Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Svenska företag betalar mest i världen när de drabbas av ransomware

| Linda Kante

En ny studie visar att svenska företag betalar mest i världen för att hämta sig från angrepp med gisslanprogram, så kallat ransomware. Dessutom är vi det land som efter Indien har störst andel företag som betalar lösensumman.

Teckna din prenumeration på Aktuell Säkerhet här

I IT-säkerhetsföretaget Sophos globala studie ”The State of Ransomware 2020” framgår att kostnaden för att hantera ett angrepp med gisslanprogram i genomsnitt är cirka 7,5 miljoner kronor. I Sverige är dock den genomsnittliga kostnaden betydligt högre – cirka 26 miljoner kronor.

– Sverige utmärker sig verkligen och det finns uppenbarligen en stor förbättringspotential i många organisationer. Det är inte hållbart att fortsätta gå cyberkriminella till mötes på det här viset. Attackerna lär knappast avta och de blir dessutom allt mer sofistikerade. Det behövs bättre kunskap samtidigt som företagen behöver ta till sig av de lösningar som minskar risken för att drabbas av gisslanprogram, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Studien bygger på svar från 5 000 IT-ansvariga i tjugosex länder och tar hänsyn till de totala kostnaderna för att återfå och återställa krypterad data. Förutom själva lösensumman ingår kostnader för bland annat driftstörningar, merarbete, förlorade affärsmöjligheter och ökade verksamhetskostnader. Efter Sverige är Japan det land där företag i genomsnitt betalar mest för angrepp med gisslanprogram. I andra änden av skalan finns länder som Sydafrika, Tjeckien och Polen där företagen betalar minst.

Anledningen till att Sverige och Japan ligger i topp kan delvis bero på att det är länder med relativt höga lönekostnader. Det påverkar i sin tur negativt när företag ska ta sig an det ofta tidsödande arbetet med att åtgärda attacker och återställa data. Stillestånd och driftstörningar blir också dyrt i länder med höga lönekostnader.

Låt inte dina säkerhetskopior bli bakdörren in för cyberbedragarna

| Linda Kante

Skadorna som ransomware kan åsamka företag är häpnadsväckande. De företag som känner att de inte har något annat val än att betala cyberbrottslingar för att låsa upp sina filer sätter inte bara företagets pengar, utan även dess rykte på spel. Enligt en rapport av Cybersecurity Ventures, förutspås de globala kostnaderna för ransomware-relaterade skador uppgå till 20 miljarder dollar år 2021.

Även om förebyggande insatser är det bästa sättet att skydda sig mot ransomware, så är det inte alltid möjligt i det rådande hotlandskapet. Ovan nämnda rapport förutspår även att en organisation kommer att utsättas för en ransomware-attack var elfte sekund 2021. I slutändan kan nästan alla datorsystem brytas igenom. Så företag måste vara beredda på att obevekliga cyberattacker är att räkna med och ha en åtgärdsplan på plats om det värsta skulle inträffa.

Att ha säkerhetskopior tillgängliga både offsite och offline, samt robusta katastrofåterställningsmöjligheter, kan hjälpa företag att återställa data som har krypterats av angripare. Men riskerna och möjligheterna med ransomware varierar. Därför behöver företag ha en förebyggandeplan och säkerställa att deras säkerhetskopieringsdata inte kan användas mot dem.

Hotlandskapet utvecklas
Det finns en växande mängd fragmentering i ransomware-attacker av idag. Chief Security Officers (CSO:er) associerar huvudsakligen ransomware med datakryptering. Detta innebär att hotaktörerna får tillgång till känslig eller uppdragskritisk data och krypterar dem. ”Dealen” i det här scenariot är att företaget betalar en lösensumma i utbyte mot att filer dekrypteras och återgår till sin ursprungliga och användbara form. Detta är långt ifrån det enda hotet för CSOer att beakta. I andra fall kan IT-bedragare komma att ladda upp data istället för att kryptera dem och begära en lösensumma för att inte ”läcka” potentiellt känslig information till allmänheten.

