Business Continuity Management / Disaster Recovery, Cybercrime, Cybercrime as-a-service
Amedia: produksjon delvis gjenopprettet, etterforskning pågår
Mihir Bagwe •
30. desember 2021
Et løsepengeangrep forstyrret virksomheten til det norskbaserte medieselskapet Amedia, som gir ut mer enn 70 aviser for 2 millioner lesere.
Se også: Forbereder CISOer for nye e-posttrusler i 2022 og utover: Med Gartner® Analyst og Fox
Tirsdagens angrep på selskapets datasystemer tvang det til å stenge pressene, sier konserndirektør for teknologi i Amedia. Pål Nedregotten.
På en onsdag Oppdater, sa selskapet «det vil ta litt tid før situasjonen er normal».
Selv om angriperne la igjen en løsepenge på medieselskapets infiserte datamaskiner, har Amedia ingen planer om å betale løsepengene, heter det i uttalelsen. Han sier selskapet delte løsepengene med politiet.
Siden selskapets sentrale informasjonssystemer fortsatt er kryptert og ute av drift, er alternative ordninger i gang for å gjenopprette produksjonen av papiravisen, og kun 20 av alle overskrifter publisert av medieselskapet vil bli trykt torsdag, legger oppdateringen til.
– Den alternative produksjonen av torsdagens papiravis vil gjelde rundt 20 utgivelser, mens det foreløpig ikke er mulig for andre utgivelser å gi ut papiret. De prøver å gjøre løsningen tilgjengelig for alle fra fredag, sier Amedia.
Selskapet svarte ikke på Information Security Media Groups forespørsel om ytterligere detaljer, slik som beløpet på løsepengene som ble bedt om, smittebæreren og identiteten til angriperen.
Innledende etterforskning
Amedias innledende etterforskning bekrefter at «problemene er begrenset til systemer som administreres av Amedias sentrale IT-selskap, Amedia Teknologi» og at «andre Amedia-systemer fungerer normalt».
Hvis ingen avis kan publiseres, påvirker det lesere og annonsører som ikke kan legge inn nye annonsebestillinger eller se bestilte publisert, sier Nedregotten.
Amedias siste oppdatering bekrefter at dets sentrale informasjonssystem, som ble målrettet i angrepet, inneholder personopplysninger. Abonnentdata inkluderer navn, adresse, mobilnummer, e-postadresse og abonnementshistorikk, mens ansattes data inkluderer ansettelsesforhold/avtaler, personnummer og lønn.
– Vi vet fortsatt ikke om denne informasjonen faktisk har blitt misbrukt eller ikke, og vi jobber nå med å kartlegge disse problemene mer detaljert, sier Amedia. «Det virker åpenbart at disse dataene er lastet ned og vi vil informere Datatilsynet.»
Tirsdag sa Nedregotten at det ikke var «ingen pålitelig informasjon» om at personopplysningene til abonnenter og ansatte er kompromittert, men at «hvis personopplysningene går tapt, vil de berørte bli varslet så snart som mulig».
PrintNightmare-sårbarhet utnyttet?
«Mennesker [attackers] har vært i systemene våre i flere dager, «lokal nyhetsplattform Digi.no rapporterte Nedregotten sa på en digital pressekonferanse onsdag. «Det er en kjent sikkerhetsfeil i Windows som har blitt utnyttet, og derfor er det Amedias Windows-servere som har blitt påvirket.»
Nedregotten nevnte ikke den utnyttede sårbarheten. En Twitter-bruker som bruker navnet «cyb5r3Gene» og hevder å være en norsk sikkerhetsforsker hevder at trusselaktøren er blitt utnyttet CVE-2021-1675 – PrintNighmare-sårbarheten – for å få innledende tilgang og påfølgende sideveis bevegelse.
OPPDATERING: PrintNightmare CVE-2021-1675 ble brukt til sidebevegelse … «Angripere har vært inne i bedriftsnettverk i mange dager!» – Amedia https://t.co/0BmX0PvEXQ https://t.co/VVbVxdJF7b
– Gene Cyb5r3 (@ cyb5r3Gene) 30. desember 2021
Twitter-brukeren sier også at Vice Society løsepengevaregruppen kan være ansvarlig for angrepet, ettersom gruppen har utnyttet PrintNightmare-sårbarheten tidligere (se: Ransomware-gjenger prøver å utnytte «PrintNightmare»-feil).
«Ja, det finnes sikkerhetskopier»
Mens Amedia erkjenner at de har «alvorlige» problemer, sier mediekonsernet at de er klare med en katastrofegjenopprettingsplan. «Ja, det finnes sikkerhetskopier. Vi ser på hvordan de skal brukes,» sier Amedia.
Prosessen kan ta litt tid, ettersom teamet hans gjennomgår sikre sikkerhetskopieringskonfigurasjoner, og sørger for at de ikke utløser et ondsinnet skript som starter angrepene igjen. «Vi har hyret inn eksperter til å hjelpe oss på dette området for å ivareta sikkerheten til disse løsningene. Vi vil gi ny informasjon om dette så snart vi er klare,» sier Amedia.
Ransomware, et vedvarende problem
Bedrifter må slutte å tenke på at løsepengevare på en eller annen måte er forskjellig fra alle andre angrep, sier Simon Edwards, administrerende direktør i sikkerhetsfirmaet SE Labs, i Information Security Media Group.
«Hackerens spillebok har ikke endret seg mye i løpet av årene. Utfør litt rekon, få tilgang, øk privilegier og stjel eller ødelegge informasjon. Angripere bruker ikke magi fordi de ikke trenger det. Påviste hackingmetoder og pålitelige dominerer dag, slik det ser ut til å være tilfellet i denne spesielle hendelsen, sier Edwards.
«Folk har en tendens til å tro at hacking involverer superhemmelige programmer og den typen mystiske kunnskap som bare er kjent for en håndfull obskure datanerder. Men du kan presentere deg selv som en ganske kompetent angriper med en håndfull allment tilgjengelige bøker, noe programvare. gratis. og tilgang til YouTube, sier Edwards.
I stedet for å fikse på et problem som løsepengevare, råder Edwards organisasjoner til å fokusere på å sørge for at miljøene deres er låst nok til å forhindre enhver type angrep, uavhengig av nyttelasten. «Å bekrefte at sikkerhetstiltak og retningslinjer regelmessig møter selskapets behov vil bidra til å styrke forsvaret,» sier han til ISMG.
«Internettevangelist. Ekstrem kommunikator. Subtilt sjarmerende alkoholelsker. Typisk tv-nerd.»