... ... SaaS Security Blogg | Andrew

SaaS Security Blogg

rss

SaaS Security Blogg

"There are known knowns. These are things we know that we know. There are known unknowns. That is to say, there are things that we know we don't know. But there are also unknown unknowns. There are things we don't know we don't know." Donald Rumsfeld


Andrew
Andrew
Andrew's Blog

Alt du trenger å vite om ransomware

Ransomware eller utpresservirus som det kalles på Norsk, er for tiden et av de største sikkerhetsproblemene. Utpresservirus er en type malware/virus som krypterer filer på en PC eller over nettverk/Internett. Ofrene kan deretter bare få tilgang til sine filer hvis de betaler løsepenger til de kriminelle som står bak. En ransomware angrep starter som regel med en falsk e-post der mottaker lar seg lure til å åpne et farlig vedlegg eller klikke på en farlig link.

 

De falske epostene kan gjerne se ut som faktura, purringer, gode tilbud, melding om pakke, bonus, jobbtilbud, bankutskrift, melding om passord resetting av facebook/google mm, falske kjøpskvitteringer, melding om misbruk av nettbank/kredittkort osv.

(Artikkelen fortsetter under bildet).

 

 

Absolutt alle virksomheter i alle størrelser kan bli rammet av Ransomware, men mindre virksomheter er mest utsatt siden de har dårligere nettsikkerhet enn andre og mange lever i den tro at de ikke kan bli angrepet gjør dem faktisk mer sårbar.

Ransomware angrep økte med formidable 748 % i 2016 og forventes å øke like kraftig i årene som kommer. Hovedårsakene til dette er at de kriminelle som står bak tjener mer penger på dette enn de noen gang har gjort på andre typer svindel. I tillegg ble Ransomware-as-a-Service avdekket i 2016 der absolutt «alle», uten tekniske kunnskaper, kan sende Ransomware og der utvikleren igjen tar sin andel av pengene som kommer inn.

Dette er en type angrep som for den kriminelle er lett å utføre, virker godt og effektivt, krever minimal investering og det er meget liten sjanse for å bli tatt.

Dersom organisasjonene ikke hadde valgt å gi etter for utpresserne og ikke utbetalt løsepenger hadde vi ikke hatt denne type angrep, men virksomhetene er så avhengig av sine data og systemer at man velger enkleste vei for å komme tilbake til det normale.

 

Typisk må virksomheter betaler løsepenger etter størrelsen. Småbedrifter må typisk betale 2000-15.000 Kr. Større virksomheter må regne med 30.000-50.000 Kr. Det er kjent at sykehus og universiteter har måtte betale 100.000-150.000 Kr. Utpresserbeløpene er stigende. Utbredelsen av den digitale valutaen Bitcoin har gjort det enklere for de kriminelle å utveksle betalinger der de ikke risikerer å avdekke sin identitet.
I tillegg til å måtte betale utpresseren må virksomheten normalt regne med 3-5 dagers nedetid på berørte systemer. I tillegg vil du sannsynligvis være markert som «lett offer» og påregne nye angrep og du dermed må regne med kostnader i bedre sikkerhetssystemer.

 

De vanligste utpresservirusene er Locky (Word Makro) og Cryptowall.  De som står bak endrer hele tiden koden og utvikler nye funksjoner for å unngå å bli stoppet av virksomhetens sikkerhetssystemer. Cerber er en annen type som bla. benyttes i Ransomware-as-a-Service der de kriminelle tar 40 % andel til seg selv av utpresserbeløpet og den som står bak angrepet får 60 % selv.

Ransomware er umulig å overse når du har først har fått den. Like alvorlig er det at samme metode for angrep brukes for å skjule andre typer angrep, der mange virksomheter faktisk ikke er klar over at de er angrepet. Det kan være kode som blir installer på virksomhetens systemer i det skulte som gir angriper en kanal inn til intern informasjon, overvåking, videre spredning og angrep, kopiering av sensitive data mm. Dette er også fremkommet i undersøkelser i 2015 av Næringslivets sikkerhetsråd der det fremkom at halvparten av store Norske virksomheter var hacket og men bare 5 % viste om det.

 

Ingen sikkerhetssystemer kan stoppe 100 % av Ransomware. Tradisjonelle sikkerhetssystemer som bare kan gjenkjenne kjente elementer, koder, signaturer og avsender, gir dårligst sikkerhet. Systemer som benytter sandbox på linker og vedlegg gir høyeste sikkerhet. Angrepen rettes mot virksomheten svake punkt som er de ansatte selv, gjerne ressurspersoner med utvidet tilgang til systemene. Ofte gjøres undersøkelser på forhånd om angrepsmålets interesser, jobb og hobby., som lett finnes på sosiale medier, web, LinkedIn mm. Deretter kommer gjerne et svært målrettet angrep på e-post med «interessant» informasjon. Virksomhetens HR-avdeling kan også være ekstra utsatt siden de normalt mottar jobbsøknader og andre henvendelser fra ukjente personer som ofte har vedlegg inkludert.

 

Utviklingen av Ransomware vil bare fortsette. Nå angripes også Mac, Smarttelefoner og IoT. Og det nye er at hele maskinen krypteres – ikke bare mapper.

Det er viktig med oppdaterte sikkerhetssystemer som også innehar sandbox funksjoner. Opplæring av ansatte. Deaktivering av f.eks makroer i Word der det er mulig, gode backupfunksjoner der backup lagres offline, forsiktig bruk av PC i åpne og fremmede trådløs-soner osv.
 

Se video hvordan Proofpoint URL-Defense stopper Ransomware «Stopp Ransomware..» og Proofpoint pakkeoversikt.

 

SaaS Security er Nordens ledende IT-sikkerhetsdistributør og distribuerer Proofpoint Email Security i Norden som gir den beste beskyttelsen mot ransomware, CEO svindel, nulldags trusler mm, gjennom å bruke url-omskriving med sandboxing både på linker og vedlegg. Se hvordan URL-omskiving og -sandboxing fungerer. SaaS Security distribuerer også websecutity med Sandbox, 2-faktor autentisering som en tjeneste, passordmanagment og e-post/fil kryptering, alle viktige for høy datasikkerhet.

 

 Les mer om Ransomware på ZDNET. Les mer om «Trender og Trusler rapport for Norge 2017»

(Ved bruk at denne info videre må det linkes opp til denne side).