Dessa förklädnader och beteenden gör det mycket svårt för företag att konsekvent försvara sig mot det växande hotlandskapet. Den gyllene regeln för organisationer att följa är att upprätthålla en tydlig bild av vad som är ett normalt beteende inom sin egen IT-infrastruktur. Detta kan uppnås genom kontinuerlig övervakning av data och molnlagring, samt hävstångsanalyser av nätverk, operativsystem och applikationer. Denna ökade medvetenhet om hur en säker lägestatus ser ut kan göra misstänkt och skadlig aktivitet lättare att upptäcka, vilket är avgörande för en snabbare svarstid.

God användning av kryptering är en nyckelfaktor för organisationer. Om hotaktörer inte kan ”se” dina data, är det svårare för dem att använda dem mot dig. Enligt Duo’s Privacy in the Internet Trends report är 87 procent av webbtrafiken krypterad – en siffra som ökar hela tiden. Det är dock mindre tydligt hur stor procent av företagens data som är krypterad. En Zscaler’s IoT in the Enterprise-rapport visade att 91,5 procent av trafiken på företagens IoT-nätverk inte är SSL-krypterad . Dessa kontrasterande siffror tyder på att det finns en betydande skillnad mellan hur företag i allmänhet utnyttjar kryptering, jämfört med stora webbplattformar och tjänsteleverantörer.

Är säkerhetskopior IT-bedragarnas högt värderade mål?
Ett område där kryptering är avgörande för att stärka organisationernas försvar mot ransomware och insiderhot är att implementera ”nearline”-kryptering på säkerhetskopior av data. Veeams Cloud Data Management-rapport från 2019 fann att över två tredjedelar av organisationerna producerar säkerhetskopior av sina data. Även om detta naturligtvis är bra, så kan du föreställa dig vilken utpressningspotential IT-bedragare har för att få tillgång till en säkerhetskopia av en organisations totala digitala infrastruktur?

Givet att de cyberbrottslingar som använder ransomware för utpressning mot företag letar efter data, kan de i teorin hitta allt de behöver i en organisations säkerhetskopierade filer. Dessa kan finnas i alla sorters former: från systemdiskar och borttagbara hårddiskar, till bandenheter offline och säkerhetskopior i molnet. Oavsett vilket alternativ ett företag väljer måste säkerhetskopieringsskyddet i sig själv försvaras mot attacker med en ultra-resistent lösning. Annars finns risken att företag, i sin strävan att försöka skydda sin verksamhetskontinuitet, istället skapar en skattkammare av dåligt skyddad information som kan användas mot dem.

För vissa hotbeteenden kan detta mildras genom att kryptera säkerhetskopior alla steg på vägen – alltifrån den första lokalbaserade diskresursen. Att kryptera säkerhetskopior är historiskt sett en bra idé när bandinspelningar lämnar IT-anläggningen eller om data överförs via Internet, men med tanke på de allt mer utvecklade moderna cyberhoten måste kryptering äga rum i närmare anslutning till säkerhetskopieringsprocessen. Den mest effektiva tekniken är dock den motståndskraft som säkerhetskopierad data erbjuder.

Säkerhetskopiering av data 

Detta leder oss till en diskussion kring ultra-resistent säkerhetskopiering – den enskilt mest effektiva lagringsformen med motståndskraft mot ransomware. Det finns flera sätt på vilka organisationer kan uppnå en skyddsnivå som garanterar att deras säkerhetskopiering av data inte blir till en bakdörr för cyberbedragarna.

Det första sättet är att använda sig av offline-band, som är en mycket effektiv typ av säkerhetskopieringslösning. Även om band ofta anses vara en gammaldags och ineffektiv lagringsteknik, så kan den inte överträffas när det kommer till att producera högst bärbara, säkra och tillförlitliga säkerhetskopior till låg kostnad. Liksom band, så har flyttbara enheter en offline-komponent genom att de inte är online, om de inte är i read-from– eller written-to-format. Detta gör dem till ett passande alternativ när det gäller att minska de säkerhetskopierade filernas synlighet för cyberbedragare.

