Ransomware/Utpressningsprogram: Så påverkar de ert företag

Utpressningsprogram är skadlig kod som angriparna kan använda för att låsa en enhet, eller kryptera dess innehåll, för att genom utpressning tvinga till sig pengar från ägaren eller operatören i utbyte mot ett löfte utan garantier om återställd åtkomst.

Utpressningsprogram: Så påverkar de ert företag

Utpressningsprogram är skadlig kod som angriparna kan använda för att låsa en enhet, eller kryptera dess innehåll, för att genom utpressning tvinga till sig pengar från ägaren eller operatören i utbyte mot ett löfte utan garantier om återställd åtkomst.

Reading time icon

5 minuters läsning

Reading time icon

5 minuters läsning

Hur fungerar ransomware?

Databrottslingar som arbetar med utpressningsprogram använder en rad tekniker, bland annat:

  • Ransomware som låser skärmen blockerar åtkomsten till enhetens skärm, med undantag för utpressningsprogrammets gränssnitt.
  • Ransomware som ändrar PIN ändrar enhetens PIN-kod så att dess innehåll och funktioner inte går att nå.
  • Ransomware som låser disken krypterar MBR (Master Boot Record) och/eller kritiska filsystemstrukturer och hindrar på det sättet användaren från att komma åt operativsystemet.
  • Ransomware med kryptering krypterar användarens filer som är lagrade på disk.

Varning

I allmänhet kräver dessa typer av utpressningsprogram betalning, för det mesta i Bitcoin, Monero eller någon annan kryptovaluta som är svår att spåra. I gengäld hävdar databrottslingarna att de kommer att dekryptera låsta data och/eller återställa åtkomsten till den drabbade enheten. Men det finns absolut inga garantier att cyberbrottslingarna kommer att fullgöra sin del av överenskommelsen (ibland klarar de inte ens att göra det, antingen avsiktligt eller på grund av inkompetent programmering). Därför rekommenderar ESET att du inte betalar den begärda summan, åtminstone inte innan du har kontaktat ESETs tekniska support för att undersöka möjligheterna till avkryptering.

Ransomware image

Varför behöver små och medelstora företag bry sig om utpressningsprogram?

Enligt Ponemons undersökning 2017 Cybersäkerhet i små och medelstora företag (SMB) hade vartannat företag i undersökningen varit med om en attack med utpressningsprogram under de senaste 12 månaderna, en del företag flera gånger. För de flesta (79 %) infiltrerades deras filsystem på grund av någon form av social manipulation.

CSME chart

Denna statistik visar på två saker:

1. I motsats till vad de själva tror, blir små och medelstora företag en alltmer intressant måltavla för databrottslingar.

2. Små och medelstora företag är värdefullare mål än konsumenter och samtidigt mer sårbara än stora företag eftersom små och medelstora företag vanligtvis saknar de ekonomiska och säkerhetsmässiga resurser som deras större motsvarigheter har. Just denna kombination gör dem till ett ”utmärkt mål” för angriparna.

Läs mer

I samma rapport konstateras också att PC var de mest utsatta enheterna (78 %), följt av mobiltelefoner och surfplattor (37 %) och företagets servrar (34 %). Om attacken med utpressningsprogram lyckades betalade majoriteten (60 %) av offren den begärda lösensumman. Beloppet de betalade var i genomsnitt högre än 2150 USD. Men det finns bättre sätt att hantera hotet från utpressningsprogram, genom att fokusera på förebyggande åtgärder och dataåterställning.

Hur håller du er organisation skyddad?

Grundläggande steg för skydd och återställning:

  • Säkerhetskopiera regelbundet era data och lagra minst en fullständig säkerhetskopia av era mest värdefulla data offline
  • Se till att all programvara och alla appar – inklusive operativsystem – är patchade och uppdaterade
  • Använd en tillförlitlig lösning för säkerhet i flera lager och se till att den är patchad och uppdaterad

Ytterligare skyddsåtgärder

  • Minska attackytan genom att inaktivera eller avinstallera onödiga tjänster och program
  • Skanna nätverken med avseende på riskabla konton med svaga lösenord och se till att de stärks
  • Begränsa eller förbjudanvändning av protokollet RDP (Remote Desktop) från platser utanför nätverket alternativt aktivera autentisering på nätverksnivå
  • Använd ett virtuellt privat nätverk (VPN) för anställda som kopplar upp sig mot företagets system på distans
  • Se över brandväggens inställningar och stäng alla portar som inte är nödvändiga och som kan leda till infektion
  • Se över regler och policyer för trafik mellan interna företagssystem och externa nätverk
  • Lösenordsskydda konfigurationen av era säkerhetslösningar för att förhindra att de inaktiveras av en angripare
  • Dela upp företagets LAN i undernät och anslut dem till brandväggar för att begränsa lateral förflyttning och åtkomlig attackyta för utpressningsprogram eller andra attacker, inom nätverket
  • Skydda era säkerhetskopior med tvåfaktorsautentisering eller multifaktorsautentisering
  • Utbilda regelbundet personalen i att känna igen cyberhot och hur man hanterar försök till social manipulation
  • Begränsa åtkomsten till delade filer och kataloger till endast dem som behöver det, inklusive att markera innehållet som skrivskyddat, och bara ändra denna inställning för personal som måste ha åtkomst med skrivrättighet
  • Aktivera detektering av potentiellt osäkra eller oönskade program (PUSA/PUA) för att identifiera och blockera verktyg som skulle kunna missbrukas av angripare för kringgå säkerhetslösningen
Ransomware image

Inget företag är helt säkert från utpressningsprogram

Om ditt företag inte har utsatts för utpressningsprogram kan du frestas att ta för givet att hot av denna typ bara gäller större organisationer. Statistiken visar att det inte stämmer. Även en riktad attack kan tappa kontrollen och ge urskillningslös skada till och med globalt. En attack med skadeprogram i Ukraina i juni 2017 som av ESET detekterades som Diskcoder.C (även känd som Petya och NotPetya) hittade snart vägen ut ur landet. Senare framkom det att detta var en välorganiserad attack mot en distributionskedja, som infiltrerade populära bokföringsprogram för att angripa och skada ukrainska organisationer, men där man tappade kontrollen och många globala och mindre företag infekterades och orsakade skador på hundratals miljoner USD.

Ett annat skadeprogram, som av ESET detekterades som masken WannaCryptor.D (även känd som WannaCry), spreds snabbt med hjälp av det från NSA läckta verktyget EternalBlue, vilket utnyttjade en sårbarhet i nätverksprotokollet SMB (Server Message Block) som huvudsakligen används för delad åtkomst till filer och skrivare. Trots att Microsoft släppte rättelser för de flesta av de utsatta, sårbara Windows-operativsystemen nästan två månader före attacken lyckades WannaCryptor.D infiltrera nätverken hos tusentals organisationer över hela världen. Kostnaderna för skadorna från detta cyberangrepp har uppskattats till flera miljarder USD.

Säkerhetet från ESET skyddar mot utpressningsprogram

ESET Endpoint Protection Advanced Cloud bundle card

Skaffa effektivt skydd mot utpressningsprogram med ESETs endpoint-skydd i flera lager, inklusive Ransomware Shield och LiveGrid®-skydd via molnet och skydd mot nätverksangrepp. Kombinera ESETs kraftfulla genomsökningsmotor med ESET Cloud Administrator (ECA) och få detaljerad insyn i nätverket.