Ransomware er utvivlsomt en af de største cybertrusler der påvirker organisationer over hele verden i dag.
Hackere har ændret deres taktik og i stedet for at gå efter hverdagens forbrugere, men de jagter pengene og fokuserer deres opmærksomhed på virksomheder, hvor der er et meget større afkast af investeringen.
Ransomware-angreb mod virksomheder er steget med 363 % inden for det seneste år, og ifølge Trend Micros sikkerhedsrapport blev der registreret over 61 millioner ransomware-angreb i 2019.
De hyppigst angrebne brancher omfatter lokale myndigheder, akademiske institutioner, teknologisektoren, sundhedssektoren, fremstillingsindustrien, finansielle tjenester og medievirksomheder. Men alle brancher og virksomheder er et potentielt mål og bør tage alle de nødvendige skridt for at forhindre et angreb.
Desværre er der mange organisationer, der ikke tager truslen alvorligt alvorligt nok, og det er først, når de er på den modtagende side af en lammende ransomware-angreb, investerer de den rette tid og de rette ressourcer i at at forbedre deres cybersikkerhedsforsvar. På dette tidspunkt er det ofte for sent, da skaden allerede er sket.
Hvad er ransomware?
Ransomware er en type malware, der forhindrer brugere i at få adgang til deres system ved at kryptere filer og kræve en løsesum for at låse systemet op. Løsesummen betales normalt i Bitcoin eller andre kryptovalutaer, som er svære at spore. Cyberkriminelle sætter typisk en frist for, hvornår løsesummen skal være betalt, og hvis fristen overskrides, fordobles løsesummen, eller filerne låses permanent.
Visse varianter af ransomware er designet til hurtigt at sprede sig til andre maskiner på et netværk. Det er præcis, hvad der skete under WannaCry-angrebet i 2017, hvor ransomware krypterede hundredtusindvis af computere i mere end 150 lande. I løbet af få timer forvoldte ransomwaren ravage i hele verden og fik en tredjedel af Storbritanniens NHS-trusts til at gå næsten helt i stå.
Hvordan kan får du ransomware?
Der er flere måder, hvorpå ransomware kan inficere din computer. Den mest almindelige måde er via phishing-mails, der indeholder ondsindede links eller vedhæftede filer. E-mailen ser ud til at komme fra en velrenommeret kilde, og når der klikkes på linket eller den vedhæftede fil åbnes, installerer malwaren sig på systemet og begynder at kryptere filer.
Ransomware kan også leveres via kompromitterede fjernskrivebordsforbindelser, ondsindede websteder, inficerede flytbare medieenheder og endda apps til sociale medier.
Hvad skal du gøre i tilfælde af et ransomware-angreb?
1. Isolér de inficerede maskiner
Hvis du bliver ramt af ransomware, er det vigtigt, at du reagerer hurtigt. Hvis du har mistanke om, at din computer er blevet inficeret, skal du straks afkoble den fra netværket ved at trække Ethernet-kablet ud af stikket og deaktivere Wi-Fi, Bluetooth og andre netværksfunktioner. Ransomware spredes via netværksforbindelsen, så hvis du kan isolere den inficerede maskine, forhindrer du den i at sprede sig og inficere andre enheder på netværket. Hvis du har mistanke om, at mere end én maskine er blevet kompromitteret, skal du anvende de samme foranstaltninger.
2. Underret dit it-sikkerheds-team
Dit it-team skal straks underrettes, så de kan begrænse spredningen af ransomware og iværksætte de korrekte procedurer til at håndtere angrebet. Det er her, at en plan for reaktion på hændelser kommer ind i billedet. Planen vil hjælpe med at sikre, at hændelsen håndteres korrekt, at alle beviser indsamles, registreres og vedligeholdes, og at situationen håndteres så hurtigt og effektivt som muligt. En detaljeret tidslinje over bruddet vil hjælpe med at identificere eventuelle svagheder i procedurerne og forbedre sikkerhedsbeskyttelsen fremadrettet.
3. Identificér typen af ransomware
Hvis du er i stand til at identificere den type ransomware, der anvendes i angrebet, vil det hjælpe dig med at forstå, hvordan den spredes, hvilke typer filer den krypterer, og hvordan den kan fjernes. Der findes mange forskellige stammer af ransomware, men de to mest almindelige er skærmlåsende ransomware og krypterende ransomware. Den første er den nemmeste at løse, og på trods af at hele systemet låses ned, vil filerne være sikre, indtil der betales en løsesum. Den anden er meget sværere at komme sig over. I stedet for at nægte brugeren adgang finder den alle de følsomme data, krypterer dem og kræver derefter en betaling for at få dataene dekrypteret og genoprettet.
