Et ransomware-angreb er en af de største trusler, onlinebrugere står over for. I denne artikel undersøger vi, hvad der sker under et ransomware-angreb, og de trin, du skal tage for at sikre din virksomhed bagefter.
Sådan håndteres et ransomware-angreb
Ransomware-angreb er en stor trussel mod organisationer. 90 % af angrebene påvirker deres operationelle muligheder, og i gennemsnit tager det en måned at komme sig efter angrebet. Angrebene er meget forstyrrende for en virksomhed, og ransomware-angreb er en voksende trussel. I 2031 forventes det, at virksomheder vil blive ofre for et ransomware-angreb hvert andet sekund (op fra hvert 11. sekund i 2021).
Hvad er et ransomware-angreb?
Ransomware er en type malware, der krypterer en virksomheds data, så data ikke længere er tilgængelige. En løsesum er påkrævet – gennemsnittet er $570.000 – og ved betaling er det meningen, at dekrypteringsnøgler skal udleveres, så virksomheden igen kan få adgang til sine data.
Selvom ingen specifik sektor er sikret mod virkningerne af ransomware, vil en ondsindet aktør typisk vælge at målrette mod en organisation baseret på to faktorer:
Mulighed: For eksempel hvis virksomheden har et lille sikkerhedsteam, mangler it-ressourcer eller er en "datarig" organisation.
Potentiel økonomisk gevinst: Virksomheder, der kræver øjeblikkelig adgang til deres filer, og som sandsynligvis vil betale løsesummen hurtigt – såsom advokater eller offentlige myndigheder.
Ondsindede aktører kan få adgang til din organisations data via forskellige taktikker, herunder:
Phishing: Brug af social manipulation til at narre brugere til at gøre noget, såsom at klikke på et ondsindet link i en e-mail.
Fjernadgang: Scanning af internettet for åbne porte, såsom protokol for fjernskrivebord, og indfangning af gyldige brugeroplysninger for vellykket godkendelse.
Kompromittering af privilegerede konti: Dra nytte av administratorkontoer for å få tilgang til flere systemer og sensitive data.
Kendte software- eller applikationssårbarheder: Udnytter kendte sårbarheder, hvor patches til at løse problemet var tilgængelige, men ikke installeret.
Før data krypteres, kan en ondsindet aktør vælge at kopiere data og true med at lække dem, hvis løsesummen ikke betales i tide. Dette er kendt som "dobbelt afpresning". Krypteringsprocessen er hurtig - den gennemsnitlige ransomware-variant kan kryptere næsten 100.000 filer på i alt 54,93 GB på kun 42 minutter og 52 sekunder- hvilket er grunden til, at hastighed er af afgørende betydning, når det kommer til handling efter angreb.
Hvad skal man gøre i tilfælde af et ransomware-angreb
Så snart du ved, at du er blevet ramt af et ransomware-angreb – normalt fordi en stor advarsel vil blinke op på din skærm – er det vigtigt at isolere den inficerede enhed. Fjern netværks- og datakabler, USB-enheder og dongler, og deaktiver WiFi og Bluetooth for at forhindre enheden i at oprette forbindelser, der kan få truslen til at sprede sig.
I disse første øjeblikke vil adrenalinen sandsynligvis flyde sammen med følelser af chok, vrede og frygt. Det er vigtigt ikke at gå i panik og bevare roen, mens du vurderer situationen. En måde at opnå dette på er gennem ransomware-simuleringer, hvor virksomheden praktiserer, hvordan den ville reagere efter et angreb, så enkeltpersoner er fortrolige med de nødvendige trin for at begrænse bruddet på en rolig og rettidig måde:
Underret virksomhed/kontakter
Det er vigtigt, at al kommunikation håndteres af et centralt punkt i organisationen for at forhindre misinformation eller forvirring. Dette bør omfatte et direktiv om ikke at tale med nogen i medierne eller poste noget på sociale medier. PR-meddelelser skal forberedes omhyggeligt for ikke at forstyrre aktionærer, interessenter og det bredere marked.
