Hvordan beskytte seg mot løsepengeangrep?

Av Frank Haugnes, Senior Information Security Specialist

Løsepengeangrep er infeksjoner av skadevare typisk spredt med phishing e-post. NorSIS bekreftet i rapporten "Trusler og trender 2019-2020" at 56% av norske bedrifter har vært angrepet eller forsøkt angrepet av ondsinnet e-post.

Kjente kriminelle taktikker og teknikker

Vi bruker ofte rammeverket MITRE ATT&CK® for å definere angripernes taktikker og teknikker, og som grunnlag for utvikling av trusselmodeller og metoder. Under er en kartlegging fra Group-IB av taktikker og teknikker benyttet for angrep med løsepengeangrep, hvor de vanligste er markert med rødt og de minst brukte taktikkene grønt.

 
Oversikten viser også ATT&CK® ID. Les mer om ID-ene og ytterligere detaljer om individuelle TTP-er (Tactics, techniques and procedures) her.

Forebygging er beste forsvar

Cyberkriminelle utvikler stadig nye angrepsteknikker, og alle virksomheter bør anta at skadelig programvare kommer til å infiltrere virksomheten, arbeide gjennom forebygging for å begrense skadene og samtidig øke responsevnen.

• Gjennom en forsvar-i-dybden-strategi oppnår virksomheten beskyttelse med flere sikkerhetstiltak lagvis. Det øker muligheten til å oppdage skadelig programvare, og stoppe trusselen før den forårsaker reell skade. Angriperne kommer seg forbi sikkerhetstiltakene ved å lure ansatte til å avsløre et passord eller klikke på et infisert vedlegg, via en phishing e-post, lenke eller et vedlegg kamuflert som innhold mottakeren stoler på, eller gjennom "cracked" programvare lastet ned fra uoffisielle kilder.
• Ansatte må trenes og bevisstgjøres slik at de vet hva de bør gjøre når de mistenker svindel
• Beskytt virksomheten mot skadevare ved å sjekke alle innkommende og utgående e-poster
• Beskytt endepunkter og nettverk. Brannmurer bør konfigureres til å blokkere tilgang til kjente ondsinnede IP-adresser ved å benytte nettverksbeskyttelse som detekterer og stopper kryptering dersom skadevare kommer inn i nettverket.
• Oppdater alt, alltid. Skadevare benytter kjente sårbarheter for å komme seg inn i nettverk og systemer. Alle operativsystemer, programvare og fastvare må derfor kontinuerlig oppdateres, på alle enheter. For en mer proaktiv og strukturert tilnærming anbefales et sentralisert patch-management-system.
• Beskytt kritiske roller. Brukere bør kun tildeles og bruke administrativ tilgang når det er absolutt nødvendig. Når vanlige brukere ikke har rettigheter til å installere eller kjøre programvare, forhindrer en at ikke-klarerte prosesser starter, hvilket begrenser en eventuell infeksjon.
• Bruk flerfaktorautentisering for alle tilganger
• Bruk «hvitelisting» og begrens hvilke programmer ansatte kjøre.

Hvordan sikre forretningskontinuitet

Regelmessige sikkerhetskopier er ett av de viktigste tiltakene for å redusere skadene påført av et mulig løsepengeangrep. Når en selv kan gjenopprette filer fra sikkerhetskopier nøytraliserer det trusselen fra de kriminelle. Vi anbefaler at det alltid tas sikkerhetskopier av alle data og systemer.

Beskytt sikkerhetskopiene og lagre disse på separate fysiske enheter eller i en sikker og verifisert løsning for sky-backup. Sørg for å ha rask tilgang til sikkerhetskopiene ved en nødsituasjon. Sjekk også sikkerhetskopiene regelmessig for å sikre at all viktig data er lagret, at sikkerhetskopien ikke er skadet, og at den kan gjenopprettes raskt.

Kontroller nettverket ved å gjennomføre en cybersikkerhetsrevisjon. Ved å teste nettverket kan eventuelle svakheter oppdages, og utbedringer i perimeterbeskyttelsen eller inne i nettverket gjennomføres.

Hva hvis virksomheten er infisert?

Ha en beredskapsplan og bruk den dersom virksomheten blir rammet. Videre spredning begrenses ved å bryte nettverksforbindelsen til maskinen som er angrepet. Dette må ikke forveksles med omstart av maskinen! Flere typer løsepengeangrep drar fordel av omstart for å få tilgang til filer eventuelt låst av operativsystemet. Alle brukere må isoleres fra nettverket for å hindre at sårbare maskiner utsettes for angrep. Slå av systemer som ikke har noen tilgjengelig sikkerhetsoppdatering.

Skadevaren fjernes ved å klargjøre verktøy på en maskin som ikke er infisert. Deretter kjøres samme verktøy på de infiserte maskinene. Når skadevaren er fjernet, kan eventuell tapt data gjenopprettes fra en sikkerhetskopi. Det er ofte kritisk for virksomheten at data ikke går tapt, og sikkerhetskopier bør derfor gjøres lett tilgjengelige, slik at brukerne raskt kan gjenopprette data.

Hvis en ikke har sikkerhetskopiert alle filene, kan en i noen tilfeller ta i bruk verktøy for dekryptering av låste filer. Det finnes nettsteder med oversikter over dekrypteringsverktøy til ulike løsepengevirus, og dersom det ikke lar seg gjøre å dekryptere filene selv, vil en spesialist på gjenoppretting av data kunne bistå.

Og sist, men ikke minst – aldri betal kriminelle

Løsepengeangrep er kriminelt. Dersom ansatte, eller virksomheten, blir offer for et angrep, bør det aldri betales løsepenger. Det er ingen garanti for at en for får tilbake dataene, men utbetalte løsepenger oppmuntrer kriminelle til å fortsette sin virksomhet. Vi anbefaler på det sterkeste at hendelsen rapporteres til politiet.

Illustrasjon av løsepengeangrep. Kriminelle er blitt mer sofistikerte, så forsvaret krever i dag tiltak på flere nivå.