Oändliga säkerhetskopior i molnet betyder att de säkerhetskopierade data som lagrats i molnet inte kan raderas till följd av ransomware, skadliga administratörer eller rena misstag. Detta finns tillgängligt i det publika AWS S3-erbjudandet, såväl som i ett antal S3-kompatibla lagringssystem (både lokalt och som publikt erbjudande). Vidare finns det så kallade Cloud Connect skydd som innebär att kopior av backup-data kan hållas helt utanför kundernas gränser. Dessa levereras via en tjänsteleverantör och hjälper slutanvändare att skydda sig mot ransomware, insiderhot och oavsiktlig radering.

CSO:er gör hela tiden en avvägning mellan bekvämlighet och säkerhet. Medan företag som genomgår digital omvandling har flera investeringsbehov, är det viktigt att skydda dem mot ransomware för att säkerställa företagets kontinuitet. Att ha säkerhetskopior offsite och offline kan hjälpa till att minska skadeverkningarna av ransomware. Kombinerat med rätt säkerhetslösningar och utbildning av anställda, kan ultra-resistent säkerhetskopiering för Cloud Data Management ge organisationer en trygghet i att de är så skyddade som de bara kan vara i det växande hotlandskapet.

Rick Vanover, senior director, Product Strategy, Veeam

Ryskt ransomware angriper Androidenheter

| Linda Kante

”Black Rose Lucy” är ett Malware-as-a-Service (MaaS)-botnet och en så kallad dropper – det vill säga en slags trojan som installerar skadlig kod – med ursprung i Ryssland, som angriper Androidenheter. Lucy upptäcktes först av säkerhetsforskare på Check Point i september 2018 och är nu tillbaka, efter nästan två år. 

Teckna din prenumeration på Aktuell Säkerhet här

Det återvändande botnetet besitter numera ransomware-funktioner som gör det möjligt att ta kontroll över enheter för att göra olika ändringar och installera nya skadliga applikationer. Lucy utger sig för att vara en app för videouppspelning. Vid nedladdning krypteras dock filer på den infekterade enheten och visar en text i webbläsaren som påstås vara ett officiellt meddelande från FBI, där den drabbade anklagas för att ha pornografiskt innehåll på sin enhet. Meddelandet anger också att användarens uppgifter har laddats ner till FBIs cyberbrottsavdelning och att enheten kommer att låsas, följt av en lista över juridiska brott som användaren anklagas för att ha begått. Den drabbade uppmanas betala 500 dollar i böter genom att fylla i sina kreditkortsuppgifter, något som är anmärkningsvärt eftersom de flesta ransomware-attacker utnyttjar BitCoin.

Check Points forskare har upptäckt mer än 80 förekomster av den nya varianten av Lucy, vilka främst har spridits via länkar i sociala medier och meddelandeappar.

– Vi ser en snabb utveckling av ransomware på mobila enheter. Skadlig programvara för mobila enheter blir allt mer sofistikerad och effektiv. Hackarna lär sig snabbt baserat på sina tidigare erfarenheter och kopplingen till FBI är en tydlig skräcktaktik. Förr eller senare räknar vi med att mobila enheter kommer drabbas av en stor skadlig ransomware-attack. Det är ett otäckt, men verkligt faktum. Vi uppmanar alla att tänka till två gånger innan de accepterar eller aktiverar någonting när de söker efter videor på sociala medier, säger Mats Ekdahl, säkerhetsexpert hos Check Point.

 

Ny ransomwaretrend: Double exortion

| Linda Kante

Double exortion är en ny trend inom utpressningsmjukvara och innebär att cyberkriminella lägger till ytterligare ett steg i en ransomwareattack. Innan hackarna krypterar den attackerades databas drar de ut stora mängder känslig information, som exempelvis kunddata, finansiella uppgifter, personlig information om anställda eller patientjournaler, och hotar att publicera den om inte lösensumman betalas.

Teckna din prenumeration på Aktuell Säkerhet här

– Double extortion är en tydlig och starkt växande attacktrend inom ransomware, som vi sett flera exempel på under första kvartalet i år. Det finns anledning att vara särskilt oroliga över att sjukhus och sjukvård utsetts för denna typ av attacker just nu, när de är i en särskilt ansträngd situation, säger Mats Ekdahl, säkerhetsexpert på Check Point.

