Ransomware – Alt du trenger å vite

Innholdsfortegnelse

• Introduksjon
• Hva er ransomware?
• Hva skjer når jeg får ransomware?
• Hvordan fungerer, og sprer, ransomware seg når jeg har fått det?
  • Full infisering
  • Gradvis infisering
• Hvordan får jeg ransomware?
  • Små og mellomstore bedrifter
  • Store bedrifter
• Hvordan beskytter jeg min bedrift mot ransomware?
• Huskeregel: Forebygge og forsikre.
  • Forebygge
  • Forsikre
• Hva gjør jeg om min bedrift blir infisert av ransomware?
• Hvordan bidrar jeg til at trusselen om ransomware blir redusert?

Introduksjon

Denne artikkelen vil forklare deg følgende om ransomware (Norsk: Løsepengevirus):

• Hva ransomware er.
• Hvordan ransomware infiserer bedrifters filer.
• Hva du kan gjøre for å sikre din bedrift mot å måtte betale løsepenger.
• Hva dere gjør dersom uhellet skulle være ute og dere blir infisert av ransomware.

Ransomware er i ferd med å bli et stort problem for bedrifter. Ved å lese denne guiden, og å følge oppskriftene under, bidrar du til å redusere problemet siden du aldri vil bli tvunget til å betale løsepenger. Hvis alle bedrifter beskytter sine data på denne måten vil ransomware antakelig slutte å eksistere.

Lesetid: Ca. 5-10 min.

Du lærer: Hva et ransomware er, hvorfor det er en stor trussel, hvordan de angriper, hvordan du beskytter deg og hva du gjør om du får det.

Hva er ransomware?

Ransomware er et meget skadelig virus. Dette bruker krypteringsteknologi for å låse filene deres og ber om betaling (oftest i Bitcoin) for å låse dem opp. Tidsfristene er korte (ofte 24-48 timer) og hvis offeret ikke betaler vil filene slettes. Sannsynligvis er mørketallene for hvem som betaler enorme, siden ransomware fortsetter å være et stort problem. Heldigvis finnes det enkle måter å sikre din bedrift mot dette, så dere aldri må ta dette valget og at dere ikke blir tvunget til å bidra til at problemet fortsetter.

Kjente navn er: Ransomware, løsepengevirus, kryptolocker eller kryptovirus.

Hva skjer når jeg får ransomware?

Ransomware baserer seg på krypteringsteknologi. Kryptering betyr at du «låser» filene dine basert på matematiske formler og en krypteringsnøkkel. For en utenforstående er en kryptert fil umulig å lese uten krypteringsnøkkelen, dette brukes blant annet for sikker overføring av data når du logger deg på nettbanken din. Dersom du har blitt infisert, og ikke har sikkerhetskopi av dine data, kan det virke som eneste utvei er å betale for å få låst opp filene før de er tapt for alltid.

En veldig forenklet sammenligning: Du vil sende noe hemmelig i posten, men vil være helt sikker på at utenforstående ikke kan se hva som er i pakken. Du legger det du vil sende i en boks med en kodelås, som er umulig å åpne uten den korrekte koden, og sender denne i en postpakke. Koden sender du til mottakeren som en SMS. Når pakken kommer frem kan vedkommende åpne kodelåsen og ta ut det som er inni boksen.

Dersom noen uærlige sjeler underveis skulle titte inni pakken ville de kun fått se boksen med kodelåsen og ikke hva om er inni.

Tilsvarende, om din bedrift blir angrepet av ransomware, kan du se for deg at alle dine filer blir låst ned i en boks med en kodelås du ikke har koden til. De kriminelle sitter på denne og ved å betale løsepenger kan du få låst opp filene dine igjen. Betaler du ikke blir de slettet og er borte for alltid.

Hvordan fungerer, og sprer, ransomware seg når jeg har fått det?

Basert på tilbakemeldingene vi har fått, og research vi selv gjør, ser vi at typene ransomware blir mer og mer sofistikerte. Noen åpner til og med opp brannmurer og deaktiverer antivirus-programmer så de kan spre seg videre i organisasjonens mapper og infisere flere maskiner. Dette er spesielt kritisk om en bruker med administrator-rettigheter blir infisert, da disse ofte har tilgang til det meste i en bedrifts datasystemer.

