Hvad skal man gøre, når dit firma bliver ramt af Ransomware
Ransomware er en så rentabel form for cyberkriminalitet, at det er blevet en hel selvbærende branche med sine egne skift og trends. For nogle få år siden var ransomware-udviklere og operatører for eksempel primært interesseret i hjemmebrugere. Det var billigt at angribe personlige computere, og nogle smarte socialtekniske teknikker sikrede, at succesfrekvensen ikke var dårlig. I mellemtiden var folks backup-kultur ikke nøjagtigt stor, hvilket betød, at for mange var den eneste mulighed for at gendanne deres data at betale løsepenge. Så begyndte imidlertid tingene at ændre sig.
Table of Contents
Ransomware-operatører er flyttet fra hjemmebrugere til virksomheder og store organisationer
I 2017 oplevede et par massive ransomware-udbrud, WannaCry og NotPetya, som fik en masse omtale. De var ikke specifikt rettet mod hjemmebrugere, men hjemmebrugere så dem på nyhederne, og de blev gradvist mere fortrolige med truslen. De indså, hvor vigtige sikkerhedskopier er, og blev bedre forberedt på at håndtere ransomware-angreb.
I retfærdighed er cyberkriminelle ikke særlig opsat på at dele deres indkomstopgørelser, men det faktum, at ransomware-infektioner på hjemme-pc'er har været i tilbagegang i de sidste par år antyder, at færre slutbrugere er tilbøjelige til at grotte sig ind i hackerne krav. Dette betyder dog ikke, at ransomware-forretningen er mindre.
På et tidspunkt indså ransomware-operatører, at den ekstra indsats ved at angribe organisationer snarere end individuelle brugere muligvis er det værd, og lige siden har større ransomware-hændelser hovedsageligt involveret virksomheder, sundhedsorganisationer og statslige institutioner. Et ransomware-udbrud hos en privat virksomhed kan være særligt skadeligt, hvorfor folk skal lære at reagere på truslen, ikke kun når de er hjemme, men også på kontoret.
Hvordan kan en ransomware-infektion påvirke din virksomhed?
Fra et rent teknisk perspektiv præsenterer et ransomware-angreb et selskab med to hovedproblemer: datatab og nedetid.
At have dine data låst er det mere indlysende problem. En vellykket ransomware-infektion kan kryptere handelshemmeligheder, produktspecifik information og kundedetaljer. At miste denne type data kan føre til din virksomheds bortgang, hvilket betyder, at du måske bliver fristet til at overveje at overholde hackernes krav og betale løsepenge. Selv hvis du gør det, kan du dog ikke have nogen garantier for, at alle oplysninger vil blive returneret til deres tilstand før infektion. Dette er dog ikke det eneste problem.
Af natur er ransomware-infektioner ret støjende. Hvis du nogensinde befinder dig i den forkerte ende af et angreb, bliver du gjort opmærksom på, hvad der foregår, og dine kunder vil lære, at noget også er galt hurtigt. En ransomware-infektion kan fuldstændigt forstyrre et virksomheds drift og forhindre det i at betjene sine brugere. Uundgåeligt bliver årsagen til problemet offentliggjort, og det vil plante frø af usikkerhed hos dine brugere, der antager, at din virksomhed ikke tager særlig godt hensyn til deres datasikkerhed. Hvad alt dette betyder er, at det er ekstremt vigtigt at håndtere situationen så hurtigt og så effektivt som muligt.
Hvordan skal din virksomhed reagere på et vellykket ransomware-angreb?
Som du kan se, er de to vigtigste ting, du skal tænke på, forhindre datatab og minimere nedetid. Hvis du arbejder for et firma, der er blevet ramt af ransomware, skal du sørge for, at det at genvinde fra angrebet tager så lidt tid som muligt, men du skal også være forsigtig med at dobbeltkontrol, at hver fil er, hvor den skal være, før du lægger virksomheden tilbage i operationel tilstand. Det er en stressende proces, der kræver meget koncentration og en koordineret indsats fra alle ansvarlige.
Hvis malware har formået at infiltrere dine systemer, bør dens spredning være din højeste prioritet. Undervurder aldrig rapporter om underlig opførsel fra medarbejdere, og hvis du finder ud af, at kun en computer er blevet ramt af ransomware, skal du være sikker på, at dele af din virksomheds IT-infrastruktur, der muligvis er forbundet til den, har fået deres netværkskabler tilsluttet. Moderne ransomware-familier leveres med ormlignende komponenter, der tillader, at angrebet spredes hurtigt, og hackerne ønsker at låse så mange slutpunkter som muligt med ideen om at kræve en højere løsepenge. Jo større antallet af krypterede pc'er er, jo mere tid har du brug for også at bringe alt tilbage online.
