Den senaste veckan har ransomware dominerat nyhetsflödet till följd av en cyberattack mot det amerikanska mjukvaruföretaget Kaseya som i sin tur drabbat en lång rad företag världen över.
Än en gång visar cyberkriminella sin förmåga att på mycket kort tid orsaka stor skada.
Trend Micro har lång erfarenhet av att hjälpa kunder säkra och förbereda sina verksamheter för cyberattacker. Nedan presenteras några värdefulla råd från Trend Micros Sverigechef Erik Jönsson om hur företag bör agera om olyckan är framme, samt hur säkerhetsstrategin bör se ut för att minimera risken att drabbas hårt av ransomware.
Utpressningsattacken mot Kaseya – vad var det som hände?
Attacken mot Kaseya beskrivs som en sofistikerad cyberattack som riktade in sig på företagets on-premise VSA (Virtual Agent Server)-produkt. Programvaran som hackarna utnyttjade används vanligtvis för att skicka ut programvaruuppdateringar till företagets kunder. Nu manipulerades den till att istället skicka ut ett skadligt PowerShell-skript, som sedan laddade upp ransomware i kundernas system.
Ransomware-koden som användes vid denna attack slog ut sina offer genom att inaktivera vissa tjänster och stänga ner processer relaterade till legitim programvara som webbläsare och produktivitetsapplikationer. Gruppen som nu slagit till mot Kaseya, REvil, var på topplistan i Trend Micros senaste kartläggning av de största och mest framgångsrika ransomware-grupperna. Gruppen går även under namnet Sodinokibi, som Trend Micro nyligen varnat för, utgör en stor risk även för den uppkopplade industrin.
Vad ska ett företag som drabbats av ransomware göra?
Om en anställd får ett kidnappningsmail måste IT-avdelningen meddelas direkt, och ett företag får aldrig betala hackaren pengar – oavsett vilken information som stulits. Då kan IT-avdelningen se efter om hackarna fortfarande är kvar i nätverket, och skapa sig en bild över vilken påverkan attacken har haft på din miljö. Därefter måste de återställa den stulna informationen så snabbt som möjligt.
När olyckan väl är framme och data låsts av ett kidnappningsmail är det för sent att skydda sig. Du kan aldrig ta tillbaka information som stulits från hackarna och därför är grundarbetet för att förebygga kidnappningsprogram så otroligt viktigt. De två viktigaste punkterna kan summeras med:
- Ha en säkerhetslösning på plats med sensorer placerade runtom i nätverket, för att direkt se när ett kidnappningsförsök är på gång. Då kan IT-avdelningen stoppa ett kidnappningsförsök innan det är för sent.
- Har du drabbats – prata om det! Berätta för omvärlden vad som har hänt, för då kommer hackarna tappa intresset för informationen de stulit, och risken att de missbrukar informationen blir mycket lägre.
Skydd i flera lager otroligt viktigt i säkerhetsarbetet
För att hålla jämna steg med det ständigt föränderliga ransomware-landskapet måste företag ha ett försvarssystem i flera lager. Det är också mycket viktigt med en helhetsyn, och att bryta ner silos för att få översikt av alla delar av verksamheten, såväl nätverk, användare, e-postmeddelanden och servrar.
E-post- och webbskydd förhindrar ransomware från att komma in i ditt nätverk genom att blockera skräppost och åtkomst till skadliga länkar. Serverskydd skyddar servrar från sårbarheter som kan utnyttjas. Nätverksskydd, i sin tur, skyddar ditt nätverk genom att förhindra att ransomware sprids från server till enhet, eller mellan enheter. Sist, men inte minst, hjälper ett bra klientskydd till att skydda användarenheter genom att förhindra att ransomware körs.
Trend Micro har även tagit fram ett analysverktyg som utan kostnad genomsöker dina miljöer efter sårbarheter relaterade till attacken mot Kaseya.
För att följa Trend Micros uppdateringar om attacken mot Kaseya, se här och för att läsa mer om hur Trend Micro skyddar sina kunder mot denna typ av attacker, läs detta blogginlägg.