Ransomware och Ransomware gäng låter ju som något ur en deckarthriller där man kidnappar folk och begär lösensummor. Och det är ju precis som det låter, man infekterar servrar eller klientdatorer med skadlig kod som sedan krypterar stora delar av IT-miljön och begär en lösensumma för att ge ut en nyckel för att kunna dekryptera.
Eftersom det är relativt svårt att helt skydda sig mot detta så är det också fortsatt väldigt vanligt att organisationer råkar ut för det. Och med tanke på konsekvenserna (ofta är hela eller delar av IT-miljön helt obrukbar i dagar/veckor), så är det något alla organisationer behöver göra en åtgärdsplan för att både förebygga och förbereda sig ifall det skulle inträffa.
Varför drabbas vissa av ransomware och andra inte?
Jag skulle säga att det finns flera faktorer som spelar in här. Dels så riktar sig den här typen av organisationer in sig på vissa organisationer som de vet kommer betala, dvs. de tittar ifall organisationen har betalningsförmåga, för att maximera deras insatser.
Men givetvis behövs det också en sårbarhet hos organisationen som de kan utnyttja för att lyckas. Om vi bortser från statsaktörer som kanske riktar in sig hårdare och kanske har andra syften, utan tar de mer vanliga ”bara” kriminella organisationerna så är det enkelt; de går efter lätta måltavlor.
Hur kan man skydda sig mot ransomware?
- Cyberhygien: Det är avgörande att hålla alla servrar, klientdatorer och nätverksutrustning uppdaterade med de senaste säkerhetsuppdateringarna. Genom att ignorera dessa uppdateringar öppnar du dörren för angriparna.
- Användarutbildning: Anställda måste utbildas för att inte klicka på misstänkta länkar i e-postmeddelanden eller pop-ups. En enda felaktig klickning kan ge angriparna tillgång till nätverket.
- Nätverkssegmentering: Att segmentera nätverket är viktigt för att begränsa skadan om en attack inträffar. Om nätverket inte är korrekt uppdelat kan angriparna snabbt sprida skadlig kod och påverka stora delar av systemet.
- Tekniska skyddsåtgärder: Moderna säkerhetsverktyg, som antivirus och brandväggar, bör vara installerade på alla klientdatorer och servrar. Utöver det bör organisationer ha system för övervakning av nätverksaktiviteter för att upptäcka misstänkt beteende i realtid.
Att vara förberedd är också ett skydd…
Med tanke på konsekvenserna samt hur pass vanliga och sofistikerade ransomware-attacker är så är det även numera att rekommendera att man även förbereder sig för det värsta.
Riskerna för att råka ut för detta scenario, även på en del av miljön är relativt stora med tanke på att det räcker med att någon missar att uppdatera någon server som råkar vara internetexponerad eller en applikation som har en sårbarhet som inte har upptäckts internt än.
Vi brukar säga att man ska ha övat på scenariot att detta inträffar minst årligen, så att man har färdiga checklistor på hur man ska göra om scenariot inträffar. Det ska finnas ett Krishanteringsteam som är förberett och har övat på scenariot så att man vet hur man ska agera. Utöver det ska IT-driftsteamet ha gjort detsamma.
Jag kan inte nog poängtera vikten av denna åtgärd. Om inte annat så lär man sig väldigt mycket om vad som saknas i organisationen vid sådana övningar.
Vill du veta mer om hur ni kan skydda er mot en ransomware-attack?
På CGI hjälper vi er att stärka er cybersäkerhet och minimera riskerna.