Så skyddar du dig själv och din verksamhet mot ransomware

I den här artikeln berättar vi hur du bäst skyddar dig själv och ditt företag mot ransomware – och hur du ska agera om du blivit drabbad.

Författare: F-Secure Business Security Insider
Datum: 22.12.2016
Lästid: 5 Minuter

Ransomware är den kanske mest uppmärksammade typen av skadlig kod just nu. Det är inte konstigt – det går knappast en dag utan att det skrivs om fenomenet, knappast en dag utan ett nytt exempel på en verksamhet som blivit drabbad eller en samhällsfunktion som slutat fungera på grund av ransomware.

Det är inte alls konstigt, tvärtom är det helt logiskt. För att förklara varför det ser ut så här måste vi gå tillbaka till åren strax efter millennieskiftet: Virus, trojaner och annan skadlig kod hade funnits i snart tjugo år och varit allmänt känt sedan åtminstone tio år tillbaka. Men där, omkring år 2004, hände något. Istället för att fokusera på att synas, fokusera på att få uppmärksamhet och erkännande av andra utvecklare av skadlig kod så började de här grupperna att fokusera på något helt annat: Att tjäna pengar.

Utvecklingen har fortsatt sedan dess och de har blivit mer och mer professionella. Därför väljer man att fokusera på de insatser som ger bäst avkastning sett till arbetsinsats och risk. För tillfället innebär det att det är just ransomware man fokuserar på.

Konceptet är inte nytt – att kidnappa enheter har gjorts förut, redan på 90-talet fanns Casino-viruset som tvingade användaren att spela en digital enarmad bandit för chansen att få behålla sin data.

Men det var ju ett gammaldags virus och ransomware är ju ett nytt hot, kanske du tänker. Men riktigt så enkelt är det inte heller. För själva processen bakom, alla steg som leder fram till att din dator eller ditt nätverk blir infekterat är den samma för ransomware som för de flesta moderna variationer av skadlig kod:

Användaren klickar på en skadlig fil eller länk och får ett rootkit på sin dator som öppnar upp kommunikationen med en command och control-server som i sin tur kommer med vidare instruktioner – och därigenom bestämmer om det är dags för ransomware, eller om den infekterade enheten ska bli en del av ett botnet eller utnyttjas till något annat som angriparen kan dra nytta av.

Jämfört med de flesta andra typer av skadlig kod är ransomware oerhört lönsamt. Det visar sig nämligen att såväl företag som privatpersoner faktiskt är intresserade av att få tillgång till sina filer igen. Det finns så mycket pengar att tjäna att grupper som tidigare fokuserat på annan cyberbrottslighet gått över till att köra ransomware, bland annat för att finansiera sina andra aktiviteter. Det finns exempel på grupper som inte varit verksamma inom cyberbrottslighet utan ägnat sig åt mer traditionell kriminell verksamhet har gett sig in i den här världen, enbart på grund av lönsamheten i ransomware.

Ransomware är helt enkelt ”flavour of the month” i cybersäkerhetsvärlden och har varit det ett tag nu.

För att inte dra ditt strå till stacken och bidra till den här utvecklingen – att förövarna lyckas tjäna pengar på just din dator eller ditt företags enheter – så finns det flera ganska enkla råd att följa.

Och nej – det handlar inte om att uppdatera systemen för att få in den allra senaste trenden inom cybersäkerhet. Råden för hur man bäst skyddar sig skiljer sig inte särskilt mycket från best practice när det gäller att skydda sig från andra cyberhot. Ransomware är inget nytt hot, och det ska heller inte behandlas som ett sådant. Men det är ett hot med väldigt tydliga – och ofta kännbara – konsekvenser – och utifrån dem kan man vidta ett antal steg för att begränsa skadorna av en eventuell incident:

Förutspå:

  • Identifiera mjukvara och sårbarheter som kan utnyttjas som vägar in till såväl enskilda enheter som det lokala nätverket. Måste alla enheter som är uppkopplade till internet vara det? Uppdateras mjukvara automatiskt, säkerställs det att uppdateringarna utförs?
  • Identifiera program som går att konfigurera för maximal säkerhet. Finns det ett skydd mot så kallade nolldagars-sårbarheter, som inte är kända och därför inte identifierats? Här kan det vara på sin plats att lyfta fram Java och Flash, två teknologier som är oerhört spridda och som därför ofta utnyttjas inom cyberbrottslighet – behöver de finnas på alla maskiner?
  • Självklart är det oerhört viktigt att utbilda användarna så att de också blir en del av det här arbetet – i de flesta organisationer är det just användarna som är den svagaste länken. Utvärdera användarmönster utifrån riskbeteende och säkerhetsmedvetenhet. Det handlar om att hitta svar på frågor som ”får användarna löpande information om pågående spamkampanjer?” och ”klarar användarna av att identifiera ett skadligt mejl i ett flöde av legitim kommunikation”. Men det handlar också om att skärskåda de egna processerna, finns det exempelvis ett enkelt sätt för användare att rapportera mejl som ser misstänkta ut?

Förhindra:

  • Ta regelbundet säkerhetskopior, testa dem och se till att rutinerna går att lita på. Och förvara dem inte på en nätverksansluten server som klienterna kan skriva direkt till. Många ransomware-varianter krypterar nätverksanslutna enheter också.
  • Håll all mjukvara uppdaterad.
  • Använd en robust säkerhetslösning som inte bara förlitar sig på en teknologi, utan faktiskt använder flera beprövade lösningar – i flera lager – för att fånga upp såväl kända som okända hot.
  • Håll uppsikt efter spam och nätfiske. Använd ett bra system för filtrering av e-post, avaktivera makro i Office-filer som kommit in via e-post och – återigen – se till att utbilda medarbetarna så att de kan tillföra något till säkerhetsarbetet.
  • Begränsa enskilda klienters skrivrättigheter på nätverksenheter, koppla bort dem när de inte används.

Upptäck:

  • Det är svårt att undvika att upptäcka en ransomware-infektion – det är liksom själva poängen. Men det är svårare att få full klarhet i exakt hur omfattande en infektion är – och det är själva nyckeln till att kunna stoppa spridningen. Ofta kan man utgå från den infekterade enheten och analysera var den varit placerad på nätverket, vilka skrivrättigheter den haft till andra enheter och hur/när infekterade filer kan ha hamnat på den backup-lösning som används.

Svara:

  • Om olyckan är framme och en enhet på organisationens nätverk blir infekterad, är det viktigt att KOPPLA BORT den från det lokala nätverket så snabbt som möjligt för att minimera fortsatt spridning.
  • Scanna alla enheter efter de säkerhetsluckor som fanns på den infekterade enheten och efter ytterligare hot. Ofta är sjävla ransomware-koden en del av en infektion som innehåller ytterligare komponenter.
  • Om det är möjligt – formatera och gör en ominstallation på drabbade enheter. Att köra en hel återställning är ofta enklare – och tryggare – än att försöka rensa bort den skadliga koden.
  • Använd säkerhetskopia för att återställa förlorad data, men säkerställ att den inte är infekterad.
  • Undersök hur den drabbade enheten infekterades och vidta åtgärder för att förhindra att det händer på fler ställen.

[Bild: Dan DeBold, Flickr – redigerad från originalet]