Hantera utpressningsangrepp

Råd gällande förebyggande och hantering av informationsstöld och utpressningsangrepp.

Det förebyggande säkerhetsarbetet är avgörande för vilken motståndskraft en organisation har för att kunna hantera ett utpressningsangrepp. Nedan följer översiktliga rekommendationer om vad som kan göras, för att både förebygga och hantera den här typen av angrepp.

Utpressningsprogramvara eller utpressningstrojan (eng. ransomware), kan innebära att hela eller delar av en verksamhets it-system och dess information blir krypterad och otillgänglig. Därefter är det vanligt att angriparna kräver den drabbade verksamheten på en lösensumma för att ge tillbaka informationen och återställa miljön. I många fall sker också så kallad exfiltrering, vilket innebär att informationen kopieras till en extern plats som angriparen kontrollerar. Angriparna utövar därmed dubbel utpressning med hot att offentliggöra informationen om inte lösensumman betalas.

Kontakta CERT-SE

Om du misstänker att er organisation har drabbats av ransomware, kontakta gärna CERT-SE för råd och stöd i ett tidigt skede på cert@cert.se eller 010-240 40 40.

Vid pågående angrepp

Ett viktigt första steg i incidenthanteringen är att identifiera vad som hänt och vilka system som är påverkade, för att därefter kunna börja vidta skadebegränsande åtgärder. Se CERT-SE:s incidenthanteringsprocess (https://www.cert.se/rad-och-stod/) för översiktliga steg i hanteringen. Här är konkreta råd vid händelse av utpressningsangrepp:

• Ta hjälp av experter på området om inte rätt kompetens finns tillgänglig internt.
• Isolera påverkade enheter/konton och revokera aktiva sessioner.
• Undersöka förekomst av befintlig avkrypterare [1].
• Betala aldrig lösensumma. Det finns inga garantier att system återställs, att filer dekrypteras eller att angriparen inte återkommer med nya krav och hot.
• Anmäl händelsen i ett tidigt skede, till Polisen och IMY om det rör en personuppgiftsincident. Incidentrapportera också till lämpliga myndigheter efter bedömning av incidentens art, enligt NIS-direktivet eller enligt säkerhetsskyddslagen för säkerhetskänslig verksamhet.
• Säkerställ i er utredning att angreppet är åtgärdat och att angriparen inte har fått fotfäste i er it-miljö genom till exempel att skapa behörigheter och/eller skadlig kod.
• Innan återställning genomförs med säkerhetskopior, säkerställ att kopiorna inte också är påverkade av angreppet.
• Ta kontakt med CERT-SE för råd och stöd.

Finska cybersäkerhetscentret har publicerat en vägledning som riktar sig till ledningen och beslutsfattare i organisationer som beskriver hur de bör agera vid angrepp med utpressningsprogram, Åtgärder vid angrepp med utpressningsprogram – ledningens anvisningar.

Skapa tydlighet genom att upprätta en kommunikationsplan

Data som på olika sätt exponerats för obehöriga, särskilt i antagonistiskt syfte, är bäst att betrakta som förlorad, då man sällan kan bedöma hur informationen kan komma att användas i ett nästa steg. För att mildra konsekvenserna och skapa tydlighet är det därför viktigt att kommunicera både internt och externt. Internkommunikationen behöver förmedla vad som har hänt och hur medarbetare ska agera vid eventuella frågor i syfte att motverka oro internt i organisationen. Externkommunikationen behöver skapa tydlighet, i synnerhet till de drabbade, om situationen.

Varje situation kräver en genomtänkt och anpassad kommunikationsplan. Tänk igenom kommunikationsbehoven. Vilka behöver nås av information, när och hur ofta? Utse en person som ansvarar för informationsdelning och vid behov en talesperson. Kommunicera tidigt, tydligt och endast fakta — detta motverkar spekulationer som kan störa incidenthanteringen.

