Vad är ”ransomware”? Hur har det utvecklats?
I korthet är det en programvara som hindrar dig från att använda dina system och ditt data. För att återfå kontrollen avkrävs du en summa pengar.
Från början krypterades bara filer på din PC med enkla krypton, dessa var enkla att knäcka och spreds långsamt och sågs därför inte som ett stort hot.
Med Internet kom mer komplicerade krypton tillsammans med bättre verktyg för spridning genom sårbarheter och mail. Kryptering av hela filsystem och diskar blev vanligt vilket kunde orsaka stora problem. Kostnaderna gick från hundralappar till många tusen och lösesumman ökade linjärt med det. Idag syftar Ransomware till att även stjäla känslig information och hota att publicera den publikt, samt att radera backuper för att öka viljan till att betala. Kostnaden för en attack ligger i snitt på 2 miljoner SEK och lösesumman i samma nivå.
Vem ligger bakom?
I början var det ensamma aktörer som ofta drevs av en nyfikenhet över vad går att göra med tekniken. När det visade sig att det gick att tjäna pengar så skapades grupper, som så småningom ofta anlitades av kriminella organisationer. Idag är det välorganiserade grupper med plattformar som säljer verktyg för Ransomware, RaaS helt enkelt. Men det finns även statsfinansierad verksamhet, t.ex. Ryssland, Nordkorea, Kina och Iran m.fl. Hur tror ni Nordkorea får dollar till sina vapenprogram, trots att de är så isolerade?
Med tanke på att storleken på betalningskraven gått från någon tusenlapp till miljoner på kort tid så är det lockande. Dessutom är både straffen lägre, risken för att åka fast mindre och vinsten bättre än på narkotika…
Globalt beräknas skadorna av Ransomware kosta 200 miljarder 2022
Hur får man ransomware?
Nästan alltid genom automatiska phishingmail, typ klicka här och vinn, vilket skapar en bakdörr in i miljön. Den bakdörren kan sedan användas för att skicka in ett ”virus” för att automatiskt söka efter sårbarheter och nå fler system, för att sedan kryptera så mycket som möjligt följt av en begäran om lösesumma.
Dessa enkla, automatiserade försök går att skydda sig mot med utbildning och verktyg.
Men om det finns möjlighet till stora pengar hos en börsnoterat företag kan en illasinnad organisation spendera mycket tid och resurser på att ta sig in, stjäla känslig information, sabotera backuper och till slut kryptera så mycket som möjligt.
Detta är väldigt svårt att skydda sig mot, så här krävs i stället att man lindrar skadan eller upptäcker attacken tidigt.
Kan man inte bara betala då?
Nej. Om du väljer att betala så är det inte säkert att du får tillbaka åtkomsten, och om du får det så kan systemen vara så skadade att du ändå måste installera om/återläsa allt. Speciellt om du vill vara säker på att inga bakdörrar finns kvar. Dessutom får du stämpeln som lätt offer och kommer med stor sannolikhet bli utsatt snart igen.
Dessutom föder du en kriminell organisation, vilket fått USA att kräva att Office of Foreign Assets Control, lustigt nog förkortat OFAC, godkänner en betalning först för att den inte skall ses som en kriminell handling!
Hur upptäcker man attacken?
Hur man upptäcker och i möjligaste mån stoppar eller bromsar attacken kan mina kollegor på nät/säk berätta massor om. Men även backupsystem har verktyg, som t.ex. Rubrik Radar som kan detektera avvikande beteende i backuper och på så sätt tidigt varna om ransomware och visa var attacken startat.
Så hur lindrar man konsekvenserna av ransomware rent praktiskt?
Jo man ser till att man är Ransomware Ready genom att ha en plan!
Först och främst:
1. Lyft frågan till ledningsnivå, det handlar om företagets överlevnad
2. Acceptera att du kommer bli drabbad förr eller senare, ta hotet på allvar
3. Ta hjälp, du är inte ensam eller först, det finns verktyg och erfarenhet
4. Räkna på risken och budgetera därefter, prata med revisor och försäkringsbolag
5. Förstå att det inte finns EN lösning eller produkt som löser allt, oavsett vad leverantören säger
När det är gjort kan ni börja fundera på en Ransomware Recovery Plan, som en Disaster Recovery Plan men med tydligt syfte och avgränsning. Målet är att lära organisationen hantera en attack så att rutiner, roller och rätt verktyg finns på plats när det väl händer.
Tips för framtagandet av en RR-/DR-plan?
– Identifiera och prioritera vad som är kritiskt för företagets produktion
– Identifiera kritiska nyckelpersoner/-roller/leverantörer
– Besluta om en målbild för RPO och RTO – hur långt avbrott klarar vi?
– Utse en ansvarig som driver arbetet med utformningen och underhållet av planen
– Testa, uppdatera, dokumentera, testa igen – löpande
Men verktygen då? Företag betalar massor för backuplösningar, SIEM, IPS etc.
När du har gjort ditt förarbete så kan du avgöra vilka verktyg som krävs för att bäst stötta din praktiska plan. Då kan du också avgöra om befintliga verktyg räcker, eller om något behöver kompletteras eller helt enkelt bytas ut.
Självklart hjälper Cuebid till även här med en bred verktygslåda, lång erfarenhet och en leverantörsoberoende blick för vad som blir bäst för kunden!
Kolla gärna in #livemedcuebid också!
/Fredrik Ranelöv, LinkedIn