Det första kända fallet av dubbel utpressning skedde i november 2019 och drabbade Allied Universal, ett stort amerikanskt säkerhetsbemanningsföretag. När de utsatta vägrade att betala lösensumman på 300 Bitcoins (cirka 2,3 miljoner USD) hotade angriparna att använda känslig information som de kommit över från Allied Universals system. Med hjälp av stulna e-post- och domännamncertifikat planerade de att iscensätta en skräppostkampanj som såg ut att komma från Allied Universal. För att bevisa att de menade allvar publicerade angriparna valda delar av de stulna filerna, där bland annat avtal, medicinska journaler och krypteringscerifikat ingick. I ett senare inlägg på ett ryskt hackerforum inkluderade angriparna en länk till vad de påstod vara 10 procent av den stulna informationen tillsammans med ett nytt krav på en lösensumma som var 50 procent högre än den första.

Så lite vet vi egentligen om ransomware – och därför är det ett stort problem

| Kronika

Något som är vi alltid återkommer till i säkerhetsbranschen är ransomware – en typ av attack som ökade rejält under 2019. Nu krävs det att organisationer arbetar mer effektivt med sin säkerhet, menar Nikki Cosgrove, säkerhetsexpert på Proofpoint.

Delvis beror ökningen på nätkriminella ransomware-tjänster som GrandCrab – som uppskattningsvis genererat 2 miljarder dollar, motsvarande cirka 20 miljarder kronor, i lösensummor. Det är en typ av tjänst som gör det enklare för nätkriminella att beställa den här typen av attacker eftersom allt som behövs är att man betalar för tjänsten på nätets mer ljusskygga delar.

På grund av sin simpla natur är ökningen av ransomware-attacker är ett gissel för hela samhället. De riktar in sig på enskilda individer och utnyttjar den mänskliga faktorn för att komma åt känslig information, och i slutändan kräver stora summor pengar av den som drabbas.

Anledningen att vi inte blir av med fenomenet är inte särskilt svårförklarat. I den nyligen publicerade rapporten State of the Phish har vi undersökt 3 500 anställda över sju länder kring deras säkerhetsrutiner; enbart 31 procent svarar att de till fullo förstår definitionen av ransomware. Kunskapen kring säkerhetstermer är helt enkelt väldigt låg. Det är därför människor går på dessa typer av bluffar, om och om igen.

Det är så klart bekymmersamt på flera sätt. Säkerhetsarbetet på företagen är beroende av att slutanvändare fattar goda och rationella beslut eftersom de utgör sista försvarslinjen. Att så många menar att de är obekanta med vad som måste anses vara grundläggande termer bör vara något av en ögonöppnare.

Den här kunskapsbristen leder också till förvirring kring vad slutanvändarna ska gör när de upptäckter en attack. Här går dessutom råden isär. Både brittiska NCA och amerikanska FBI menar att organisationer absolut inte ska betala någon lösensumma, samtidigt har sistnämnda tidigare uttalat sig att man i vissa fall faktiskt ger rådet att betala.

Det är så klart alltid den drabbade som i slutändan behöver ta beslutet om att betala eller inte. En del menar att man bör se på det som vilket annat affärsbeslut som helst; där man överväger risker och alternativ. Att betala lösensumman kan för samhällskritiska instanser som exempelvis sjukhus rent av vara den snabbaste och mest effektiva lösningen – men då behöver man också vara säker på att de cyberkriminella står fast vid sina ord. Föga förvånande är det inte alltid så.

Bland de organisationer som drabbades av ransomware under 2019 valde 33 procent att betala lösensumman. 69 procent av dessa fick tillgång till sina data och system efter betalning medan 22 procent inte fick det. 7 procent drabbades av ytterligare krav och 2 procent betalade ytterligare lösensummor innan man kunde återta kontrollen över företaget.

