Ransomware er uden tvivl en af de største cybertrusler, der påvirker organisationer verden over i dag.
Hackere har ændret deres taktik, og i stedet for at gå efter almindelige forbrugere jagter de pengene og fokuserer deres opmærksomhed på organisationer, hvor der er et langt højere afkast af investeringen.
Ransomware-angreb mod organisationer er steget med 363 % inden for det seneste år, og ifølge Trend Micro's sikkerhedsrapport blev der opdaget over 61 millioner ransomware-angreb i 2019.
De hyppigst målrettede brancher omfatter lokale myndigheder, akademiske institutioner, teknologisektoren, sundhedssektoren, fremstillingssektoren, finansielle tjenesteydelser og medievirksomheder. Alle brancher og virksomheder er dog et potentielt mål og bør tage alle nødvendige skridt for at forhindre et angreb.
Desværre tager mange organisationer ikke truslen alvorligt nok, og det er først, når de er blevet ramt af et ødelæggende ransomware-angreb, at de investerer den rette tid og de rette ressourcer i at forbedre deres cybersikkerhedsforsvar. På dette tidspunkt er det ofte for sent, da skaden allerede er sket.
Hvad er ransomware?
Ransomware er en type malware, der forhindrer brugere i at få adgang til deres system ved at kryptere filer og kræve en løsesum for at låse systemet op. Løsesummen kræves normalt i Bitcoin eller andre kryptovalutaer, som er svære at spore. Cyberkriminelle tildeler typisk en frist for betaling af løsesummen, og hvis fristen overskrides, vil løsesummen blive fordoblet, eller filerne vil blive permanent låst.
Visse varianter af ransomware er designet til hurtigt at sprede sig til andre maskiner på et netværk. Det er præcis, hvad der skete under WannaCry-angrebet i 2017, hvor ransomware krypterede hundredtusindvis af computere i mere end 150 lande. I løbet af få timer forvoldte ransomwaren ravage i hele verden og fik en tredjedel af Storbritanniens NHS-trusts til at gå næsten helt i stå.
Hvordan får du ransomware?
Der er flere måder, hvorpå ransomware kan inficere din computer. Den mest almindelige måde er gennem phishing-e-mails, der indeholder ondsindede links eller vedhæftede filer. E-mails ser ud til at komme fra en velrenommeret kilde, og når der klikkes på linket eller åbnes den vedhæftede fil, installerer malware sig selv på systemet og begynder at kryptere filer.
Ransomware kan også leveres via kompromitterede fjernskrivebordsforbindelser, ondsindede websteder, inficerede flytbare medieenheder og endda apps til sociale medier.
Hvad skal du gøre i tilfælde af et ransomware-angreb?
1. Isolér de inficerede maskiner
Hvis du bliver ramt af ransomware, er det vigtigt, at du reagerer hurtigt. Hvis du har mistanke om, at din computer er blevet inficeret, skal du straks afkoble den fra netværket ved at trække Ethernet-kablet ud af stikket og deaktivere Wi-Fi, Bluetooth og andre netværksfunktioner. Ransomware spredes via netværksforbindelsen, så hvis du kan isolere den inficerede maskine, forhindrer du den i at sprede sig og inficere andre enheder på netværket. Hvis du har mistanke om, at mere end én maskine er blevet kompromitteret, skal du anvende de samme foranstaltninger.
2. Underret dit it-sikkerheds-team
Dit it-team skal straks underrettes, så de kan begrænse spredningen af ransomware og iværksætte de korrekte procedurer til at håndtere angrebet. Det er her, at en plan for reaktion på hændelser kommer ind i billedet. Planen vil hjælpe med at sikre, at hændelsen håndteres korrekt, at alle beviser indsamles, registreres og vedligeholdes, og at situationen håndteres så hurtigt og effektivt som muligt. En detaljeret tidslinje over bruddet vil hjælpe med at identificere eventuelle svagheder i procedurerne og forbedre sikkerhedsbeskyttelsen fremadrettet.
3. Identificér typen af ransomware
Hvis du er i stand til at identificere den type ransomware, der anvendes i angrebet, vil det hjælpe dig med at forstå, hvordan den spredes, hvilke typer filer den krypterer, og hvordan den kan fjernes. Der findes mange forskellige stammer af ransomware, men de to mest almindelige er skærmlåsende ransomware og krypterende ransomware. Den første er den nemmeste at løse, og på trods af at hele systemet låses ned, vil filerne være sikre, indtil der betales en løsesum. Den anden er meget sværere at komme sig over. I stedet for at nægte brugeren adgang finder den alle de følsomme data, krypterer dem og kræver derefter en betaling for at få dataene dekrypteret og genoprettet.
