA og Canada.

”Da pandemien for alvor ramte Europa i midten af marts, var der naturligvis en klar stigning af angreb her i regionen, og det kunne man tydeligt mærke især i løbet af de første par uger,” siger Daniel. ”Men da den rykkede ind i Nordamerika, var der klare indikationer på et fald af angreb i Europa og en stigning i tempoet i bl.a. USA.”

Det medførte en tilbagevenden i Danmark af de gamle kendinge, som bl.a. phishing-angreb relateret til SKAT og falske gavekort.

Medietrends har naturlig indflydelse på trusselsbilledet

Udviklingen med COVID-19-relaterede angreb følger medieomtalen og de aktuelle begivenheder med hensyn til, hvor akut og voldsomt problemet er. Derfor kan der være lange udsigter til, at COVID-19-angreb fortager sig helt, men der vil naturligvis løbende ske en udvikling, som det er vigtigt at holde nøje øje med.

”Så længe COVID-19 er i medierne, kommer det ikke til at forsvinde fra angrebstaktikkerne,” understreger Daniel. ”Det bliver reelt set først irrelevant, når der kommer en vaccine, og den er distribueret bredt, så det ikke længere er et stort samtaleemne.”

COVID-19 er blot den seneste trend inden for angreb, og Daniel påpeger, at en central del af arbejdet i Dubex’ Security Analytics Center naturligvis er løbende at overvåge de aktuelle trends. Sikkerhedsanalytikernes arbejde havde derfor i forvejen rustet dem til bedre at kunne håndtere denne krise.

”Selvfølgelig følger vi med, og det har vi altid gjort, så når der kommer nye hændelser, er det en del af den almindelige proces og det almindelige flow,” siger Daniel.

Dubex Security Analytics Center & SIEM

Dubex’ Security Analytics Center overvåger og analyserer hændelser og angrebsmønstre i dine logfiler og kontakter dig ved kritiske alarmer. Vores erfarne specialister afsøger konstant markedet for nye trusler og tendenser

Threat Alert

Nye sårbarheder og trusler dukker konstant op, og det kan være tæt på umuligt at holde øje med, hvad der sker. Med Dubex Trusselsvarslingsservice overlader du den opgave til et dedikeret team, der hele tiden har fingeren på IT-trusselsbilledet