Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Everest ransomware group som nettopp har angrepet Svenska kraftnät, slik jobber de, og slik kan dere beskytte dere


Svenska Kraftnät er nå bekreftet rammet av Everest ransomware group: Svenska kraftnät er angrepet av Everest ransomware group.

https://www.svt.se/nyheter/inrikes/svenska-kraftnat-utreder-hackerattack

https://www.svt.se/nyheter/inrikes/svenska-kraftnat-utreder-hackerattack

Hvem er Everest ransomware group?

Everest-gruppen har vært aktive siden 2020. En rapport fra august 2024 viser at hele 272 organisasjoner har vært ofre for dem så langt.

Følg gjerne med på ransomware.live for løpende oppdateringer og trusselinformasjon.

Her sies det at 272 har blitt ofre for denne gruppen:

Følg gjerne med på https://www.ransomware.live/ for mye bra informasjon.

Hvordan fungerer Everest ransomware?

Alle sier at trusselbildet blir «mer sofistikert» for hver dag – og ja, til en viss grad stemmer det. Enkelte teknikker utvikler seg. Men i realiteten er mye det samme som før.

De fleste angrep starter fortsatt med sosial manipulasjon – phishing og annen påvirkning. Deretter følger klassiske steg som har vært uendret i årevis. Og de fungerer fortsatt, fordi grunnleggende tiltak mangler.

Ikke avanserte, dyre løsninger – men enkle, billige (ofte gratis) grep som kunne stoppet skaden før den startet.

Målgruppe for Everest ransomware:

Everest ser ikke ut til å ha spesifikke unntak – alle typer virksomheter kan rammes.

I tidlig fase bruker de flere metoder for å få tilgang, blant annet:

Bestikkelser av interne ansatte for fjernaksess:

Kjøp av etablerte tilgangspunkter fra andre aktører:

Når de er inne, hvordan jobber de?

Når de først er inne, er RDP (Remote Desktop Protocol) den vanligste metoden for intern bevegelse. Deretter bruker de kjente Windows-verktøy som ProcDump, LSASS, NTDS, netscan.exe, WinRAR og andre for å hente ut data.

Hvordan oppdage dem?

Det finnes en rekke Indicators of Compromise (IOC) som kan avsløre om systemet er kompromittert. Disse bør integreres i overvåkning og revisjon.

Hvordan beskytte seg?

Akira ransomware herjet Norge og Sverige i 2023 og 2024. Sammenligner man dette med Everest ransomware, er det meste likt teknikkmessig. Det igjen betyr at tiltakene for å beskytte seg mot Akira også vil gjelde for Everest.

Når man sammenligner Everest med Akira ransomware som herjet Norge i 2023 og 2024, ser man at metodene i stor grad er like. Dermed gjelder mange av de samme forebyggende tiltakene.

US Department of Health & Human Services (HC3) lister en rekke anbefalinger – gode, men mange kan virke overveldende. Derfor er det nyttig å starte med grunnmuren.

Konklusjon

Everest ransomware viser igjen at det ikke alltid er de avanserte løsningene som redder deg – men de grunnleggende tiltakene du faktisk får gjort.

Cybersikkerhet handler ikke bare om teknologi, men om struktur, disiplin og kultur.

Start med det enkle. Det er der den virkelige sikkerheten bygges.

Grunnleggende tiltak alle burde ha på plass

All sikkerhet er anbefalt å starte med risikovurdering. Allikevel er det noen elementer som bare burde være plass uten å bruke tid på risikovurdering. Disse tiltakene krever lite, men gir stor effekt. De fleste er engangsjobber med langvarig virkning. La oss se på dem opp mot Everest ransomware group:

  • Assume breach – anta at noen allerede er inne.
  • MFA for administratorer på RDP – Everest bruker RDP aktivt.
  • DNS- og URL-sikkerhet – stopper utgående kommunikasjon.
  • VG-testen – hindrer nedlasting av verktøy angripere trenger.
  • Jumpserver – begrens direkte tilgang mellom klienter og servere.
  • Segmentering – sørg for at brannmur ser og kontrollerer trafikken.

Disse tiltakene er grunnleggende. De fleste er gratis eller svært rimelige å implementere – og de gir betydelig proaktiv effekt.

Her er link til artikkel for bildet under.

FBI anbefaler også

Flere av FBI sine råd er så enkle at de burde være «no-brainers»:

  • Gjennomgå kontoer og oppgaver for ukjente endringer.
  • Sikre og air-gap backupkopier.
  • Oppdater og patch systemer fortløpende.
  • Bruk MFA der det er mulig.
  • Begrens admin-rettigheter og segmenter nettverk.
  • Slå av ubrukte RDP-porter og overvåk bruken.
  • Installer og oppdater antivirus og antimalware.
  • Bruk VPN, sikre e-post og slå av lenker i e-poster.

Artikler

, , , , , , ,

Posted by:

Gøran Tømte

2 responses to “Everest ransomware group som nettopp har angrepet Svenska kraftnät, slik jobber de, og slik kan dere beskytte dere”

  1. Grunnleggende sikkerhet uten behov for risikovurdering – Zero Trust Soldier

    […] Everest ransomware group som nettopp har angrepet Svenska kraftnät, slik jobber de, og slik kan der… […]

    Reply
  2. Medusa ransomware, det fungerer “likt” alle andre, og slik beskytter du deg, enkelt. Og ikke start med phishing! – Zero Trust Soldier

    […] løsepengeangrep/ransomware er det mange aktører, nå sist nevnte jeg Everest, denne gangen snakker jeg om Medusa, og i all hovedsak jobber de veldig […]

    Reply

Leave a Reply to Medusa ransomware, det fungerer “likt” alle andre, og slik beskytter du deg, enkelt. Og ikke start med phishing! – Zero Trust SoldierCancel reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading