Vad du ska göra när ditt företag blir träffat av Ransomware

What to do after a ransomware attack

Ransomware är en så lönsam form av cyberbrott att den har blivit en hel självhushållande industri med sina egna skift och trender. För några år sedan var till exempel utvecklare och operatörer av ransomware främst intresserade av hemmabrukare. Att attackera persondatorer var billigt, och några smarta socialtekniska tekniker såg till att framgångsgraden inte var dålig. Samtidigt var människors säkerhetskultur inte riktigt bra, vilket innebar att för många, det enda alternativet att återställa deras data var att betala lösen. Då började emellertid saker och ting förändras.

Ransomware-operatörer har flyttat från hemanvändare till företag och stora organisationer

2017 såg ett par massiva ransomware-utbrott, WannaCry och NotPetya, som fick mycket publicitet. De riktade sig inte specifikt till hemmabrukare, men hemmabrukarna såg dem i nyheterna och de blev gradvis mer bekanta med hotet. De insåg hur viktiga säkerhetskopior är och blev bättre förberedda på att hantera ransomware-attacker.

I rättvisa är cyberbrottslingar inte särskilt angelägna om att dela sina inkomsträkningar, men det faktum att ransomware-infektioner på hemdatorer har minskat under de senaste åren tyder på att färre slutanvändare är benägna att gräva in till hackarna krav. Detta betyder dock inte att ransomware-verksamheten krymper.

Vid en tidpunkt insåg ransomware-operatörer att den extra ansträngningen att attackera organisationer snarare än enskilda användare kan vara värt det, och sedan dess har stora ransomware-incidenter mest involverat företag, sjukvårdsorganisationer och statliga institutioner. Ett ransomware-utbrott hos ett privat företag kan vara särskilt skadligt, varför människor måste lära sig att reagera på hotet inte bara när de är hemma utan också på kontoret.

Hur kan en ransomware-infektion påverka ditt företag?

Ur ett rent tekniskt perspektiv presenterar en ransomware-attack ett företag med två huvudsakliga problem: dataförlust och driftstopp.

Att ha dina data låsta är det mer uppenbara problemet. En framgångsrik ransomware-infektion kan kryptera affärshemligheter, produktspecifik information och kundinformation. Att förlora den här typen av data kan leda till ditt företags bortgång, vilket innebär att du kan frestas att överväga att uppfylla hackarens krav och betala lösen. Även om du gör det kan du dock inte garantera att all information kommer att returneras till dess infektionsläge. Detta är dock inte den enda frågan.

Naturligtvis är ransomware-infektioner ganska bullriga. Om du någonsin befinner dig på fel ände av en attack, kommer du att bli medveten om vad som händer, och dina kunder kommer att lära sig att något är fel ganska snabbt också. En ransomware-infektion kan helt störa ett företags verksamhet och hindra det från att betjäna sina användare. Oundvikligen kommer orsaken till problemet att offentliggöras, och det kommer att plantera fröet av osäkerhet hos dina användare som kommer att anta att ditt företag inte tar särskilt väl hand om deras datasäkerhet. Vad allt detta betyder är att det är oerhört viktigt att hantera situationen så snabbt och så effektivt som möjligt.

Hur ska ditt företag reagera på en framgångsrik ransomware-attack?

Som ni ser är de två huvudsakliga sakerna du behöver tänka på att förhindra dataförlust och minimera driftstopp. Om du arbetar för ett företag som har drabbats av ransomware måste du se till att återställa efter attacken tar så lite tid som möjligt, men du bör också vara noga med att dubbelkontrollera att varje fil är där den måste vara innan du sätter företaget tillbaka till operativt läge. Det är en stressande process som kräver mycket koncentration och en samordnad insats från alla ansvariga.

Om skadlig programvara har lyckats infiltrera dina system, bör dess spridning vara din högsta prioritet. Underskatta aldrig rapporter om konstigt beteende från anställda, och om du upptäcker att bara en dator har drabbats av ransomware, var noga med att alla delar av ditt företags IT-infrastruktur som kan vara anslutna till den har haft nätverkskablarna kopplad från. Moderna ransomware-familjer kommer med maskliknande komponenter som gör att attacken kan spridas snabbt, och hackarna vill låsa så många slutpunkter som möjligt med idén att kräva ett högre lösen. Ju större antal krypterade datorer, desto mer tid behöver du också ta tillbaka allt online.

Vi nämnde redan att minimering av driftstopp borde vara högt på din prioriteringslista. Med detta sagt bör du inte rusa processen. Innan du sätter på allt måste du se till att alla spår av ransomware har tagits bort och du bör kontrollera om allt är i drift. Ytterligare förseningar kommer inte att göra dina kunder väldigt lyckliga, men att säga dem att du är tillbaka i affärer och gör dem inför fler problem kan göra dem ännu mer upprörda än de redan är.

Om du talar om, om du verkligen vill få dina användare att känna sig mindre dåliga om vad som har hänt, försök att vara så transparent som möjligt om attacken. Berätta för dem hur hackarna kom in, vad du har gjort för att stoppa dem och vad du planerar att göra för att förhindra framtida attacker. Berätta för dina användare hur attacken kommer att påverka dem och de tjänster de har betalat för, och håll ingenting tillbaka. Även om vissa företag tycks tro att detta är en bra strategi, är det att bagatellisering av problemet vanligtvis backfires och gör ännu mer renomméskada än själva attacken.

Det finns mycket att tänka på, och även om du gör allt i boken kan konsekvenserna fortfarande vara ganska hemska. I juli 2018 drabbades till exempel LabCorp, ett av världens största nätverk av laboratorier, av SamSam ransomware. Även om IT-teamet flyttade snabbt för att innehålla skadlig programvara lyckades SamSam fortfarande infektera cirka 7 tusen endpoints och nära 2 tusen servrar.

På senare tid attackerades valutaväxlingen Travelex av ransomvaran Sodinokibi (alias REvil), och i mer än två veckor tvingades dess anställda använda pennor och papper för att göra sina jobb.

En ransomware-attack kan orsaka alla typer av problem, särskilt om den är inriktad på en större organisation. Med risken att falla i klichéfällan bör vi säga att det är den bästa strategin i kampen mot denna typ av hot att vidta aktiva förebyggande åtgärder.

Vad kan du göra för att förhindra en framgångsrik ransomware-attack?

Det är inte tillräckligt att installera ett antivirusprogram på dina anställdas datorer och säkerhetskopiera deras hårddiskar. Återigen talar vi om en komplex process som har massor av fallgropar, och det sunda tillståndet för ransomware-verksamheten visar tydligt att företag gör misstag hela tiden.

En enkel säkerhetsprodukt kan inte rädda dagen om hela ditt IT-system är baserat på antik programvara som inte har fått sina säkerhetsuppdateringar. Ingen annan än FN lärde sig på det hårda sättet hur viktiga säkerhetsuppdateringar är, och om du är ansvarig för att upprätthålla ett helt företags nätverk, har du inga ursäkter för att köra programvara som har kända säkerhetsproblem.

Det finns ingen ursäkt för dåligt konfigurerade nätverk. Många av ransomware-familjerna som för närvarande riktar sig till organisationer sprider sig genom osäkra nätverksprotokoll som har lämnats öppna av slarviga sysadmins. Standardlösenord är också ofta en höjdpunkt i ett antal rapporter om incidenter med ransomware, vilket visar att den sociala tekniken i skräppostmeddelanden är långt ifrån det enda vapnet i hackarens arsenal. Med det sagt är det alltid bra att utbilda dina anställda att inte klicka på slumpmässiga länkar och bilagor i oväntade meddelanden.

Som ni ser finns det redan många uppgifter att ta hand om, och vi har inte ens berört frågan om säkerhetskopiering av data.

Varje företag bör ha en gedigen säkerhetsstrategi, och att skapa en är inte så lätt som det låter. Beroende på hur du använder dina data måste du tänka på hur ofta de måste säkerhetskopieras, men kanske ännu viktigare måste du tänka på den faktiska mekanismen för att skapa säkerhetskopior.

Helst följer du 3-2-1-regeln, som säger att du ska ha 3 kopior av dina data lagrade på två olika platser, varav 1 är offsite. Om du inte kan hålla dig till denna strategi måste du regelbundet testa dina säkerhetskopior för att vara säker på att de är funktionella, och du måste också hålla dem frånkopplade från resten av dina IT-system. På så sätt kan en potentiell ransomware-attack inte påverka kopiorna av dina data.

Det här är bara några av de saker du behöver tänka på, och beroende på verksamheten i företaget du arbetar för kan det finnas många andra faktorer som du kanske måste tänka på. Sammantaget är det utan tvekan ännu svårare att försöka skydda ett företag mot en ransomware-attack än att rensa bort röran efter att det redan har drabbats. Med tanke på hur förödande skadan kan vara, är dock ansträngningen väl värt det.

År Duran
February 19, 2020
Ransomware
Svenska
February 19, 2020
Ransomware

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

4 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.