Det är ingen tvekan av att ransomware är ett av de farligaste IT-säkerhetshoten organisationer står inför för närvarande och det finns inget tecken på att det kommer ändras under den närmaste tiden. Anledningen till det är att resultaten av ransomware-attacker är synliga för alla och detta område av skadlig aktivitet ger cyberbrottslingar betydande inkomster.
Uppdatering: REvil ransomware och Kaseya VSA
I Sverige är det framförallt Coop men även Apoteket Hjärtat, ST1 och Plantagen som hör till de som drabbats av denna ransomware-attack. Den gemensamma nämnaren är att de använder sig av Visma Esscom på sina kassasystem och de i sin tur använder Kaseya VSA som är en on-premises lösning som Managed Service Providers (MSP) kan använda för att övervaka kunders datorer eller system. Allt talar för att det är hackergruppen REvil som ligger bakom attacken som utnyttjar en zero-day sårbarhet i Kaseya VSA.
Det är en form av supply-chain attack där de cyberkriminella attackerar MSP:er för att sedan kunna få tillgång till deras kunders nätverk och system.
Du kan del av mer i denna artikel där vi tittar närmare på REVil ransomware som drabbat Kaseya och deras kunder.
Kraftig ökning av antalet ransomware-attacker
Under senaste året har vi sett kraftiga ökningar i antalet ransomware-attacker, exemplevis rapporterar Bitdefender en ökning av antalet ransomware-attacker på 485 procent under 2020. Dessutom ser Myndigheten för samhällsskydd och beredskap (MSB) en ökad aktivitet av ransomware som riktas mot Sverige och har därför gått ut med riktlinjer till organisationer inom hälso- och sjukvårdssektorn.
En annan trend är att de utbetalda lösensummorna stiger kraftigt. Dels ökar den krävda lösensumman vid respektive attack och dels blir det tyvärr vanligare att de attackerade verksamheterna betalar för att återfå sina filer/uppgifter. Under Q1 och Q2 2020 har det totalt utbetalda summorna nästan dubblerats jämfört med föregående kvartal. Anmärkningsvärt nog gäller detta inte bara privat sektor utan även offentlig; betalandet av lösen innebär ju trots allt långsiktig finansiering av brottslig verksamhet.
Vilka drabbas hårdast av ransomware?
Den vanligaste typen av ransomware är i nuläget Sodinokibi (15%) följt av Maze (7%) och Phobos (7%) 1. Attack metoden som används är oftast Spear Fishing (e-mail) eller en attack mot RDP-sessioner, vilket som används styrs av vald ransomware, Phobos är t.ex helt beroende av RDP för sin attack. Beroende på pandemin och distansarbete har användandet av RDP givetvis ökat, vilket också ökar attackytan för brottslingarna. Av de attackerade verksamheterna sticker Professional Services ut, liksom offentlig verksamhet i stort och sjukvårdssektorn. Att detta är relaterat till den känsliga information som hanteras kan knappast utgöra någon slump.
Finns 100% säkerhet? Jo, om ett system har 0% behörig åtkomst och ligger helt dolt bör det vara helt säkert. Men så ser tyvärr inte verkligheten ut. Alla system är byggda för att understödja verksamheten och behöver medge åtkomst åt behöriga användare, vid rätt tidpunkt och från den plats som krävs.
Olika syn på säkerhet
Alltfler säkerhetsansvariga börjar anamma ett annat sätt att tänka inom säkerhetsområdet. Snarare än att tänka ”om” tänker man ”när” ett intrång kommer att inträffa. Vad händer i verksamheten, hur snabbt identifieras hotet, hur snabbt isoleras det, hur minimerar vi skadan när det inträffat, hur snabbt kan vi återställa information och tillgänglighet? Vår rekommendation är att tänka efter före och att ha system för prevention, detektion, isolation och återställning för alla kritiska system. En genomgående trend är att verksamheter lägger en övervägande del av sin IT-säkerhetsbudget på preventiva lösningar som klientantivirus, brandvägg etc och återställning såsom backuplösningar. När det gäller detektion förlitar man sig ofta på externa parter via SIEM-lösningar och SOC-tjänster. System för isolation är idag ovanliga, om man bortser från de ofta rudimentära delarna som ingår i respektive antivirus-lösning.
Så skyddar du verksamheten mot ransomware
Här är några konkreta råd om du vill försöka minska risken att drabbas och snabbt komma tillbaka om ni faktiskt drabbas av ransomware:
- Inställningar och behörigheter
Se över era systeminställningar och regelverk. Se över behörigheter och tillgång. Se till att användare körs med minsta möjliga behörighet för att kunna utföra sitt arbete. Desto färre administratörskonton som finns i verksamheten, desto mer begränsade möjligheter finns det för en skadlig kod att flytta sig lateralt, dvs sprida sig. Har ni möjlighet att använda vitlistning är det mycket effektivt för att hindra okänd kod från att exekvera på era endpoints. - Minska attackytan
Ha system för att filtrera skadlig e-post från systemet innan de levereras till användarna. Systemet bör som minst ha möjlighet att i realtid kunna skanna mål för länkar innan de visas för användare, djupskanna bilder, inbäddad kod i bilagor etc. Om ni använder Microsoft 365, se över vilken version ni har och vad som är inkluderat och uppgradera vid behov alternativt komplettera med en separat lösning. - Patcha system regelbundet
Vi rekommenderar att ha ett system som möjliggör patchning av alla verksamhetens enheter och applikationer, även de från tredje part. - Gör täta och konsekventa backuper
Föra att kunna återställa system som drabbats av ransomware behöver det finnas backuper och rutiner får återställning av dessa. En del ransomware inleder sin attack med att leta efter backupen och radera denna. Därför är rekommendationen att även ha en backup som är offline. - Inför multifaktorautentisering
För att stoppa att ransomware sprider sig bör multifaktorautentisering införas på alla konton i organisationen. För att stoppa att ransomware sprider sig bör multifaktorautentisering införas på alla konton i organisationen. För inspiration se vårt webinar How to enable MFA to all your applications and services. - Inför system för att isolera ransomware
Det finns system som integreras med ert nuvarande klientskydd och eventuella SIEM-lösning, lyssnar på nätverkstrafiken, upptäcker när ransomware exekverar på en klient, isolerar och stänger av denna samt förhindrar ett storskaligt utbrott i verksamheten. Varför ha bara brandvarnare när man också kan ha ett automatiskt sprinklersystem för att släcka branden?
Önskar du veta mer om hur du kan skydda er verksamhet mot ransomware är du välkommen att kontakta mig eller någon av mina kollegor.
1. Ransomware Attacks Fracture Between Enterprise and Ransomware-as-a-Service in Q2 as Demands Increase. (Coveware).
