Ransomware attacker – allt du behöver veta om ransomware

Artikel

Efter cyberangreppen mot bland andra Kalix kommun och Coop har många organisationer förstått allvaret med ransomware-attacker och den skada de kan orsaka. Ransomware-attacker sker idag ofta och angripare ger sig på alla typer av företag, organisationer och privatpersoner genom en bred och urskillningslös metod. Vem som helst kan alltså drabbas. Men vad är en ransomware-attack och vad innebär den i praktiken? I den här artikeln får du svar på vanliga frågor om ransomware-attacker och tips på vad du kan göra för att skydda dig och din organisation.

Vad är en ransomware-attack?

Ransomware är skadlig kod som krypterar information på de system som infekteras. Som namnet antyder är ransomware ett utpressningsvirus och används av angriparen för att kryptera informationen så att den blir otillgänglig för den som äger den. Informationsägaren utpressas sedan av angriparen som kräver en lösensumma för att tillhandahålla dekrypteringsnycklar och på så sätt göra informationen tillgänglig igen. En ransomware-attack kan drabba såväl datorer, mobila enheter som servrar och andra system.

 

Hur går en ransomware-attack till?

Som vid alla cyberangrepp behöver hotaktören en väg in i ett system eller en dator för att sedan kunna ta sig vidare och utföra sin attack. Det finns inga specifika tillvägagångssätt vid just ransomware-attacker, utan angriparen är opportunistisk och letar brett efter sårbara system och slår till där chanserna ser lovande ut. Sårbarheter i det här fallet kan vara allt ifrån felkonfigurationer eller enheter som inte är patchade – men ofta utnyttjas också misstag hos användarna själva.

Ett vanligt tillvägagångssätt är att genom olika typer av phishing lura användare att klicka på en bilaga med skadlig kod eller att plantera länkar som leder till skadlig kod i nedladdningsbar programvara. När användare klickar på en länk i ett mail eller godkänner en nedladdning ges angriparen omedvetet åtkomst till datorn eller systemet. När hotaktören hittat en väg in ser de till att det är en väg som de återkommande kan använda för att komma in i miljön. Om det är möjligt skapar de också ytterligare vägar in. När angripare väl har etablerat dessa vägar börjar de kartlägga miljön. De letar efter intressanta mål med värdefull information som exempelvis filservrar och affärssystem. När de skapat sig en bild över miljön kan de också börja planera utförandet av själva attacken.

Hotaktörerna bakom ransomeware-attacker fungerar ofta som stora, mer eller mindre organiserade, företag med flera inblandade aktörer. De är precis som inom andra organisationer specialiserade på olika saker, någon grupp letar potentiella mål för att utnyttja sårbarheter medan en annan grupp är specialiserade på att se till att den skadliga koden sprider sig så snabbt som möjligt utan att upptäckas. Genom samlad erfarenhet kan de ofta relativt snabbt hitta värdefull information – information som de sedan krypterar på ett så effektivt sätt som möjligt.

Vi ser också allt oftare att hotaktörer kopierar informationen innan den krypteras. Detta används sedan som ytterligare ett sätt att utpressa informationsägaren, då man hotar med att publicera informationen på internet om lösensumman inte betalas.

 

Vad är angriparens syfte vid en ransomware-attack?

Hotaktörerna bakom ransomware-attacker är mer eller mindre välorganiserade grupper som drivs som andra företag och med vinstintresse som största fokus. Ransomware-attacker utförs därför huvudsakligen med ett enda syfte – att tjäna pengar genom utpressning. Men eftersom de gör ett intrång kan de också passa på att stjäla värdefull information. Informationen angripare letar efter skiljer sig beroende på företag och bransch, men det kan handla om allt ifrån känslig persondata till information om prissättning eller ritningar över viktiga byggnader. Är det en mer sofistikerad hotaktör kommer de såklart göra en förstudie där de tittar på vad offret har för verksamhet och utifrån det gissa vilken typ av information som är intressant.

En vanlig missuppfattning är att man inte har någon information som är tillräckligt värdefull för att någon annan skulle ha ett intresse av att stjäla den – men vid ransomeware-attacker räcker det för angriparen att den är av tillräckligt värde för den man har stulit den ifrån – då det ökar sannolikheten att lösensumman betalas.

 

Hur kan man upptäcka att man drabbats av ransomware?

