En ransomware-attack är ett av de största hoten som onlineanvändare står inför. I den här artikeln undersöker vi vad som händer under en ransomware-attack, och vilka steg du behöver vidta för att säkra din organisation i efterdyningarna.
Hur man hanterar en ransomware-attack
Ransomware-attacker är ett enormt hot mot organisationer eftersom 90 % påverkar deras verksamhet, och det tar i genomsnitt en månad att återhämta sig från attacken. De är mycket störande för verksamheten, och det är en hotvektor på uppgång. År 2031 förväntas det att företag kommer att falla offer för en ransomware-attack varannan sekund (upp från var elfte sekund 2021).
Vad är en ransomware attack?
Ransomware är en typ av skadlig programvara (malware) som krypterar en organisations data så att den inte längre kan nås. En lösensumma (ransom) krävs – genomsnittet är $570 000 – och vid betalning bör dekryptering nycklarna utfärdas så att organisationen återfår åtkomst. (Detta är dock inte garanterat, mer om det längre ner i “Vad man ska göra i händelse av en ransomware-attack”.)
Ordet “Ransomware” är alltså en sammansättning av “lösensumma” (ransom) och “skadlig programvara” (malware).
Även om ingen specifik vertikal sektor är säker från effekterna av ransomware, kommer en ond aktör vanligtvis att välja att rikta in sig på en organisation baserat på två faktorer:
Möjlighet: till exempel om företaget har ett litet säkerhetsteam, saknar IT-resurser eller är en datarik organisation.
Potentiell ekonomisk vinst: företag som kräver omedelbar tillgång till sina filer och som är mer benägna att betala en lösensumma snabbt – som advokater/advokatbyråer eller statliga myndigheter.
Onda aktörer kan få tillgång till organisationsdata via olika taktiker, inklusive:
Nätfiske: använda social ingenjörsteknik för att lura användare att göra något, till exempel att klicka på en skadlig länk i ett e-postmeddelande.
Fjärråtkomst: skanna internet efter öppna portar, såsom protokoll för fjärrskrivbord, och fånga giltiga referenser för att autentisera med fjärråtkomst lösningen.
Priviligerad konto kompromiss: dra fördel av administratörskonton för att få åtkomst till fler system och känsliga data.
Kända sårbarheter i programvara eller applikationer: utnyttja kända sårbarheter där korrigeringar fanns tillgängliga för att åtgärda problemet men inte tillämpades.
Innan data krypteras kan en ond aktör välja att ta kopior och hota att läcka dem om lösensumman inte betalas ut i tid. Detta kallas för "dubbel utpressning". När krypteringen väl har börjat är det en snabb process - median varianten av ransomware kan kryptera nästan 100 000 filer på totalt 54,93 GB på bara 42 minuter och 52 sekunder - vilket är anledningen till att snabbheten av responsen är avgörande när det kommer till att vidta åtgärder efter en attack.
Vad man ska göra i händelse av en ransomware-attack
Så snart du vet att du har drabbats av en ransomware-attack – vanligtvis för att ett stort meddelande kommer att blinka upp på skärmen – är det viktigt att isolera den infekterade enheten. Ta bort nätverks- och datakablar, USB-enheter och donglar och inaktivera WiFi och Bluetooth för att stoppa enheten från att göra någon anslutning som kan fortplanta hotet.
I dessa första ögonblick kommer sannolikt adrenalin att slå in, tillsammans med känslor av chock, ilska och rädsla. Det är viktigt att inte få panik och behålla lugnet när man bedömer situationen. Ett sätt att uppnå detta är genom simuleringar av ransomware där företaget simulerar hur det skulle reageras efter en attack, så att individer är bekanta med stegen för att begränsa intrånget på ett lugnt och snabbt sätt:
Meddela företaget/kontakter
Det är viktigt att all kommunikation orkestreras av en central punkt inom organisationen för att förhindra felaktig information eller förvirring. Detta bör innehålla ett direktiv om att inte tala med någon i media eller publicera något på sociala medier. PR-meddelanden måste vara noggrant förberedda för att undvika oroande aktieägare, intressenter och den bredare marknaden.