Lyckligtvis är skydden effektiva, åtminstone så länge organisationer implementerar dem korrekt. Ett brett och djupgående cybersäkerhetsförsvar är nödvändigt – och det börjar med träning och utbildning över hela organisationen. Målet är inte att alla ska kunna citera definitionen av ransomware utan snarare att personalen alltid har cybersäkerhet i åtanke. Och då behövs träning som går betydligt längre än hur man ska bete sig vid en eventuell attack.

Dina anställda behöver förstå vilka motiv som finns bakom en attack, vad som ska göras om det finns minsta misstanke om att något är på väg att hända och vad deras egen roll är. Och innan du tar något beslut kring att betala eller inte bör du redogöra med säkerhetsexperter, skapa ordentliga backup-filer och förstå att du inte köper dig fri genom att betala.

För som bekant: det finns inte någon heder bland tjuvar.

Nikki Cosgrove, säkerhetsexpert Proofpoint

Danska ISS World under attack

| Linda Kante

Det danska tjänsteföretaget ISS World är utsatt för en misstänkt ransomwareattack. Som en åtgärd har ISS World stängt ner hela nätverket och hundratusentals medarbetare står handfallna, utan tillgång till sin e-post eller något annat i sina system. 

Teckna din prenumeration på Aktuell Säkerhet här 

ISS World är en av världens största arbetsgivare inom den privata sektorn. Bolaget bedriver verksamhet i över 60 länder och har ungefär 500 000 anställda. I ett officiellt uttalande säger en talesperson för företaget att attacken inleddes den 17 februari, något som ledde till att ISS World, enligt standardprocedur, valde att stänga ner hela sitt nätverk. I skrivande stund arbetar företaget tillsammans med interna forensiker, sin webbleverantör samt en extern specialgrupp för att återställa hela bolagets IT-system. Fram tills nu har man lyckats återställa specifika system och ISS World låter även meddela att ingen kunddata ser ut att vara läckt.

– Attacken mot ISS World är ännu ett exempel på hur ransomwareattacker sker allt mer målsökande i dag jämfört med för bara ett år sedan. De här angriparna är inte längre några småbovar som är ute efter småsummor från enskilda personer utan siktar in sig på stora utbetalningar – ibland på flera hundra miljoner. Och även om anledningen till den här attacken samt vilka som ligger bakom den är fortfarande inte känt är det viktigt att komma ihåg att företag av den här typen blir attackerade eftersom att de är sårbara. Sedan om det har att göra med att flera av deras tjänster är utsatta, deras system är opatchade eller att de har svag autentisering spelar ingen roll. Angriparna kommer att hitta en väg in, säger John Shier, senior security adviser på Sophos.

The Other Dark Side of Ransomware

| Kronika

Ransomware attacks rarely limit themselves to a simple payment followed by decryption. Both companies and private individuals who fall victim to this type of malware should be aware of all aspects of such attacks, which are not always transparent.

When hackers compromise a server or computer with ransomware, only two courses of action are available: to pay or not to pay. Each path carries inherent dangers, and the choice depends on a multitude of factors. But there are several other aspects that people should be aware of, no matter if it’s about enterprise or consumer space.

Not all ransomware families are created equal
It’s easy to think of ransomware operators as people looking for quick cash. While that’s true most of the time, attackers sometimes use their newfound network access to steal data as well. They can even wait for the best time to strike.

When big companies or organizations are compromised, they are usually targeted, and it’s rarely the result of some accident, with an employee mistakenly opening an attachment on their work computer. The most prevalent threats today are Sodinokibi and Ryuk, which were together responsible most infections in 2019.

It has yet to sink into the public consciousness that Sodinokibi and Ryuk fall into the category of malware-as-a-service. They were developed to rent out to third-parties. The makers of this type of ransomware don’t deploy it themselves. The result is a surge of attacks using Sodinokibi and Ryuk, likely by multiple hackers and not a single group.

There are no guarantees
Ransomware operators ask for a payment, a form of blackmail where access to your data is granted after paying the required amount of crypto-currency. It’s impossible to expect guarantees, but surveys published so far reveal that in most cases, especially in large attacks, the hackers do send decryption tools.

The cornerstone of any ransomware attack is the expected payment, but it’s a double-edged sword. If attackers don’t send the tool, it’s less likely that their next target will pay. It does happen, especially with the groups using less known tools and in attacks against small businesses and regular people.