4. Informér medarbejderne
Du bør straks informere dine medarbejdere om, at der er sket et brud, forklare, hvad det betyder for organisationen, og skitsere, hvilke skridt du vil tage for at afhjælpe hændelsen. Uanset om deres computere er blevet direkte inficeret eller ej, vil der sandsynligvis være en vis driftsnedgang, mens undersøgelserne af hændelsen finder sted. Medarbejderne vil naturligvis bekymre sig om, hvilken indvirkning angrebet vil have på deres arbejde, så det er vigtigt at være tydelig i kommunikationen og holde dem fuldt orienteret om den aktuelle situation.
5. Ændr login-oplysninger
Ransomware kan spredes hurtigt ved at indsamle IP-adresser og legitimationsoplysninger. Hvis det lykkes hackere at kompromittere administrative legitimationsoplysninger, kan de bevæge sig sideløbende rundt i netværk, kryptere filer og slette sikkerhedskopier i processen. For at sikre, at dit system er sikret, og for at forhindre hackere i at forpurre dine genoprettelsesbestræbelser, bør du straks ændre alle administrator- og brugeroplysninger.
6. Tag et foto af løsesumsnotaen
Hvis det er muligt, bør du tage et billede af løsesumsnotaen på din mobiltelefon. Det kan bruges som bevismateriale, når du anmelder hændelsen til politiet. Dette bevismateriale er nødvendigt, hvis du indgiver et cyberforsikringskrav, og billedet kan også give yderligere oplysninger om angrebsmetoden.
7. Underrette myndighederne
Det er vigtigt at underrette politiet, hvis du er blevet overfaldet, så de kan undersøge hændelsen til bunds og hjælpe med at forhindre, at andre virksomheder lider samme skæbne. Hvis din organisation håndterer data, der tilhører borgere i EU, er du i henhold til GDPR juridisk forpligtet til at informere ICO inden for 72 timer efter et brud. Hvis du ikke gør det, kan det medføre bøder på op til 4 % af den årlige globale omsætning eller 20 millioner euro (alt efter hvad der er højest).
8. Betal aldrig løsesummen
National Crime Agency råder organisationer til ikke at betale løsepenge, da det opmuntrer cyberkriminelle til at iværksætte yderligere angreb, og den onde cirkel fortsætter. Hvis du vælger at betale løsepenge, er der ingen garanti for, at du nogensinde får dine filer tilbage, og det øger om noget dine chancer for at blive angrebet igen i fremtiden.
9. Opdatér sikkerhedssystemer
Når hændelsen er overstået, skal du foretage en sikkerhedsrevision og opdatere alle systemer. Opdateringer bør installeres, så snart de er tilgængelige, for at forhindre hackere i at udnytte sårbarheder i ældre versioner af softwaren. Regelmæssig patching vil sikre, at maskinerne holdes opdaterede, stabile og sikre mod malware.
10. Gendannelse fra sikkerhedskopier
Nøglen til en hurtig genopretning efter et ransomware-angreb er at sikre, at du har opdaterede sikkerhedskopier af vigtige filer. 3-2-1-reglen er den bedste praksis for sikkerhedskopiering og genopretning. Ifølge denne regel bør du have tre kopier af dine data i to forskellige lagringsformater – med mindst én kopi placeret 'offsite'. På den måde kan du hurtigt gendanne dine data uden at blive afpresset til at betale løsepenge.
Sådan forebygger du ransomware-angreb
- Medarbejderne bør modtage regelmæssig uddannelse i cybersikkerhed for at lære om udviklingen af cybertrusler og om, hvordan de kan opdage de tidlige stadier af et angreb.
- Tag regelmæssigt backup af data.
- Begræns brugernes tilladelser til at installere og køre softwareprogrammer. Dette kan begrænse malwareens evne til at sprede sig i et netværk.
- Opdatér jævnligt software og sørg for, at patches installeres, så snart de er tilgængelige.
- Installér anti-virus-programmer på alle enheder.
- Scan alle indgående og udgående e-mails for at opdage trusler.
- Følg god sikkerhedspraksis for at minimere risikoen for infektion – undgå at klikke på links eller downloade vedhæftede filer fra ukendte kilder.
- Konfigurér firewalls for at blokere adgangen til ondsindede IP-adresser.
- Opret stærke adgangskoder, og aktivér flerfaktor-autentifikation for at opnå ekstra sikkerhed på konti.
Phishing er den hyppigste årsag til alle cyberangreb og er fortsat en af de nemmeste måder at stjæle værdifulde data og levere ransomware på. MetaPhish er blevet skabt for at give et effektivt forsvar mod disse trusler og gør det muligt for organisationer at finde ud af, hvor modtagelig deres organisation er for phishing. Kontakt os for at få yderligere oplysninger om, hvordan MetaPhish kan bruges til at beskytte din organisation.
