Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Uppdaterad | Publicerad - ransomware, utpressningsvirus, backup, Sårbarhet

Utpressningsvirus trendar

Mindre organisationer, såsom kommuner eller små och medelstora företag, kan drabbas särskilt hårt av ett cyberangrepp som tex. ransomware. Nu är hög tid att investera i nödvändiga förebygganden åtgärder.

Ransomware, eller utpressningsvirus, har drabbat många organisationer i flera länder, inte minst i USA [1, 2]. Samhällsfunktionerna har lamslagits och i flertalet fall inneburit omfattande kostnader i både verksamhetsförluster, incidenthantering men också i betalda lösensummor till angriparna. I Europa har vi inte heller varit förskonade. Under våren kunde vi följa hur Norsk Hydros verksamhet låstes av LockerGoga, vilket estimerat kostat aluminiumföretaget över 300 miljoner norska kronor [3]. I somras angreps minst fyra sjukhus i Rumänien [4], nyligen har flera kommuner i både Finland och Sverige drabbats av utpressningsvirus.

DHS CISA har publicerat rekommendationer gällande en trend som kan liknas vid en epidemi av välriktade angrepp mot flera olika organisationer [5].

CERT-SE befarar också att det här är ett fenomen som trendar och vill därför uppmana inte minst kommuner och andra mindre organisationer att vidta förebyggnade åtgärder nu. Det går inte att till 100 % skydda sig från angrepp, men förebyggnade åtgärder såsom att tex. bra rutiner för backup, utbilda organisationen i it- och informationssäkerhet samt köra säkerhetsuppdateringar, underlättar hanteringen och begränsar skadan. Möjligheten att återställa verksamheten till normalitet snabbare samt hålla nere kostnaderna när angreppet är ett faktum, kan göra betydande skillnad för små organisationer med små it-resurser.

Det är med andra ord hög tid att investera snabbt i väsentliga åtgärder för att förbättra er organisations cyberhygien.

Vad möjliggör dessa angrepp?

Det vanligaste tillvägagångsättet att plantera ett utpressningsvirus är via phishing-mejl som sänds med en betrodd avsändare så att mottagren luras att klicka på en länk eller öppna en bifogad fil. Den den mänskliga faktorn möjliggör i det här fallet angreppet och därför är det oerhört viktigt att utbilda organisationens medarbetare, men metoderna utvecklas och det kan vara mycket svårt att upptäcka phishing. Det senaste året har kampanjer mot e-postkonton i Office 365 ökat [6]. Ett lyckat phishing-angrepp där angriparen kommer över kontouppgifter kan vara ett insteg för vidare angrepp som tex. att använda dessa till att utnyttja ett företags VPN eller RDP [7].

Tekniskt förebyggande

  • Ta säkerhetskopior och förvara dessa offline (backup)
  • Kör regelbundet nödvändiga säkerhetsuppdateringar och laga sårbarheter (patch) samt försäkra dig om att alla säkerhetslösningar är uppdaterade.
  • Segmentera nätverket för att försvåra för angriparen att komma åt flera system samt utveckla strategier för att försvåra datastöld.
  • Vitlista applikationer, begränsa behörigheter samt använd multifaktor autentisering.
  • Gå igenom er plan och öva rutiner för katastrof och återställning av system. Se till att få målsättningar med planer och rutiner förankrade hos chefer/ledning.
  • Inventera vilka anslutningar som finns mot olika externa (tex. kunder, partner, leverantörer, enskilda användare) som är i kontakt med ert nätverk.
  • Omvärldsbevaka och jobba proaktivt med att dra lärdom från hur andra hanterat incidenter.

När angreppet är ett faktum:

  • Isolera det drabbade systemet. Stäng av och koppla bort andra enheter som finns i samma nätverket som den infekterade datorn.
  • Panikhantera inte. Om ni i ett för tidigt skede raderar diskar m.m. finns det risk att ni förstör bevis som sedan försvårar utredningen.
  • Ta hjälp av erfarna experter för att lösa det inträffade. Kontakta er it-leverantör och CERT-SE
  • Kontrollera säkerhetskopior, att de lagras offline och om möjligt kör en antivirusskanning.

CERT-SE rekommenderar att alltid polisanmäla cyberangrepp samt att aldrig betala lösensumma vid angrepp av utpressningsvirus. Det finns ingen garanti att filerna blir upplåsta.

Tips och vägledning:

MSB: Kommunens informationssäkerhet – en vägledning
https://www.msb.se/sv/publikationer/kommunens-informationssakerhet--en-vagledning/

MSB: Metodstöd för systematiskt informationssäkerhetsarbete
https://www.informationssakerhet.se/metodstodet/

NCSC UK: Small Business Guide: Cyber Security
How to improve cyber security within your organisation - quickly, easily and at low cost.
https://www.ncsc.gov.uk/collection/small-business-guide

DHS CISA: Protecting Against Ransomware
https://www.us-cert.gov/ncas/tips/ST19-001

Källor:

[1] https://www.bbc.com/news/uk-49361260
[2] http://www.scmagazine.com/home/security-news/ransomware/rockville-center-school-district-pays-100000-ransom/
[3] https://www.hydro.com/sv-SE/media/nyheter/2019/first-quarter-2019-results-down-on-volumes-prices-and-raw-material-costs/
[4] https://www.healthcareitnews.com/news/europe/ransomware-hits-romanian-hospitals-disrupts-operations
[5] https://www.dhs.gov/cisa/blog/2019/08/21/cisa-insights-ransomware-outbreak
[6] https://www.cert.se/2018/06/vag-av-natfiske-mot-e-postkonton-i-office-365
[7] https://www.cert.se/2019/05/kritisk-sarbarhet-i-windows-remote-desktop-services