What most people don’t know is that encrypting files on a system or server is not easy. There have been cases when the ransomware was poorly designed and corrupted large files during decryption. Yes, it’s possible to lose data even if you pay, and the hackers send what you need.

The path of least resistance
Most ransomware attacks share an attack vector, and it’s likely not the one people think off. It’s easy to imagine hackers looking for a vulnerability or a complex method to hack into the company network, but most of the time, the culprit is still the human element.

RDP, or Remote Desktop Protocol, is a Windows technology that allows a user to connect to and control another computer over the network. The process is secured with credentials, and people are inherently bad at choosing user names and passwords. And credentials databases are often stolen or leaked, making it easy for attackers to use real credentials.

Credential stuffing, as well as vulnerabilities in the RDP protocol such as the BlueKeep bug disclosed in 2019, are strong arguments to never expose your RDP instances directly to the Internet. If needed, you should make this service available inside the local network only and accessible only through a VPN connection from outside.

One of the best ways for companies to protect their infrastructure against ransomware attacks is to rotate passwords often and keep an eye on data breaches that might affect them. Of course, a multi-layered security solution is a must as well.

Ransomware is one of the few cybercrimes with a tangible cause and effect for a company, but it’s complex enough to require much more than a simple overview. Many of the subsurface aspects of ransomware attacks remain hidden, empowering bad actors to try again.

Liviu Arsene, senior ehotsanalytiker på Bitdefender

Cyberrymdens kassako – ransomware

| Kronika

Vi kan nog alla enas om att r ansomware fungerat alltför länge. Men varför fungerar det fortfarande och framförallt hur kan vi ändra på det?

Teckna din prenumeration på Aktuell Säkerhet här 

Nyligen släpptes en rapport från Emisoft kring ransomwareattacker i USA. Resultatet var svidande och även om fokus låg på USA menar jag att utfallet i rapporten är talande för hur det sannolikt ser ut i övriga världen. Visst finns det berömda mörkertal men det åsidosatt så pekar rapporten på att dessa attacker fungerar och kommer göra det i framtiden också. Ransomware är snabba och enkla pengar som dessutom är svåra att reda ut då kryptovaluta är väldigt svårt att spåra. Rapporten har i sin slutsats slagit huvudet på spiken i vad som måste göras – man måste bli bättre på att göra säkerhet. Kristallklart. Rapporten berättar dock inte hur.

En djupanalys av rapporten vittnar om att lagstiftningen på området måste hänga med. Det anser jag att den i stora delar gör eller har börjat göra. Visst, den har mycket i övrigt att önska men det går åt rätt håll. Däremot pekar rapporten på tre stora punkter, på något som jag tror många förstår men inte vet hur dom ska adressera – och det är individen. Hen har blivit den enskilt största attackvektorn i varje modernt digitalt ekosystem. Rapporten pekar på avsaknad av processer, ledningssystem och kunskapsluckorna som de tre största orsakerna varför attacker funkar. Läs det igen. Processer, ledningssystem och kunskap. Även om jag yrkesmässigt är jävig i mitt svar – mitt företag jobbar med frågan dagligen, så vill jag ändå förtydliga följande.

Processer, ta vilka du vill, handlar om individer och inte teknik. Individer måste ha processer annars blir det cyberanarki – shadow IT etc. Processerna garanterar systematik och struktur. Och även om många tror att dom ska spikas uppifrån och ner behöver man inse att processer sällan fungerar eller är förankrade i en realistisk säkerhetskultur i verksamheten – för vem ska processerna fungera? Framgångsfaktorn är processer som är individcentriska snarare än dokumentcentriska.

Processerna måste dessutom ledas av någon som kommunicerat ett tydligt syfte, mål och krav ut i verksamheten – ledningssystem. Många skaffar standardiserade och förlegade ledningssystem som låter fint i munnen eller ser bra ut på pappret. Att börja i änden om du vill ha ett ledningssystem eller inte är fel. Börja med att inventera din verksamhet och sen vilket system som kommer fungera korrelerat till ditt mål med systemet. Less is more and keep it simple. Något som dagens stora ledningssystem helt missat.