Ransomware slår til på en av to måter:

Full infisering

De vanligste typene ransomware krypterer absolutt alle filer de får tilgang til, samtidig som de sprer seg videre i bedriftens nett og servere. Dette vil si at alle mapper som den infiserte brukeren får tilgang til blir låst ned, og om det er en administratorbruker som har blitt infisert kan alle bedriftens systemer, servere og maskiner bli infisert. Denne typen vil at offeret umiddelbart skal få beskjed så de forhåpentligvis får løsepenger raskt.

Gradvis infisering

Andre typer ransomware krypterer dataene gradvis, mappe for mappe over tid. Dette er så det forhåpentligvis ikke skal oppdages med det første, og at det skal gå såpass lang tid før angrepet oppdages at backupens historikk har gått ut og ofrene ikke har noen mulighet til å laste ned datene sine. Det er derfor viktig å ha varslingsrutiner for dersom dere blir utsatt for ransomware. Les mer om vår ransomwarescanner her.  

Hvordan får jeg ransomware?

Selv om metodene kan være forskjellige er det noen gjengangere som går igjen:

• Eposter med skadelig innhold.
• Linker med skadelig innhold.
• Sikkerhetshull i Windows: Wannacry-utbruddet i 2017 var et eksempel på dette: https://en.wikipedia.org/wiki/WannaCry_ransomware_attack.

Små og mellomstore bedrifter

Historisk sett har SMB’er blitt infisert av ransomware på flere måter, men den vanligste er mailvedlegg.  Det som kan se ut som et uskyldig PDF-vedlegg (f.eks. at du har en pakke som må hentes på posten, populært rundt juletider) eller en lenke du trykker på (f.eks. at du har fått tilbake penger på skatten eller at en du kjenner vil sende deg noen filer) kan føre til at du blir infisert.

Store bedrifter

Angrepene på større bedrifter er mer sofistikerte og omfattende, da de har bedre økonomi og sannsynligvis større betalingsvilje og -evne. Selv om dette er metoder forbeholdt større bedrifter kan disse også omfatte små bedrifter, spesielt om det er høy omsetning og god betalingsevne. Finans er en typisk utsatt bransje da det er store penger i omløp og ofte sensitive data involvert.  Her starter de kriminelle med å gjøre såkalte «man in the middle» – angrep (der de overvåker korrespondansen mellom f.eks. daglig leder og kunder), eller andre metoder, for å få tilgang til bedriftens systemer.

Så fort de er inne kopierer de ut alt av relevant data de anser som verdifulle. Dette kan være bedriftshemmeligheter, persondata, kundedata, brukernavn / passord etc.

De kriminelle infiserer så offerets systemer med ransomware og følger følgende oppskrift for å presse ut løsepenger:

• Først låse filene med ransomware og å kreve løsepenger for at disse åpnes.
• Deretter true med å publisere bedriftshemmeligheter / persondata / kundedata på nett.
• Til slutt, hvis de ikke får betalt, publiserer de data de har og offentliggjør at bedriften har hatt datainnbrudd og nektet å betale løsepenger.

For store bedrifter er data i de aller fleste tilfeller ivaretatt med rutiner for sikkerhetskopiering, men å tilbakestille dette er ofte tidkrevende og ofrene får store omsetningstap i perioden deres systemer er nede. Se under for eksempler på dette.

Hvor mye ville din bedrift tapt per dag der alle systemene er nede?

Hvordan beskytter jeg min bedrift mot ransomware?

Alt innen IT sikkerhet går på risikominimering. En sikkerhetsløsning vil aldri kunne være 100% sikker.
En god sikkerhetsløsning er definert som:

• Flere lag med sikkerhet: F.eks. Antivirus, brukeropplæring og -kompetanse og backup.
• Gjerne overlapp (f.eks. backup ut av huset, samt lokal backup).

Jo flere lag med sikkerhet, og jo bedre kvalitet hvert lag her, desto mindre er risikoen for at din bedrift blir utsatt.

Huskeregel: Forebygge og forsikre.

Forebygge

De vanligste rådene man får, som også er de mest effektive, er:

• Ha et godt antivirusprogram, gjerne et som er spisset mot ransomware. F.eks.
  • https://www.eset.com/no/
  • https://www.pandasecurity.com/

• Hold datamaskinene deres oppdatert, installer siste oppdateringer for operativsystem (Windows, macOS etc.) så fort de kommer ut.
  
  
• Hold alle programmer oppdaterte, spesielt antivirusprogrammet. En stor grunn til at oppdateringer kommer ut er nettopp for å lukke sikkerhetshull de kriminelle kan utnytte for å få installert ransomware.
  
