IT-säkerhet Verksamhetsnytta

Ransomware – Hur läget ser ut idag och vad vi kan göra för att skydda oss

Efter att tillfälligt ha prioriterat sk Cryptomining verkar nu cyberkriminella återigen fokusera starkt på Ransomware. VM Ware Carbon Black rapporterade nyligen en ökning i år på ca 900% och Check Point rapporterade i dagarna en färsk undersökning som visar en ökning på 250% i Sverige de senaste tre månaderna. Oavsett vilket är det mycket stora siffror.

En annan trend är att de utbetalda lösensummorna stiger kraftigt. Dels ökar den krävda lösensumman vid respektive attack och dels blir det tyvärr vanligare att de attackerade verksamheterna betalar för att återfå sina filer/uppgifter. Under Q1 och Q2 2020 har det totalt utbetalda summorna nästan dubblerats jämfört med föregående kvartal. Anmärkningsvärt nog gäller detta inte bara privat sektor utan även offentlig; betalandet av lösen innebär ju trots allt långsiktig finansiering av brottslig verksamhet.

Vilka drabbas hårdast av ransomware?

Den vanligaste typen av ransomware är i nuläget Sodinokibi (15%) följt av Maze (7%) och Phobos (7%) 1. Attack metoden som används är oftast Spear Fishing (e-mail) eller en attack mot RDP-sessioner, vilket som används styrs av vald ransomware, Phobos är t.ex helt beroende av RDP för sin attack. Beroende på pandemin och distansarbete har användandet av RDP givetvis ökat, vilket också ökar attackytan för brottslingarna. Av de attackerade verksamheterna sticker Professional Services ut, liksom offentlig verksamhet i stort och sjukvårdssektorn. Att detta är relaterat till den känsliga information som hanteras kan knappast utgöra någon slump.

Finns 100% säkerhet? Jo, om ett system har 0% behörig åtkomst och ligger helt dolt bör det vara helt säkert. Men så ser tyvärr inte verkligheten ut. Alla system är byggda för att understödja verksamheten och behöver medge åtkomst åt behöriga användare, vid rätt tidpunkt och från den plats som krävs.

Olika syn på säkerhet

Alltfler säkerhetsansvariga börjar anamma ett annat sätt att tänka inom säkerhetsområdet. Snarare än att tänka ”om” tänker man ”när” ett intrång kommer att inträffa. Vad händer i verksamheten, hur snabbt identifieras hotet, hur snabbt isoleras det, hur minimerar vi skadan när det inträffat, hur snabbt kan vi återställa information och tillgänglighet? Vår rekommendation är att tänka efter före och att ha system för prevention, detektion, isolation och återställning för alla kritiska system. En genomgående trend är att verksamheter lägger en övervägande del av sin IT-säkerhetsbudget på preventiva lösningar som klientantivirus, brandvägg etc och återställning såsom backuplösningar. När det gäller detektion förlitar man sig ofta på externa parter via SIEM-lösningar och SOC-tjänster. System för isolation är idag ovanliga, om man bortser från de ofta rudimentära delarna som ingår i respektive antiviruslösning.

Så skyddar du verksamheten mot ransomware

Här är några konkreta råd om du vill försöka minska risken att drabbas och snabbt komma tillbaka om ni faktiskt drabbas av ransomware:

  • Inställningar och behörigheter 
    Se över era systeminställningar och regelverk. Se över behörigheter och tillgång. Se till att användare körs med minsta möjliga behörighet för att kunna utföra sitt arbete. Desto färre administratörskonton som finns i verksamheten, desto mer begränsade möjligheter finns det för en skadlig kod att flytta sig lateralt, dvs sprida sig. Har ni möjlighet att använda vitlistning är det mycket effektivt för att hindra okänd kod från att exekvera på era endpoints.
  • Minska attackytan
    Ha system för att filtrera skadlig e-post från systemet innan de levereras till användarna. Systemet bör som minst ha möjlighet att i realtid kunna skanna mål för länkar innan de visas för användare, djupskanna bilder, inbäddad kod i bilagor etc. Om ni använder Microsoft 365, se över vilken version ni har och vad som är inkluderat och uppgradera vid behov alternativt komplettera med en separat lösning.
  • Patcha system regelbundet
    Vi rekommenderar att ha ett system som möjliggör patchning av alla verksamhetens enheter och applikationer, även de från tredje part.
  • Gör täta och konsekventa backuper
    En del ransomware inleder sin attack med att leta efter backupen och radera denna. Därför är rekommendationen att även ha en backup som är off-line.
  • Inför system för att isolera ransomware
    Det finns system som integreras med ert nuvarande klientskydd och eventuella SIEM-lösning, lyssnar på nätverkstrafiken, upptäcker när ransomware exekverar på en klient, isolerar och stänger av denna samt förhindrar ett storskaligt utbrott i verksamheten. Varför ha bara brandvarnare när man också kan ha ett automatiskt sprinklersystem för att släcka branden?

Önskar du veta mer om hur du kan skydda er verksamhet mot ransomware är du välkommen att kontakta mig eller någon av mina kollegor.

Testa ert skydd mot ransomware

1. Ransomware Attacks Fracture Between Enterprise and Ransomware-as-a-Service in Q2 as Demands Increase. (Coveware).

Åke Wieslander

Jag har jobbat i IT branschen i 20 år och specifikt med säkerhetslösningar de senaste 10 åren. Jag och brinner för att lösa dagens och morgondagens produktivitets- och säkerhetsproblem kopplade till IT.

ake.wieslander@inuit.se

Prenumerera på bloggen

Håll koll på senaste nytt genom att prenumerera. Vi levererar nyheterna direkt i din inkorg!