Ransoware är en typ av hot som skapar huvudvärk för många IT-säkerhetschefer på grund av hur mycket det kan påverka affärsverksamheten.
Cybersäkerhetsföretaget Proofpoint publicerade nyligen siffror som visade att 44 procent av företag runt om i världen utsatts för utpressningsprogramvaror under 2020.
Av dessa beslutade sig 34 procent för att betala lösensumman för att återfå data och operationell funktionalitet.
– Det är värt att notera att 98 procent av de företag som valde att betala lösensumma sedan återfick sin data, vilket är en ökning med 20 procent från året innan. Det tyder på en viss professionalisering av processen, där cyberkriminella genom att framstå som pålitliga vill öka betalningsviljan hos företagen, säger Andrew Rose, Resident CISO på Proofpoint.
Andra tecken på professionalisering av processen är att angripare i flera fall anpassat lösensumman så att den motsvarar den utsatta organisationens försäkringsvillkor, för att öka möjligheterna att företagen ska kunna betala. Utöver detta erbjuder också en del av de kriminella grupperingarna teknisk support via anonyma plattformar för att stödja företagen att återskapa data när lösensumman betalats.
Det har också funnits fall där angriparna gett råd till utsatta organisationer som betalat, hur de ska göra för att undvika att utsättas igen. I dessa råd finns en del värdefulla insikter, och därför har Proofpoint nedan sammanställt de viktigaste insikterna från dessa råd, med fokus på hur man bäst undviker framtida attack med utpressningsprogramvara.
Skaffa e-postfiltrering
Siffror visar att ungefär 94 procent av alla cyberattacker börjar med e-post och tidigare undersökningar från Proofpoint visar att utpressningsprogramvaror i allt högre utsträckning använder sig av epostbaserade nätfiskeattacker. Därför spelar e-postfiltrering en viktig roll.
Testa medarbetarna
Av de attacker som sätts igång med e-post kräver mer än 99 procent att mottagaren på något sätt agerar för att möjliggöra intrånget. Eftersom angripare ofta går på medarbetare är det viktigt att dessa har rätt kunskap för att upptäcka och hantera hot.
Granska regelverk för lösenord
Regelverk för lösenord behöver vara robusta och exempelvis använda tvåfaktorsautenticering för externa enheter. Utpressningsprogramvaror försöker ofta utöka befogenheterna för att kunna nå och flytta stora mängder kritiska data innan den krypteras. Dessa angripare försöker ofta identifiera svaga interna lösenord eller exempelvis dra nytta av filer med viktiga lösenord för domänen. Därför är det viktigt att ha väl fungerande rutiner och regelverk för lösenord.
Skaffa bättre EDR-teknik (Endpoint detection & response)
Cyberkriminella blir allt mer kreativa i sina attacker och en aktuell trend är att använda legitimt installerade verktyg, exempelvis PowerShell, för att nå sina mål. Det finns också fall där exempelvis BitLocker använts för att låsa enheter. Signaturbaserade lösningar för att upptäcka skadlig programvara räcker inte längre, istället behövs smartare skydd som kontinuerligt bevakar misstänkt beteende och återställer där det behövs.
Skydda och isolera system
Det är viktigt att segmentera företagens system, nätverk och data för att minska risken att intrång i ett system, påverkar andra delar. Operativa IT-system, de som används mycket och exempelvis hanterar e-post, bör vara separerade från de data som är mest kritiska.
Lagra offline
Det behövs mer diskussioner kring backup, eftersom vanligt förekommande nätbaserade automatiserade backups visserligen är bekväma och sömlösa, men sårbara för attacker. Får en angripare tag på adminbehörigheter kan de radera eller skada företagets backup och göra att data inte kan återställas. Därför bör alternativ med offline-backup finnas med i bilden.
– Det är sällan som goda råd kommer från kriminella, samtidigt kan det vara värdefullt att uppmärksamma när så görs, vilket de sex punkterna ovan visar. Många attacker med utpressningsprogramvaror sker där möjligheten finns, säger Andrew Rose.