  
• Teknisk kompetanse blant de ansatte: ikke åpne tvilsomme vedlegg eller klikk på mistenkelige lenker.

Forsikre

• Sørg for å ha en backupløsning dataene går ut av huset (online backup). Backupløsningen må være satt opp med god historikk så dere har tid til å hente ned eldre data om uhellet skulle være ute. Custodis tilbyr den eneste backupløsningen som varsler din bedrift dersom uhellet skulle være ute og dere blir infisert av ransomware. Ta gjerne kontakt om du vil ha en samtale rundt dette, eller se våre priser og pakker her: https://custodis.no/priser/.
  
• (Valgfri for økt sikkerhet) Sørg for at backupleverandøren deres har begrenset deres mulighet til å slette data og backupsett, samt gjøre endringer på disse. Ransomwaretypene blir stadig mer sofistikerte og noen av dem er i stand til å slette backupsett og deres backuphistorikk så dere står uten data selv om dere i utgangspunktet skulle være sikret.
  Se våre backuptyper her: https://custodis.no/vare-tjenester/
  
• Legg en plan for hva dere gjør dersom uhellet skulle være ute og dere blir infisert.
  Custodis tilbyr, som den eneste backupleverandøren, tilleggstjensten ransomware-scanner. Denne scanner backuprapportene og metadata for å se etter spor av ransomware. Dersom den finner dette varsles både vi og kunden samtidig.
  Les mer her: https://custodis.no/scanning-etter-losepengevirus/

OBS: Dersom du tar backup av filene dine til en eksterndisk / stasjon på nettverket som er koblet til, vil denne også bli låst av løsepengeviruset.

Hva gjør jeg om min bedrift blir infisert av ransomware?

Dersom du blir infisert vil du miste tilgang til noen av, eller sannsynligvis, alle filene dine.

1. Har du sikkerhetskopi av dataene dine er det lurt å starte en gjenoppretting av disse med en gang, gjerne til en eksterndisk eller lignende, fra en annen maskin, så disse ikke også blir låst.
   OBS: Sørg for at denne eksterndisken ikke er koblet til en infisert maskin, da kan også denne bli infisert og filene låst.

• Det aller første du må gjøre for å få systemene dine opp og gå igjen er å fjerne viruset. Selv om du gjenoppretter filene dine i et infisert miljø, vil viruset bare slå til igjen og låse filene på nytt.
  Du kan bruke Windows defender eller andre antimalware – løsninger for å reparere maskinene. Har du image/system -backup av systemene kan du tilbakeføre en tidligere versjon fra før viruset infiserte dere.

• Når du er sikker på at maskinen er ren og viruset er vekk kan du tilbakestille filene dine.
  • Dersom du har en løsning for sikkerhetskopiering av data, kan du tilbakestille filene fra denne.
  • Dersom du ikke har sikkerhetskopi av filene dine, kan du prøve NoMoreRansomware sine verktøy for å gjenopprette dem. Det er ingen garanti for at det fungerer, men dette er sannsynligvis deres eneste mulighet for å få tilbake filene deres.

NoMoreRansom.org er et europeisk samarbeid mellom bla. Europol, McAfee og Amazon. De har satt fokus på problemet med løsepengevirus og tilbyr gratis mulighet for å låse opp filer som har blitt låst. Med litt flaks kan du få låst opp filene dine ved hjelp av deres verktøy.

Hvis du trenger hjelp, ta gjerne kontakt med oss og vi kan bistå dere.

Les også: Hvordan en av våre kunder brukte vår backupløsning for å slippe å betale løsepenger.

Hvordan bidrar jeg til at trusselen om ransomware blir redusert?

Dette gjør du ved å følge oppskriften over for å sikre din bedrift dersom dere skulle bli infisert av ransomware. Med gode rutiner for sikkerhetskopiering (ut av huset) med lang historikk for deres data vil dere være i trygge hender dersom uhellet skulle være ute. Jo flere av oss som sørger for å sikre oss så vi aldri vil trenge å betale løsepenger desto mindre attraktivt blir det for de kriminelle.

Avslutning / oppsummering

Vi håper denne artikkelen har vært til hjelp. Kontakt oss gjerne om du har noen tilbakemeldinger på, eller du ønsker en uforpliktende prat om hvordan vi kan hjelpe til å sikre din bedrift mot ransomware.