Försvåra angrepp med förebyggande arbete

Organisationer behöver på förhand skapa sig en uppfattning om vilka de mest verksamhetskritiska systemen är, vad verksamheten kan klara sig utan och hur länge för att kartlägga vilka konsekvenser den här typen av angrepp skulle kunna få för verksamheten. Utifrån dessa slutsatser kan verksamheten sedan på bästa sätt bygga, anpassa och underhålla sitt skydd. En viktig faktor är att stärka skyddet mot intrång genom att såväl säkerställa att man inte exponerat system som inte ska vara exponerade, att de inte är sårbara för angrepp. Det är viktigt att skapa strukturer, rutiner och en säkerhetskultur för att minimera konsekvenserna i de fall en hotaktör på olika sätt försöker tillskansa sig åtkomst till system, till exempel genom nätfiskeangrepp.

Grunden för att skydda sig mot cyberangrepp, (inkl. utpressningsangrepp) är därför att bedriva ett systematiskt arbete med informations- och cybersäkerhet. I arbetet inkluderas att arbeta förebyggande och att kontinuerligt anpassa skyddet utifrån organisationens behov och risker. Mer information och metodstöd finns på MSB:s webbplats, Systematiskt informationssäkerhetsarbete.

Ett systematiskt arbetssätt i kombination med olika säkerhetsåtgärder som berör både system/teknik och användare, försvårar eller gör angreppet kostsammare för angriparen. MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:07) samt vägledning om säkerhetsåtgärder i informationssystem kan med fördel användas av alla organisationer som stöd i it-säkerhetsarbetet. Det nationella cybersäkerhetscentret (NCSC) har tagit fram rapporten Cybersäkerhet i Sverige 2022 – Rekommenderade säkerhetsåtgärder vilken kan utgöra ett stöd i arbetet med att prioritera vad som behöver göras.

Planera för det fall att verksamheten blir utsatt för ett angrepp

Vid ett angrepp är det viktigt att i förväg ha förberedelser på plats så att angreppet kan hanteras och motverkas på bästa sätt. Följande är några av de frågor som behöver besvaras och planeras för:

• Hur ska angreppet begränsas så långt som möjligt?
• Hur ska analys och åtgärder genomföras för att säkerställa ej direkt påverkad it-miljö?
• Hur ska den löpande verksamheten upprätthållas?
• Hur ska en stab organiseras för att hantera händelsen?
• Hur ska man nå ut med kommunikation via alternativa kanaler vid behov?

För att säkerställa kontinuitet vid störningar är det viktigt att skapa medvetenhet och förståelse kring de rutiner som satts upp. Öva på hantering av fiktiva angrepp för att de planer och rutiner som beslutats ska kunna utvärderas.

Rekommendationer för driftpersonal

Det finns anledning att ytterligare skärpa säkerhetsråden för att skydda verksamheten som specifikt berör utpressningsvirus mot bakgrund av senast rapporterade händelser. Här följer en del konkreta åtgärder som kan behöva ses över.

Jobba för en god säkerhetsmedvetenhet

En del av det förebyggande arbetet är att informera och utbilda organisationens användare om förekomsten av olika typer av phishing, även kallat nätfiske. Utbilda dem i att göra en rimlighetsbedömning innan de klickar på länkar eller bifogade filer i ett e-postmeddelande. Se MSB:s kampanj Tänk säkert! för råd och material att dela inom den egna organisationen för att höja användarnas säkerhetsmedvetenhet samt CERT-SE:s temasida för nätfiske och artikel om god cyberhygien.

Översyn av säkerhetslösningar

Gör en översyn av de säkerhetslösningar och tjänster som organisationen nyttjar, och aktivera de säkerhetsfunktioner som finns tillgängliga. Sådana lösningar kan exempelvis vara:

• Aktivera klientskydd och då även på servrar.
• Applicera en vitlista där endast godkända program får exekveras med hjälp av exempelvis Applocker (i Windows-miljöer).
• Aktivera DMARC-policy med SPF och DKIM i e-postsystemet för att försvåra för angripare att imitera legitima användare.
• Implementera lösningar som kan identifiera och blockera skadliga länkar och filer i e-post samt en lösning som kan blockera åtkomst till skadliga hemsidor och IP-adresser för användarna.
• Aktivera multifaktorsautentisering (MFA) där det är möjligt. Detta försvårar för en angripare att återanvända stulna inloggningsuppgifter, vilket är särskilt viktigt för system för fjärranslutning.

