ARTIKEL IT-säkerhet

Ransomware 


 

Med anledning av den ökade rapporteringen om ransomware-attacker som många troligtvis följt på nyheterna, såsom mot ett av Tietoevrys datacenter i Januari 2024, Fortsatta problem efter it-attacken – sajter nere | Göteborgs-Posten (gp.se) eller tidigare mot Svenska Kyrkan, Blackcat bakom angrepp mot Svenska kyrkan – FBI inkopplat | SVT Nyheter, vill vi på Zitac dela en artikel som kan ge lite inblick i ämnet. Det är viktigt att vi alla stärker skydden för vår IT-miljö då vi är så sammankopplade och att alla ställer sig frågan vad som sker om ni själva eller någon av era leverantörer blir utsatta. Se gärna listan med tips i slutet av artikeln.   

Sällan riktade angrepp

Den 23e december 2023 fick Annika Palmgren, ny IT-chef på Härjedalens kommun sedan en månad tillbaka, en rivstart på jobbetHärjedalens kommun blev näst i tur att utsättas för en ransomware-attack. Attacken är under utredning och man vet ännu inte om den var riktad specifikt mot kommunen eller om det var en allmän attack till följd av sårbarheter i deras IT-miljö. 
Väldigt ofta är det inte ett riktat angrepp, utan det är ganska vanligt att den som utför sådant här inte känner till vilken verksamhet man angriper, utan man utnyttjar den sårbarhet som är synlig på nätet menar Hedvig Kylberg MSB i en artikel från SVT. 
MSB efter it-attacken mot Härjedalens kommun: Cyberangrepp säljs sompakettjänster” | SVT Nyheter

 

 

Ransomware as a Service trendar

Ransomware är skadlig kod som krypterar filer för eller låser användaren ute från sin dator, server eller mobil tills de betalar en lösensumma i kryptovaluta för att få tillgången tillbaka. Metoden ”double extortion” innebär att angriparna även hotar att läcka hemliga/känsliga uppgifter från den beslagtagna datan till allmänheten, för att försöka komma åt även de som har en bra backup att tillgå. Har personuppgifter beslagtagits kan även de berörda personerna sökas upp individuellt och utpressas för att inte deras journaler och liknade medicinska data ska offentliggöras eller säljas.
Otaliga exempel finns, här är några fler från senaste tiden:
British Library hack: Customer data offered for sale on dark web – BBC News
Insomniac Games ransomware breach reveals Wolverine and new Spider-Man details – The Verge
Coop-anställda hängs ut på darknet efter cyberattack | SVT Nyheter

Detta kan påverka flera led i leverantörskedjan, såsom supply-chain-attacken på Kaseya där de angreps för att i sin tur kunna skicka ut REvil ransomware till deras kunder.
Efter Coop-hacket – Kaseya säger att de fått krypteringsnyckeln – Computer Sweden (idg.se) 

Tidigare var ”social-engineered ransomware” vanligast, som exempelvis att phishingemails skickades ut, en skadlig fil laddades ned av den lurade användaren som installerade ransomware på datorn.  

Men ökad framgång för ”human-operated ransomware” där stulna eller läckta kontouppgifter ofta initierar attacken mot företaget med mål att angriparen ska kunna ta sig vidare runt i systemen och hitta den viktigaste datan eller systemen, gör att vem som helst illegalt kan köpa tjänsten Ransomware as a Service (RaaS). Ofta är det två kriminella team bakom där den ena programmerar ransomware och den andra hackar företagsnätverket och installerar den skadliga koden, och så delar de på vinsten.   

Med en teknik som ransomware behöver angriparna inte komma åt pengarna direkt via finansiella system, utan de når de indirekt genom utpressning. En vanlig missuppfattning är dock att bara företag med en markant omsättning är i riskzonen. Microsofts Digital Defense Report 2023
https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023 

visar att merparten av företag som attackerades var små och medelstora med färre än 500 anställda.   

Källa: Microsoft Digital Defense Report 2023

Hur går en ransomware attack till?

För att utföra en ransomware attack ska man förenklat lyckas med sin ”delivery” och ”execution”.
Steg 1, delivery, innefattar de olika sätt som skadlig kod kan nå och ge angriparen access till din dator/telefon/server med mera såsom via: 

  • ett usb 
  • phishing med länkar eller bifogade filer i email, sociala medier, SMS, chatt etc 
  • nätverket från en annan infekterad enhet 
  • opatchade sårbarheter i appar eller program
     

När angriparen fått access till enheten så rekognoserar och snokar de gärna runt i nätverket och försöker elevera sina rättigheter för att få åtkomst till den viktigaste datan.  

Ifall de kan vara kvar en längre period utan att upptäckas kan det försvåra felsökning senare om loggar och liknande information raderats.
 
