Ransomware – Hur skyddar du din organisation?
Ett aktuellt ämne inom cybersäkerhet att informera om och diskutera är ransomware-attacker. Speciellt med tanke på de senaste händelserna i Sverige, inklusive det omfattande utbrottet hos Tietoevry samt incidenter vid Sophiahemmet och i Bjuv Kommun. På XLENT finns kompetens och erfarenhet hur man minskar risken för att drabbas av denna typ av attack. Med över 20 års erfarenhet inom cybersäkerhetsbranschen har Mikael Lingskog på Cyber Security-teamet bevittnat dessa attacker på nära håll och vill nu gärna dela med sig av sina kunskaper och reflektioner.
Vad är ransomware?
Ransomware är en skadlig typ av kod, liknande virus och trojaner, som smittar datorsystem och manipulerar dem på ett sätt som hindrar offret från att använda systemet helt eller delvis. Vanligtvis erhåller den drabbade snart därefter ett utpressningsbrev som kräver en lösensumma för att återfå fullständig tillgång till systemet och filerna.
Hur fungerar det?
Illasinnade angripare använder olika tekniker för att uppnå sina mål med ransomware och detta blir tyvärr alltmer sofistikerat över tiden. Det finns olika metoder för att uppnå målet att få betalt. Vissa ransomware varianter krypterar användarens filer med en nyckel som endast angriparen har tillgång till, medan andra blockerar helt enkelt åtkomsten till systemet och lämnar filerna intakta.
Hur får man ransomware?
Du kan råka ut för ransomware på olika sätt:
-
genom att öppna en skadlig e‑postbilaga,
-
besöka en smittad eller skadlig webbplats,
-
genom att klicka på en smittad annons eller via oskyddade Wi‑Fi-nätverk. Du kanske inte ens inser att du infekterats — tills dina filer är låsta, förstås.
En användare vars system är infekterat med ransomware ställs vanligtvis inför ett utpressningsmeddelande som kräver att offret betalar en lösensumma till angriparen för att återfå tillgång till sina system och filer. Betalningar sker oftast endast med den digitala valutan Bitcoin, vilket ger angriparen en extra nivå av anonymitet. Efter betalning erhåller offret en nyckel och metod för att dekryptera sina filer och återfå fullständig åtkomst. Det rapporteras att brottslingar, deras verktyg och deras bakomliggande infrastruktur blir alltmer sofistikerade och användarvänliga. Inte bara utförs intrång i offrets system med stor precision och genomtänkta verktyg, utan även stödet till offret för att återställa sina system blir alltmer betydelsefullt för brottslingarna. Vissa grupper erbjuder till och med en helpdesk-funktion för offer som har problem med bitcoin, betalningar eller tillämpning av nyckeln.
Möjliga legala implikationer av ransomware
IBM:s rapport Cost of Data Breach Report 2023 visar en häpnadsväckande siffra: det genomsnittliga ekonomiska utfallet av ett dataintrång inom professionella tjänster, är svindlande 4,47 miljoner dollar.
Känslig data som inte skyddas på ett adekvat sätt kan resultera i juridiska komplikationer och brott mot lagar och förordningar såsom GDPR, NIS2, DORA. Detta kan i sin tur leda till böter och andra rättsliga påföljder.
Bör man betala lösensumman?
Detta är en mycket viktig och aktuell fråga att ställa sig eftersom ransomware utgör ett växande och allvarligt problem. Det innebär utpressning från förövarnas sida, kombinerat med intrång i data. De drabbade företagen blir offer för brottet och i Sverige kan reglerna om nöd bli relevanta.
Vid en ransomware-attack är det sannolikt att betalningen går till organiserad brottslighet, och det finns en risk att pengarna används för att stödja terrorism eller andra olagliga aktiviteter.
Det är just betalningarna som driver brottsligheten kring ransomware, då det skapar incitament för fler attacker. Om ingen betalade skulle det inte vara lönsamt att begå dessa brott så vår starkaste rekommendation är så klart att inte betala eftersom då då med stor sannolikhet bidrar till finansiering av brottsliga handlingar. Det är heller inte säkert att betalning löser problemet. 80 procent av dem som betalar återfår inte all sin information, och 4 av 5 företag drabbas ofta av nya attacker.
Skydda dig och din organisation mot ransomwareangrepp
-
Om du inte har kompentensen internt, ta hjälp utifrån. Att snabbt kunna upptäcka och avvärja dataintrång är otroligt värdefullt.
-
Ha beredskap. Se över vilken information är mest värd att skydda och ta regelbundet säkerhetskopior på den information som du inte kan vara utan. Se även till att ha en säkerhetskopia, som är ”offline”.
-
Håll dina programvaror ständigt uppdaterade.
-
Aktivera flerfaktorsautentisering där det är möjligt. Detta förhindrar en angripare att återanvända stulna inloggningsuppgifter.
-
Installera brandvägg- och antivirusprogram samt aktivera automatiska uppdateringar för både operativsystem och programvaror.
-
Koppla aldrig in okända, externa enheter i din dator eftersom det kan leda till att ransomware sprids från dessa enheter till din dator.
-
Klicka inte på bilagor, reklam och länkar om du är osäker på avsändaren.
-
Se över behörigheterna på företaget, alla behöver inte ha åtkomst till allt. Infekteras någon med högre behörighetsgrad (typ administrationsbehörighet) kan hela nätverket smittas.
-
Utbilda din personal.
Vad gör du om du drabbas?
-
Om du inte har kompentensen internt, ta hjälp utifrån direkt.
-
Polisanmäl händelsen i ett tidigt skede.
-
Försök att isolera de smittade enheterna.
-
Se till så att det genomförs en intern utredning efter kontroll av händelsen för att förstå om man fortfarande är hotad samt att delning av information inom sektorer och till myndigheter är viktigt för att bidra med support och medvetenhet – vad hände, hur kunde det hända?
-
Säkerställ i er utredning att angreppet är åtgärdat och att angriparen inte har fortsatt tillgång till IT-miljön genom behörigheter och/eller skadlig kod i systemet.
-
Innan återställning av säkerhetskopior sker, kontrollera så att kopiorna inte också har drabbats.