Men allt ovan är inget värt utan grundstenen – kunskap. Din verksamhet, ALLA, måste ha kunskapen om vad hoten och riskerna är, hur vi skyddar oss och vad syftet med det systematiska säkerhetsarbetet innebär. Utan det kommer säkerhetsarbetet misslyckas varje gång. Om du en gång om året under 45 minuter får en dragning om hoten, så glömmer du det mesta och hoten ändrar sig dessutom, det vet angriparen. Därför kommer den lyckas gång på gång på gång, för att din utbildningsinsats är ett projekt snarare än en process.

Vad ska du börja göra år 2020? Du måste inse att kunskapen är grundstenen. Och kunskapen är en färskvara. Den måste vara tillgänglig, enkel och repeteras med jämna mellanrum. Att genomföra säkerhet som en process är en förutsättning för att ändra riskfyllda beteende och minska risken för attacker.

Slutsats

Säkerhetsarbetet är komplext, om vi låter det förbli så. I själva verket är det inte raketforskning direkt. Finns det ett problem måste vi lösa det i grunden och inte på ytan. Att genom projekt, reaktiva åtgärder försöka mota det digitala monstret i grinden är behovsställt helt klart. Men ambitionen 2020 när vi pratar om ett moget och systematiskt cybersäkerhetsarbete måste man analysera varför monstret motiveras att angripa just er grind, varför monstret lyckas och framförallt varför era medarbetare inte förstår hur de ska agera eller upptäcka monstret. Ledningen behöver dessutom förstå att ”grinden” inte finns framför era viktigaste medarbetare eller nyckelindivider. År 2020 är alla nyckelindivider i er verksamhet. Alla måste ha förutsättningen att kunna medverka i arbetet. Kunskap som process. Cybersäkerhet som process. Medvetenhet året runt som process, inte som ett projekt!

Robert Willborg, CISO Junglemap

Ransomeware-attacker riktas mot säkerhetskopierad data

| Linda Kante

En ny typ av Ransomware-attacker som snabbt ökar i popularitet har upptäckts av Kaspersky, det står att läsa i den nya rapporten IT Threat Evolution Report Q3 2019.

Teckna din prenumeration på Aktuell Säkerhet här 

Attackerna riktar sig mot så kallad Network Attached Storage, eller NAS, det vill säga enheter som fungerar som lagringsenheter när de kopplas till ett nätverk. En NAS kan till exempel vara en dator med flera hårddiskar och ett eller flera nätverkskort.

Studien visar även att antalet nya modifieringar av ransomware-krypteringar har ökat från 5195 under det tredje kvartalet 2018, till 13138 under samma period 2019 – vilket är en ökning med 153 procent, och ett tydligt tecken på de cyberkriminellas ökade intresse av denna typ av attacker.

Attacker med gisslanprogrammet Ryuk ökar

| Linda Kante

Ryuk heter det gisslanprogram som drabbat både dagstidningar och offentliga verksamheter i USA, som till exempel sjukhus, myndigheter, vattenkraftverk och kommuner. SophosLabs varnar nu i ett pressmeddelande att de ser en tydlig ökning av attacker med Ryuk. 

Teckna din prenumeration på Aktuell Säkerhet här 

– En attack med Ryuk orsakar lätt kaos hos de företag och organisationer som drabbas. Även om Ryuk så här långt främst drabbat andra länder måste vi vara förberedda för att attacker kan komma även i Sverige, kommenterar Ola Björling, ansvarig för Sophos i Norden och Baltikum.

– Angriparna bakom Ryuk använder en kombination av flera olika tekniker. Det kan exempelvis börja med en e-postbilaga som innehåller skadlig kod och ger tillgång till nätverket. Väl där stjäl angriparen inloggningsuppgifter och ger sig själv administratörsrättigheter. Därefter kan man sondera systemets Active Directory och ta bort backupfiler. Nästa steg kan vara att försöka slå ut de IT-säkerhetslösningar som återstår och sedan släpper man lös gisslanprogrammet, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29