3 viktiga lärdomar: kidnappningstrojan mot ett cement-företag

Cyberattacker in action: Del 3

Författare: Christer Spörndly
Datum: 09.03.2016
Lästid: 4 Minuter

Du vaknar upp en morgon, skickar iväg ungarna och åker till kontoret för att starta upp din laptop – endast för att se en skärm som säger att din dator har blivit krypterad/låst. Allt på den skulle raderas permanent, om du inte betalar en lösensumma till en känd part i bitcoins.

För att göra det hela värre, efter en snabb undersökning visar det sig att det inte bara är din dator som är infekterad utan nästan hela företaget. Efterhand som allvaret i situationen börjar framträda kan du se IT-folket bli galna.

Det var så en liten US-baserad betongtillverkare började en morgon med smak av en kidnappningstrojan.

SÅ DET VAR EN RIKTIGT USEL MORGON..

Fallet är ganska typiskt när det gäller kidnappningstrojaner. Vad vi vet från attacken: en anställd blev offer för ett socialt skapat bedrägeri när han klickade på en bifogad fil. Från den stunden kidnappningstrojanen Cryptowall kommit ut till alla anställdas datorer och diskret fortplantat sig genom hela företagets nätverk. Trojanen började kryptera redovisningsinformation och filer som är kritiska för flera produktionssystem.

Attacken upptäcktes följande morgon, när en anställd inte kunde komma åt produktionsfilerna som krävdes för att starta tillverkningen.

Efter två dagar av stoppad produktion, bestämde sig företaget för att betala lösensumman för att få systemet avkrypterat, och för att hyra en extern konsult för att rensa nätverket. Tråkigt nog, även om de betalade lösensumman kunde inte en del av bokföringsinformationen återställas, beroende på att det inte var helt krypterat från början och företaget hade ingen backup.

Den finansiella påverkan från attacken var stor. Över en vecka låg produktionen nere. Städningen av nätverket, ett stort redovisningsprojekt och en stor mängd kundförluster när de inte kunde möta avtalade leveranstider.

VÄLKOMMEN TILL EN VÄRLD AV KIDNAPPNINGSTROJANER

Cryptowall är bara ett exempel på kidnappningstrojaner, vilket är en av de snabbast växande typerna av cyberbrott. Vem som helst från individer till hemmakontor eller småföretag, och även stora företag och myndigheter som exempelvis flera polisavdelningar i USA, kan drabbas.

Tråkig nog är små företag och individer utsatta för större risk eftersom de sällan har backup eller en plan för hur de kan återställa allt.

Själva kidnappningstrojanen är ett sabotageprogram som tar kontrollen över användarens dator, information eller system, eller till och med mobila enheter. Och sedan kräver avsändaren betalning från användaren för att återställa innehållet eller systemet.

Att betala lösensumman är inte ovanligt. Det finns flera fall som kommit upp i media som exempelvis det med Massachusetts och Maines polismyndighet. Genom att betala lösensumman uppmuntrar man bara de som attackerar att fortsätta med det.

På ett sätt är det ett affärsbeslut. Att betala $500 i lösensumma eller att förlora pengar under tiden som din verksamhet ligger nere. Det finns dock ingen garanti för att betalning av lösensumman faktiskt ger dig filerna tillbaka. Det är helt och hållet beroende på hur pålitliga dessa kriminella är. Men ”trovärdigheten hos kriminella” är inget jag i alla fall någonsin vill satsa några pengar på, inte minst med tanke på att även om du betalar, så kanske du inte får dina filer tillbaka, endera för att dom kriminella inte bryr sig eller för att det finns buggar i sabotageprogrammet. Istället borde de investera dom $500 på bra backupsystem och en återställningsplan.

SÅ VAD KAN VI LÄRA OSS FRÅN ATTACKEN?

  1. Få till grunderna rätt: Det finns inget nytt i hur kidnappningstrojanen infekterar din dator. Det vill säga, en modern säkerhetslösning med ett starkt e-post- och webbskydd hjälper dig en bra bit.
  2. Investera i en backuplösning och ha en återställningsplan:Företag som har en ordentlig återställningsplan och som använder en modern backuplösning som de testar regelbundet kommer att överleva en attack utan skada. – Dom kan helt enkelt rensa de infekterade enheterna och återställa dom från backupen.
  3. Säkra nätverket: Oavsett hur Cryptowall hade möjlighet att ta sig in i företagets nätverk, är det tydligt att det inte var tillräckligt skyddat. Ett av de viktigaste kraven på ett nätverk är begränsad lateral spridning inom nätverket, så även om en maskin drabbas så kan dom inte stoppa hela företaget.

CYBERATTACKER IN ACTION:

Bloggposten är den tredje i en serie av poster [Del 1], [Del 2], [Del 4], där vi tittar på verkliga attacker mot företag. Det är inspirerat från vår kommande eBook (också en del av en pågående serie), som heter: CYBER SECURITY DEMYSTIFIED: Securing Business Operations. Du kan få boken här: Read eBook


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s