Ta regelbundna säkerhetskopior

• Skapa säkerhetskopior av data och systemkonfigurationer/-inställningar.
• Testa säkerhetskopiorna och återställningsrutiner med jämna mellanrum. Öva på återställning.
• Säkra era kopior genom att tillämpa den så kallade ”3-2-1-regeln”, som innebär tre säkerhetskopior lagras på två olika media, varav en av dessa är helt frånskild från nätverket (exempelvis på lagringsmedia offline).

Härda er it-miljö

• Uppdatera operativsystem och mjukvaror till den senaste versionen, så de överensstämmer med leverantörens rekommendationer, i synnerhet för de system som är exponerade mot internet.
• Använd endast säkra och i första hand krypterade protokoll. Inaktivera tjänster och protokoll som inte behövs eller används.
• Minska exponeringen mot internet. Endast servrar som levererar publika tjänster bör vara åtkomliga via internet och bara på de portar som krävs för ändamålet. Övriga portar som inte behöver vara åtkomliga utanför det lokala nätverket ska blockeras.
• Använd säkra programinställningar, särskilt för e-post, ordbehandlare och webbläsare. Utgå ifrån leverantörers egna härdningsguider för säkrande av it-miljön.
• Förhindra att oönskade makron kan exekveras, genom att centralt styra inställningarna så att inte användaren själv tillåts välja lägre säkerhetsnivå.
• Aktivera den lokala brandväggen på både klienter och servrar. Håll regelverket i dessa uppdaterat och revidera kontinuerligt.
• Sträva mot ett segmenterat nätverk, med både fysisk och logisk separation. Implementera brandväggsregler som förhindrar laterala rörelser i nätverket.

Begränsa behörigheter

• Använd inte gemensamma inloggningsuppgifter. För spårbarhet ska varje användare och administratör använda ett personligt konto.
• Använd inte administratörskonton till vardagliga sysslor, t.ex. läsa e-post eller surfa.
• Begränsa behörigheterna till de strikt nödvändiga för att era användare ska kunna genomföra sina arbetsuppgifter.
• Inaktivera och rensa behörigheter på oanvända konton, missa inte grupptillhörigheter.
• Minska antalet permanenta medlemmar i grupper med höga behörigheter som t.ex. Domain Admins till ett absolut minimum.

Övervaka

En god inblick i it-miljön är avgörande för förmågan att upptäcka cyberangrepp eller andra anomalier. Ta hjälp av er lösning för övervakning i syfte att få en uppfattning om vad som motsvarar organisationens normalläge. Att känna sin egen organisation är en förutsättning för att kunna tillhandahålla ett fullgott skydd för it-miljön. Vilka är er organisations ”crown jewels”?

Alla varningar och anomalier som rapporteras från säkerhetsprodukter bör utredas noggrant. Konfigurera därför er övervakning så att de larm och varningar som ges går att agera effektivt på.

Det är viktigt att spara loggar under en lång tidsperiod eftersom det är vanligt att det initiala intrånget har skett relativt långt innan angreppet blir synligt. Att genom loggar kunna följa intrånget är viktigt för att kunna genomföra en lyckad utredning och också minimera skadan.

Överväg att införskaffa ett logghanteringssystem som gör det enklare att, vid behov, analysera logdata från olika verktyg över tid. Dessa system kan även hjälpa att bibehålla logginformationen om en aktör raderar loggarna på ursprungssystemen och förenklar utredning vid incident.

Exempel på system/tjänster/händelser att övervaka är:

• Lösningar för fjärråtkomst (t.ex. RDP eller VPN).
• Inspektera nätverkstrafik, både intern och extern (inkommande/utgående) trafik.
• Förändringar och tömning av säkerhetsloggar, samt användning av PowerShell.
• Nyttjande av administratörskonton.
• Förändringar av behörigheter.
  • Skapande av nya konton
  • Suspekta inloggningar som t ex inloggningar utanför arbetstid eller från andra länder om detta är onormalt i er organisation.
• Anslutningar mot tredjepartsleverantörer, samarbetspartners eller andra externa aktörer som möjligtvis har en lägre säkerhetsnivå och därmed gör er organisation sårbar.

Mer information

• Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7)

• Vägledning: säkerhetsåtgärder i informationssystem

• Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder

Källor

[1] https://www.nomoreransom.org/

Senast uppdaterad: 2025-07-08 13:05