Ransomware-attacker kan vara svåra att upptäcka i tid. Det är inte ovanligt att de upptäcks först när attacken är mer eller mindre fullbordad och man får ett meddelande om att informationen är krypterad och att det krävs en lösensumma för att få tillbaka den. För att upptäcka attacker innan det går så långt behöver man övervakning och en robust miljö. System som EDR (End point Detection and Response) och SIEM (Security Information and Event Management) kan hjälpa dig att få en bra övervakning av säkerhetsrelaterade händelser i din miljö. Dessa system kan bland annat se när misstänkt kod exekveras, analysera den och upptäcka avvikelser och anomalier, och omedelbart isolera det eller de system som drabbats. Säkerhetssystemen kan också korrelera många olika händelser som var för sig kanske inte utgör ett stort hot, men som sammantaget ger ett avvikande mönster.

I systemet kan du också skapa dina egna larm och övervakningspunkter, helt enkelt övervaka eller blockera händelser som rimligen aldrig bör ske på ditt företag. Utöver övervakningssystem behövs också loggar ifrån alla verksamhetens system, för även om EDR och SIEM ger en indikation på när något händer behövs loggar som visar detaljerad information om vad som faktiskt hände. Ju mer logginformation du har tillgång till desto bättre underlag har du för att utföra analyser och undersökningar och förbättra dina skydd.

 

Hur stoppar man en ransomware-attack när den väl har skett?

När attacken är fullbordad och du inte längre har åtkomst till din data finns bara två alternativ; att betala lösensumman eller att återställa informationen med hjälp av backuper. Men först måste du se till att förstå vad som har hänt, var sårbarheten finns och åtgärda denna – annars är risken att hotaktören kommer tillbaka och gör samma sak igen. För att återta kontrollen behöver du koppla bort alla system från omvärlden vilket innebär att hela verksamheten påverkas och riskerar att ligga nere till dess att du har kontroll över situationen. Tidsaspekten blir därför viktig.

Ju mer erfarenhet man har av att hantera denna typ av situationer, desto snabbare kan man lösa problemet. Därför är det alltid värt att ta hjälp av en expert.

 

Vilka kan följderna av ett ransomware-angrepp bli?

Vid en attack blir din data otillgänglig för dig som äger den och informationen riskerar även att läcka ut på internet. Oavsett om du skulle betala den lösensumma som angriparen kräver, eller om du återställer din data genom egna backuper innebär båda alternativen en stor risk för dataförlust. En dekrypteringsnyckel ifrån angriparen ger i princip aldrig 100% av din data tillbaka, genom att betala angriparen stödjer du också deras kriminella verksamhet. Görs dina backuper inte i realtid finns även där risk att viktiga data går förlorad. Utöver detta står många verksamheter idag helt stilla utan sina IT-system vilket såklart ger mycket stora konsekvenser.

 

Hur kan man skydda sig?

För att skydda sig mot Ransomeware är det allra viktigaste att bygga en robust och motståndskraftig IT-miljö med god övervakning. Eftersom angripare vid dessa attacker jobbar enligt devisen minsta motståndets lag är det ett bra och viktigt skydd att bygga sin IT-miljö på ett sådant sätt att det fördröjer angriparen så länge som möjligt. Detta kan liknas vid hur staket, larm och väggar kan agera skydd i en fysisk miljö. Målet är att fördröja angriparen så mycket det går för att ha en god chans att upptäcka angreppet med din övervakning. Detta för att ha möjlighet att stoppa attacken i ett tidigt skede.

 

6 tips för att skydda din organisation mot ransomware

  1. Bygg en robust IT-miljö för att försvåra och fördröja. Se över hur administrativa behörigheter hanteras, segmentera miljön och härda dina system.
  2. Använd multifaktorautentisering på alla konton, alltid.
  3. Ta regelbundna säkerhetskopior och förvara backuperna offline så att de inte är nåbara vid ett eventuellt angrepp.
  4. Håll programvaror, appar och operativsystem uppdaterade – aktivera automatiska uppdateringar på alla medarbetares enheter.
  5. Utbilda alla medarbetare så att de förstår riskerna som finns. Gärna genom korta och frekvent återkommandena utbildningar i säkerhet.
  6. Skapa förutsättningar att upptäcka och stoppa angrepp i ett tidigt stadie genom övervakningsverktyg som EDR och SIEM.

Relaterat innehåll

Artikel
Cyberattacker – Så ser de 4 vanligaste cyberhoten ut 2022
arrow_forward
Video
På insidan av en cyberattack – Nordic Choice Hotels berättar
arrow_forward
Video
Zero Trust – frångå inbyggd tillit och uppnå en högre säkerhetsnivå
arrow_forward

Relaterat innehåll

Artikel
Azure Virtual Desktop eller Windows 365 – vad ska man välja?
arrow_forward
Artikel
Vad är Windows 365 och Cloud PCs, och vilka fördelar kan de ge?
arrow_forward
Artikel
Microsoft Mission 65– så ökar du enkelt säkerheten i Microsoft 365- och Azure-miljöer
arrow_forward
translate
Cookies Om personuppgifter
©2021 Iver AB. All rights reserved.