Risken att drabbas av ransomware ökar

Ransomware är inget nytt under solen egentligen. Vi har alla länge hört om både små företag, större koncerner och privatpersoner som drabbats av utpressningsvirus. De mottar ett lockande erbjudande om att betala i kryptovalutor för att få tillbaka access till sina filer. Alla med varierande utfall och framgång. 

Vad vi på Truesec har sett under det senaste året, från många incidentutredningar hos våra kunder, är att målen verkar ha förflyttats något. Framförallt verkar det vara samhällsfunktioner i form av städer, kommuner, energi och vattenförsörjningsbolag samt större industribolag som är i siktet för utpressarnas framfart. En tvärnit i sådana bolag eller organisationer får betydande effekter, vilket förövarna såklart har koll på. 

“The more it hurts, the more likely to get paid”, resonerar angriparna självsäkert. 

Betala aldrig när du drabbats av ransomware

Många bolag väljer att betala, mot både våra och övriga branschens rekommendationer. Men det finns aldrig någon garanti att återfå kontroll över sina miljöer. Även om man till slut får det, kommer tiden det tar att nå dit medföra stora kostnader. Bland annat på grund av stillestånd och i många fall även haveri i drabbade systemberoenden.

Norsk hydro en av de drabbade organisationerna

Några av de publikt kända och drabbade organisationerna är Norsk Hydro. De nerlåstes av LockerGoga– vilket har kostat bolaget över 300 miljoner norska kronor. Nu senast i somras angreps sjukhus i Rumänien och flertalet kommuner i både Finland och Sverige.

Vad kan man göra för att förhindra en kommande ransomware-attack mot sin organisation?

Fullständig garanti finns inte, men några tydliga råd bör man följa för att minska sin riskexponering. Nu.

  • Ta regelbunden backup och förvara offline.
  • Kör regelbundet säkerhetsuppdateringar samt patcha till senaste version.
  • Segmentera nätverk för att försvåra för angriparen att sprida sin attack internt om dom kommer in.
  • Vit-lista applikationer.
  • Begränsa behörigheter.
  • Aktivera multifaktor autentisering för alla användare.
  • Skapa, gå igenom och träna på rutiner för återställning av system.
  • Se över vilka anslutningar som finns mot externa parter som kunder och leverantörer som har kontakt med ert nätverk.

Vad är det som gör att överbelastningsattacker kan ske?

Vi backar tillbaka lite… I stort sett alla attacker inleds med ett phishing-mail, från en känd och betrodd avsändare. Mottagaren av mailet luras att klicka på en länk eller att öppna en bifogad fil. Eftersom angriparen förlitar sig på användarens godtrohet är det av stor vikt att utbilda sina anställda för att öka chanserna att upptäcka phishing-mailen. En så pass enkel sak som komplexa unika lösenord i kombination med multifaktor autentisering ger en mycket mindre risk. Tyvärr är det fortfarande dock så att man i snitt har mer än 25 olika online-konton, men färre än 5 unika lösenord. Så återigen – utbilda dina anställda och få dem att förstå konsekvenserna och den risk man kan sätta sin arbetsgivare i. 

Om ni ändå drabbats av ransomware

Det finns några aktiviteter som omgående bör utföras:

  • Isolera det system som du ser har drabbats. Dvs koppla bort andra enheter i samma nätverk som den infekterade.
  • Radera INTE diskar, då det försvårar en kommande utredning
  • Ta hjälp av erfarna experter för att komma vidare med att hantera situationen.

Om du har funderingar, tveka inte att höra av dig till mig eller någon kollega på Truesec som har mångårig unik kompetens och erfarenhet från incidentutredningaroch ransomware

/Mikael

Mikael.Lagstrom[at]truesec.se


By Mikael Lagström

Mikael Lagström has several years of experience from IT, Telecom and Cybersecurity on management level, successfully building up global security services organizations. Mikael works at TrueSec, which is a highly regarded company that focuses on cyber-security, IT infrastructure, and secure development. TrueSec holds a key position in the Swedish market and have a strong reputation internationally due to worldwide security-related assignments.