Ransomware, även kallat för utpressningsprogram, är en typ av skadlig kod som angripare använder för att låsa ett system eller en enhet genom att kryptera dess innehåll (krypto-ransomware). Angriparna pressar därefter offret på pengar I utbyte mot dekrypteringsnycklar som kan användas av offret för att dekryptera och låsa upp systemet.

Om vi börjar med att titta på den statistik som finns just nu, så har det under 2021 skett en kraftig ökning på 60-100% i antal attacker (beroende på undersökning). Under Q1 2022 gick antalet attacker ner 25-30%, en nedgång som sannolikt var kopplad till Rysslands invasion av Ukraina och de statsfinansierade angriparnas stöd till Ryssland. Jämför man Ryssland med resten av världen så finns det undersökningar som pekar på att majoriteten (över 70%) av ransomwareattackerna härstammar därifrån. Ett skiftat fokus mot Rysslands intressen kommer då ha en stor inverkan på övriga världen.

Under april har det skett en rad betydande händelser kring ransomware vilket gör att vår bedömning är att attackerna återigen kommer att öka denna månad. Emotet och Revils tillbakagång samt en rad nya aktörer och skadeprogram tror vi kommer att leda till en uppgång i antalet attacker. Det finns även en indikation på att en del av de ryska angriparna allt mer kommer att skifta fokus ifrån Ukraina till övriga världen.

Så hur skyddar man sin organisation mot ransomware?

Vanligtvis sker ransomwareattacken långt efter att systemet blivit infekterat. I väldigt många fall infekteras offret av ett nerladdningsprogram (dropper/downloader). Angriparen kan genom den välja nästa steg i attacken. Ofta undersöker angriparen offrets system för att få en bild över hur nätverket är uppbyggt därefter försöker angriparen eskalera sina behörigheter.

Därefter kan ransomware vara en av metoderna för att pressa offret på pengar.

Det man bör göra är att undersöka vägen in för den skadliga koden. Det finns otroligt många vägar in i en organisations nätverk, till exempel genom USB-stickor, social engineering eller via en leverantör (supply chain), men vi har valt att fokusera på de två vanligaste metoderna där företag är som sårbarast.

E-posten (nätfiske/phishing)

Den enklaste och absolut vanligaste vägen in är genom en medarbetare som öppnar bilagan, klickar på länken eller helt enkelt laddar hem den skadliga koden. För att minska risken kan du:

  • Börja med att testa personalens medvetenhet och försvar genom att utföra ett phishingtest.
    Utbilda därefter dina kollegor och sprid kunskap kring nätfiske.
  • Se till att införa behörighetsstyrning så att medarbetarna bara har åtkomst till den information som de behöver.
  • Sen finns det en rad andra metoder för att täppa igen en del luckor som exempelvis tvåfaktorsautentisering, starka lösenord med mera.

Nätverket (sårbarheter)

Alla system och enheter har sårbarheter. Sårbarheter som kan utnyttjas av en angripare för att komma in i systemet. Den här vägen är vanlig, speciellt när det gäller RDP-protokoll (fjärrstyrningsprotokoll) men också genom vanliga kända sårbarheter (CVE).

  • Börja med att uppdatera mjukvaran. Programvara som inte uppdaterats på ett tag har i regel ofta en del kända sårbarheter. I samband med nya uppdateringar täpps också gamla sårbarheter igen.
    Genomför därefter en enkel sårbarhetsskanning eller ett mindre penetrationstest för att helt enkelt testa vilka sårbarheter som finns i systemet, och om de kan användas för att komma in i systemet.
  • Arbeta tillsammans med din IT-avdelning för att stärka skyddet. Inför handlingsplaner så att IT-avdelningen vet exakt vad de ska göra när attacken sker.
  • Här finns många tekniska lösningar som kan stärka det yttre skyddet. Brandväggar är ett bra exempel som kan hjälpa till att motverka cyberangrepp. Försök att sätta en brandvägg vid sårbara ingångspunkter (t.ex. VPN)

Avslutningsvis, och det här är det viktigaste. Får ni in ett ransomware så vill ni snabbt kunna återställa systemet. Så se över backuprutinen och försök att införa en 3-2-1 regel om ni inte redan har det.

3. Skapa en primär backup och två separata kopior på den backupen
2. Spara dina två kopior på två olika platser
1. Spara en kopia i molnet eller på annan plats

Henrik Petterson