Når et angreb er kendt, skal alle i virksomheden underrettes om truslen. Hvis nogen har mistanke om, at deres enhed er inficeret, skal de tage skridt til at isolere den fra netværket med det samme. Best practice siger også, at brugere skal nulstille alle login-oplysninger – især for privilegerede konti – for at forhindre den ondsindede aktør i at høste værdifulde data, der kan bruges til at iværksætte yderligere angreb.
Identificer typen af ransomware
Brug et malware-scanningsværktøj på enheden eller gennem din organisations Security Operations Center (SOC), kør en malware-scanning for at identificere den anvendte type ransomware, da dette vil hjælpe med at bestemme, hvilke afhjælpende handlinger der skal tages.
Tag noter om angrebet, herunder dato, klokkeslæt, fildetaljer, første tegn på ransomware, berørte enheder, hvad du lavede lige før angrebet, og hvornår din enhed var tilsluttet. Tag også billeder og noter af mistænkelige programmer, filer og pop-ups.
Alle disse oplysninger føres derefter ind i ransomware-identifikationsværktøjet for at bestemme, hvilken virksomhed der var berørt, og hvilke afhjælpende foranstaltninger du skal tage.
Betaling af løsesummen
Cybersikkerhedsprofessionelle og føderale agenturer er enige: Betal ikke løsesummen.
Forskning viser, at kun 3 ud af 5 organisationer fik adgang til deres data/systemer efter at have betalt løsesummen, så der er ingen garanti for, at du får adgang til dine data eller din computer. Selvom du får dine data tilbage, er der ingen garanti for, at det er sikkert – 18 % af løsesumsofre, der betalte kravet, havde stadig følsomme data afsløret af ondsindede aktører på det mørke web.
Fjern ransomware fra dine enheder
Desværre er det ikke så enkelt som at klikke på "slet" for at fjerne ransomware fra inficerede enheder. I mange tilfælde kræver det en fuldstændig fabriksnulstilling, som er irreversibel og indebærer risiko for tab af data. Derfor er det altid bedst at søge støtte fra en professionel, der kan bruge passende dekrypteringsværktøjer og sikkert gendanne dig tilbage til business-as-usual.
Gendan data fra sikkerhedskopier
En opdateret backup er den mest effektive måde at gendanne efter et ransomware-angreb. En bedste praksis er at følge "3-2-1-reglen" - 3 kopier af dataene, gemt på 2 forskellige steder, hvoraf 1 er offline.
Når det kommer til datagendannelse, skal du først scanne dine data for malware og sørge for, at sikkerhedskopier kun er forbundet til kendte, "rene" enheder for at forhindre geninfektion.
Anmeld angrebet
Når din virksomhed er online igen, bør du rapportere ransomware-angrebet til de relevante myndigheder – såsom CISA i USA eller NCSCi Storbritannien. Denne intelligens er uvurderlig til at hjælpe bureauer med at spore, hvordan ransomware-angreb udvikler sig, så de kan stoppe cyberkriminelle, hjælpe med afhjælpningsværktøjer og forhindre yderligere spredning.
Beskyt dig selv mod fremtidige ransomware-angreb
Slutbrugeres adfærd kan være en af de bedste metoder til at begrænse truslen fra ransomware. Uddan brugerne i det grundlæggende og understreg konstant vigtigheden af deres adfærd for at sikre, at disse foranstaltninger følges:
- Opdater din enhed, og slå automatiske opdateringer til
- Aktiver multifaktorgodkendelse
- Udfør regelmæssige sikkerhedskopier
- Kontroller, hvem der har adgang til hvad på dine enheder
- Slå ransomware-beskyttelse til
Kontakt Ibas Ontrack for Ransomware Recovery
Hvert ransomware-angreb er unikt og varierer i kompleksitet, men datagendannelse er mulig. Hos Ibas Ontrack har vi udviklet en specialiseret samling af proprietære datagendannelsesværktøjer – vi har i øjeblikket dekrypteringsmuligheder for 138 typer ransomware og sporer løbende 271 forskellige varianter.
Med laboratorier placeret rundt om i verden er vores specialister tilgængelige 24/7 for at yde hjælp og support i tilfælde af et værst tænkeligt scenarie.
Læs hvorfor mere end 600.000 mennesker og virksomheder har haft tillid til Ontrack til at rekonstruere deres data