När en attack är känd måste alla i verksamheten uppmärksammas på hotet. Om någon misstänker att deras enhet är infekterad måste de vidta åtgärder för att isolera den från nätverket omedelbart. Bästa praxis säger också att användare bör återställa alla sina referenser – särskilt för privilegierade konton – för att förhindra att den dåliga skådespelaren samlar in värdefull data som kan användas för att starta ytterligare attacker.
Identifiera typen av ransomware
Med hjälp av skanningsverktyget för skadlig programvara på enheten, eller genom en organisations Security Operations Centre, kör en skanning för att hjälpa till att identifiera vilken ransomware som användes, eftersom detta kommer att hjälpa till att avgöra vilka åtgärder som behöver vidtas för att åtgärda.
Skriv även anteckningar om attacken inklusive datum, tid, fil detaljer, de första tecken på ransomware, berörda enheter, vad som gjordes omedelbart före attacken och när enhet var ansluten. Man ska också se till att ta bilder och spela in misstänkta program, filer och popup-fönster.
All denna information matas sedan in i identifierings verktyget för ransomware för att hjälpa till att avgöra vad företaget drabbades av och vilka åtgärder du behöver vidta nu.
Betala lösensumman
Cybersäkerhetsproffs och federala myndigheter är överens: betala inte lösensumman.
Forskning tyder på att endast 3 av 5 organisationer återfick tillgång till data/system, så det finns ingen garanti för att du kommer att få tillgång till din data eller dator. Även om du får tillbaka din data finns det ingen garanti för att det är säkert - 18 % av ransomware-offren som betalade kravet hade fortfarande sin känsliga data exponerad av onda aktörer på den mörka webben.
Ta bort ransomware från dina enheter
Tyvärr är det inte så enkelt att ta bort ransomware från enheter som att klicka på "ta bort". I många fall kräver det en fullständig fabriksåterställning, vilket är oåterkalleligt och riskerar att förlora data. Därför är det alltid bäst att söka stöd från en professionell som kan använda lämpliga dekrypteringsverktyg och säkert återställa dig till business-as-usual.
Återställa data från säkerhetskopior
Att underhålla en uppdaterad säkerhetskopia är det mest effektiva sättet att återhämta sig från en ransomware-attack. En bra tillämpning är att följa "3-2-1-regeln" - 3 kopior av data, lagrade på 2 olika platser, varav 1 är offline.
När det gäller att återställa data, skanna dina data efter skadlig programvara först och se till att säkerhetskopior endast är anslutna till kända rena enheter för att förhindra återinfektion.
Rapportera attacken
När ditt företag är online igen bör du rapportera ransomware-attacken till relevanta myndigheter – till exempel CISA i USA, NCSC i Storbritannien eller Polismyndigheten i Sverige. Denna upplysning är ovärderlig information som kan hjälpa byråer att spåra hur ransomware-attacker utvecklas för att stoppa cyberbrottslingar, hjälpa till med saneringsverktyg och förhindra spridningen ytterligare.
Skydda dig själv från framtida ransomware-attacker
Slutanvändarbeteende kan vara en av de bästa hotavskräckningsmedlen till ditt förfogande när det gäller att hantera hotet från ransomware. Ge utbildning i grunderna och förstärk kontinuerligt deras betydelse för att säkerställa att dessa beteenden följs:
- Uppdaterar din enhet och aktiverar automatiska uppdateringar.
- Aktiverar autentisering med flera faktorer.
- Utföra regelbundna säkerhetskopieringar.
- Styr vem som kan komma åt vad på dina enheter.
- Aktivera skydd mot ransomware.
Kontakta Ontrack för Återhämtning av Ransomware
Varje ransomware-attack är unik och varierar i komplexitet, men dataåterställning är möjlig. På Ontrack har vi utvecklat en specialiserad samling av proprietära verktyg för att återställa data – vi har för närvarande krypteringsförmåga på 138 typer av ransomware och spårar kontinuerligt 271 olika varianter.
Med labb runt om i världen är våra specialister tillgängliga dygnet runt för att ge hjälp och support i händelse av ett värsta scenario.
Läs varför över 600 tusen personer och företag litar på Ontrack för att återställa sina data.