Steg 2, ”execution”, är sedan när angriparen väljer att köra den skadliga koden för själva ransomware.exe varefter användaren låses ute med endast en prompt på skärmen med ett utpressningsmeddelande. Enheten har då tagits som gisslan och en dekrypteringsnyckel krävs för att återställa filerna i de fall då de krypterats, men det är inte helt säkert att det är möjligt beroende på krypteringen, så den generella rekommendationen är att inte betala utpressarna.  

 

Här kan man läsa vidare om ett intressant exempel på ransomware för Android, där utpressarna använder olika Androidkomponenter för att blocka access till telefonen för användaren:
Sophisticated new Android malware marks the latest evolution of mobile ransomware | Microsoft Security Blog 

Källa: Sophisticated new Android malware marks the latest evolution of mobile ransomware

 

Åtgärder och förebyggande arbete

MSB släppte 2020 en rapport med rekommendationer för att öka motståndskraften mot ransomware riktat i synnerhet mot den utsatta sjukvårdsbranschen.  I korthet sammanfattas här några övergripande råd över hur en incident med ransomware bör hanteras:  

  • Isolera smittade enheter 
  • Anmäl händelsen i ett tidigt skede, t.ex. polisanmäl, incidentrapportera till myndigheter efter bedömning av incidentens art, enligt NIS-direktivet eller enligt säkerhetsskyddslagen för säkerhetskänslig verksamhet 
  • Vid behov, sök stöd i incidenthanteringen av myndigheter, säkerhetsföretag etc.  
  • MSB/CERT-SE ger stöd och råd till drabbade vid IT-incidenter inom såväl offentliga som privata organisationer 
  • Säkerställ i er utredning att angreppet är åtgärdat och att angriparen inte har fortsatt tillgång till IT-miljön genom behörigheter och/eller skadlig kod i systemet 
  • Innan återställning av säkerhetskopior sker, säkerställ att kopiorna inte också har drabbats 

CERT-SE har som uppdrag att hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.
CERT-SE – Sveriges nationella CSIRT

Det bästa skyddet är dock att arbeta förebyggande och i rapporten finns även många råd riktade respektive till beslutsfattare, tekniker samt  användare av verksamhetens IT-system, så läs gärna rapporten här:
pdf-rekommendationer-oka-motstandskraften-mot-ransomware-juni2020.pdf.pdf (msb.se)
 

Att öva på och skapa rutiner för incidenthantering är ett bra sätt att stärka sin IT-miljö. Exempelvis Microsoft har en guide för hur man skapar en ”ransomware incident response playbook” för detta baserad på NIST Computer Security Incident Handling Guide. 

Källa: Microsoft – Ransomware incident response
playbook framework

Hur ser det ut för er?

Det går inte att skydda sig helt mot ransomwareattacker men det finns många sätt att minska risken att drabbas. Här är några viktiga saker att tänka på: 

  • Ha system för att upptäcka sårbarheter och patcha de, håll alla enheter och appar uppdaterade 
  • Segmentera nätverket för minskad spridningsrisk och lateral movement. Ha brandvägg. 
  • Säkra lösenord mot password spraying, och använd phish-resistant MFA. Se över passwordless-lösningar samt hur lösenord sparas. 
  • Least priviledge access, så få globala eller lokala admins som möjligt så man har endast det som krävs för ens tjänst och kan elevera sig vid behov med just-in-time access, spårbarhet.  
  • Managera alla enheter, ha klientskydd/antivirusskydd och övervaka de och larm för större chans att upptäcka försök till angrepp och skadlig kod. Automatisera skydd såsom epostfilter och genomsökningar/varningar av filer, aktivering av makron eller besök till shady sidor.  
  • Backups enligt 3-2-1-1-0-regeln som innebär att man bör ha tre kopior av sina data, två olika typer av lagringsmedia och en offsite-kopia. Testa regelbundet test för att undvika återställningsfel (0 backup errors).
    Läs gärna mer här: Back[up] to basics – 3,2,1,1,0 regeln – Zitac Consulting AB 
  • Utbildningar och plan för incidenthantering 
  • Exponera inte system och delar av verksamheten ut mot internet om ni inte måste. 

Vi på Zitac har lång erfarenhet inom IT-säkerhet och erbjuder flera tjänster för att stödja företag i deras säkerhetsstrategi. Med Zitacs hjälp kan ni få en dedikerad partner som kan hantera och genomföra alla stegen i er IT-säkerhetsprocess. En bra start är att boka upp vår Säkerhetsworkshop där vi kartlägger och sätter en grund för hur er IT-säkerhetsstrategi kan utformas.

Vill du komma i kontakt med våra IT-experter? Boka upp ett kravlöst möte så ringer vi upp dig inom 24h Boka IT-rådgivning 

Louisa Lundgren
Secure IT
→ Intervju med Louisa