4. Informér medarbejderne
Du bør straks informere dine medarbejdere om, at der er sket et brud, forklare, hvad det betyder for organisationen, og skitsere, hvilke skridt du vil tage for at afhjælpe hændelsen. Uanset om deres computere er blevet direkte inficeret eller ej, vil der sandsynligvis være en vis driftsnedgang, mens undersøgelserne af hændelsen finder sted. Medarbejderne vil naturligvis bekymre sig om, hvilken indvirkning angrebet vil have på deres arbejde, så det er vigtigt at være tydelig i kommunikationen og holde dem fuldt orienteret om den aktuelle situation.
5. Ændr login-oplysninger
Ransomware kan spredes hurtigt ved at indsamle IP-adresser og legitimationsoplysninger. Hvis det lykkes hackere at kompromittere administrative legitimationsoplysninger, kan de bevæge sig sideløbende rundt i netværk, kryptere filer og slette sikkerhedskopier i processen. For at sikre, at dit system er sikret, og for at forhindre hackere i at forpurre dine genoprettelsesbestræbelser, bør du straks ændre alle administrator- og brugeroplysninger.
6. Tag et foto af løsesumsnotaen
Hvis det er muligt, bør du tage et billede af løsesumsnotaen på din mobiltelefon. Det kan bruges som bevismateriale, når du anmelder hændelsen til politiet. Dette bevismateriale er nødvendigt, hvis du indgiver et cyberforsikringskrav, og billedet kan også give yderligere oplysninger om angrebsmetoden.
7. Underrette myndighederne
Det er vigtigt at underrette politiet, hvis du er blevet angrebet, så de kan undersøge hændelsen til bunds og hjælpe med at forhindre, at andre virksomheder lider samme skæbne. Hvis din organisation håndterer data, der tilhører borgere i EU, er du i henhold til GDPR juridisk forpligtet til at informere ICO inden for 72 timer efter, at et brud har fundet sted. Hvis du ikke gør det, kan det resultere i bøder på op til 4 % af den årlige globale omsætning eller 20 millioner euro (alt efter hvad der er størst).
8. Betal aldrig løsesummen
National Crime Agency råder organisationer til ikke at betale løsepenge, da det opmuntrer cyberkriminelle til at iværksætte yderligere angreb, og den onde cirkel fortsætter. Hvis du vælger at betale løsepenge, er der ingen garanti for, at du nogensinde får dine filer tilbage, og det øger om noget dine chancer for at blive angrebet igen i fremtiden.
9. Opdatér sikkerhedssystemer
Når hændelsen er overstået, skal du udføre en sikkerhedsrevision og opdatere alle systemer. Opdateringer skal installeres, så snart de bliver tilgængelige, for at forhindre hackere i at udnytte sårbarheder i ældre versioner af softwaren. Regelmæssig patchning vil sikre, at maskinerne holdes opdaterede, stabile og sikre mod malware.
10. Gendannelse fra sikkerhedskopier
Nøglen til en hurtig genopretning efter et ransomware-angreb er at sikre, at du har opdaterede sikkerhedskopier af vigtige filer. 3-2-1-reglen er den bedste praksis for sikkerhedskopiering og genopretning. Ifølge denne regel bør du have tre kopier af dine data i to forskellige lagringsformater – med mindst én kopi placeret 'offsite'. På den måde kan du hurtigt gendanne dine data uden at blive afpresset til at betale løsepenge.
Hvordan man forebygger ransomware angreb
- Medarbejderne bør modtage regelmæssig uddannelse i cybersikkerhed for at lære om udviklingen af cybertrusler og om, hvordan de kan opdage de tidlige stadier af et angreb.
- Tag regelmæssigt backup af data.
- Begræns brugernes tilladelser til at installere og køre softwareprogrammer. Dette kan begrænse malwareens evne til at sprede sig i et netværk.
- Opdatér jævnligt software og sørg for, at patches installeres, så snart de er tilgængelige.
- Installer antivirussoftware på alle enheder.
- Scan alle indgående og udgående e-mails for at opdage trusler.
- Følg god sikkerhedspraksis for at minimere risikoen for infektion – undgå at klikke på links eller downloade vedhæftede filer fra ukendte kilder.
- Konfigurér firewalls for at blokere adgangen til ondsindede IP-adresser.
- Opret stærke adgangskoder, og aktivér flerfaktor-autentifikation for at opnå ekstra sikkerhed på konti.
Phishing er den største årsag til alle cyberangreb og viser sig fortsat at være en af de nemmeste måder at stjæle værdifulde data og levere ransomware på. MetaCompliance's phishing-simuleringssoftware MetaPhish er skabt til at give et stærkt forsvar mod disse trusler og gør det muligt for organisationer at finde ud af, hvor modtagelig deres virksomhed er for phishing. Kontakt os for at få yderligere oplysninger om, hvordan MetaPhish kan bruges til at beskytte din virksomhed.