Vi nævnte allerede, at minimering af nedetid burde være højt på din prioriteringsliste. Når det er sagt, skal du ikke skynde dig processen. Inden du tænder for alt, skal du sørge for, at alle spor af ransomware er blevet fjernet, og du skal kontrollere, om alt fungerer. Yderligere forsinkelser vil ikke gøre dine kunder meget glade, men at fortælle dem, at du er tilbage i forretningen og får dem til at få flere problemer, kan gøre dem endnu mere forstyrrede, end de allerede er.
Når du taler om, hvis du virkelig ønsker at få dine brugere til at føle sig mindre dårlige over, hvad der er sket, så prøv at være så gennemsigtig som muligt over angrebet. Fortæl dem, hvordan hackerne kom ind, hvad du har gjort for at stoppe dem, og hvad du planlægger at gøre for at forhindre fremtidige angreb. Fortæl dine brugere, hvordan angrebet vil påvirke dem og de tjenester, de har betalt for, og hold intet tilbage. Selvom nogle virksomheder synes at tro, at dette er en god strategi, bagatelliserer problemet normalt bagud og gør endnu større omdømme end selve angrebet.
Der er meget at tænke på, og selv hvis du gør alt efter bogen, kan konsekvenserne stadig være ret forfærdelige. I juli 2018 blev LabCorp, et af verdens største netværk af laboratorier, for eksempel ramt af SamSam ransomware. Selvom dets IT-team hurtigt flyttede for at indeholde malware, lykkedes det stadig SamSam at inficere omkring 7 tusinde endepunkter og tæt på 2.000 servere.
For nylig blev valutavekslingen Travelex angrebet af Sodinokibi (alias REvil) løseprogram, og i mere end to uger blev dens ansatte tvunget til at bruge penner og papirstykker til at udføre deres job.
Et ransomware-angreb kan medføre alle slags problemer, især hvis det er målrettet mod en større organisation. Med risikoen for at falde i klichéfælden, skal vi sige, at det at tage aktive forebyggelsesforanstaltninger er den bedste strategi i kampen mod denne type trusler.
Hvad kan du gøre for at forhindre et vellykket ransomware-angreb?
Det er ikke nok at installere et antivirusprogram på dine medarbejders computere og sikkerhedskopiere deres harddiske. Endnu en gang taler vi om en kompleks proces, der har masser af faldgruber, og den sunde tilstand inden for ransomware-forretningen viser tydeligt, at virksomheder begår fejl hele tiden.
Et simpelt sikkerhedsprodukt kan ikke redde dagen, hvis hele dit IT-system er baseret på ældre software, der ikke har modtaget sine sikkerhedsrettelser. Ingen andre end De Forenede Nationer lærte den hårde måde, hvor vigtige sikkerhedsopdateringer er, og hvis du er ansvarlig for at vedligeholde netværket til en hel virksomhed, har du ingen undskyldninger for at køre software, der har kendt sikkerhedssårbarheder.
Der er heller ingen undskyldning for dårligt konfigurerede netværk. Mange af ransomware-familierne, der i øjeblikket er målrettet mod organisationer, formerer sig gennem usikrede netværksprotokoller, der er blevet efterladt åben af uforsigtige sysadminer. Standard adgangskoder er også et hyppigt højdepunkt i en række rapporter om hændelser med ransomware, hvilket viser at social engineering i spam-e-mails langt fra er det eneste våben i hackernes arsenal. Når det er sagt, er det altid en god ide at uddanne dine medarbejdere til ikke at klikke på tilfældige links og vedhæftede filer i uventede beskeder.
Som du kan se, er der allerede masser af opgaver at tage sig af, og vi har ikke engang berørt spørgsmålet om sikkerhedskopiering af data.
Enhver virksomhed skal have en solid sikkerhedskopieringsstrategi, og at oprette en er ikke så let som det lyder. Afhængigt af hvordan du bruger dine data, skal du tænke over, hvor ofte de skal sikkerhedskopieres, men måske endnu vigtigere er, at du skal tænke over den faktiske mekanisme til oprettelse af sikkerhedskopier.
Ideelt set følger du 3-2-1-reglen, der siger, at du skal have 3 kopier af dine data gemt på 2 forskellige steder, hvoraf 1 er offsite. Hvis du ikke kan holde sig til denne strategi, skal du regelmæssigt teste dine sikkerhedskopier for at være sikker på, at de er funktionelle, og du skal også holde dem frakoblet fra resten af dine IT-systemer. På den måde kan et potentielt ransomware-angreb ikke påvirke kopierne af dine data.
Dette er blot nogle af de ting, du skal overveje, og afhængigt af virksomheden i det firma, du arbejder for, kan der være masser af andre faktorer, som du muligvis skal huske på. Alt i alt er det uden tvivl endnu mere ondt at forsøge at beskytte et firma mod et ransomware-angreb end at rydde op i rodet, efter at det allerede er blevet ramt. I betragtning af hvor ødelæggende skaden kunne være, er indsatsen imidlertid værd at det.
