Hvad er ransomware?
Ransomware er en type malware – og et stigende problem for mange virksomheder. Den krypterer typisk filer, systemer eller enheder eller "låser" skærme, så mapper, filer eller hele systemer bliver utilgængelige. Brugere underrettes derefter om, at systemer er blevet kompromitteret og ikke kan tilgås, indtil der betales "løsepenge".
Ransomware kan inficere dit netværk på mange måder, f.eks. ved at en bruger besøger et kompromitteret websted, downloader en inficeret fil, åbner en spammail, eller det kan skyldes forældet software, som fører til større sårbarheder på dit netværk. Malware kan også ligge i dvale på et netværk eller en enhed i lang tid, hvilket gør den svær at finde og udslette.
Denne type malware bruges ofte af cyberkriminelle til at gå efter sundhedsvæsnet, finanssektoren og myndigheder, som alle ophober fortrolige eller følsomme data for at levere essentielle services.
I denne guide forklarer vi, hvordan ransomware kan påvirke din virksomhed, de forskellige typer ransomware, og hvordan du kan forhindre truslen fra ransomware mod din virksomhed.
Typer af ransomware
Malware er en overordnet term for mange typer skadelig software. Typer defineres ofte af installationsmetoden, eller hvordan den opfører sig, når den er kommet ind på et netværk. Ransomware henvises f.eks. nogle gange til som en virus. I nogle tilfælde er dette sandt, men vira er kun én type skadelig software, som karakteriseres ved evnen til at replikere sin kode.
- Exploit kits: Exploit kits "udnytter" sårbare eller kompromitterede systemer, der giver angribere fuld kontrol over dine erhvervssystemer.
- Phishing: Phishing-angreb er, når uvedkommende udgiver sig for at være organisationer eller personer for at sende mails, der indeholder skadelige filer eller links.
- Malvertising: Malvertising-angreb er stedet i både udbredelse og kompleksitet. Angribere placerer inficerede reklamer på rigtige og pålidelige websteder. Når disse reklamer først er indlæst på en webside, spreder de malware på dit netværk – dette rammer især populære websteders omdømme, som har meget trafik.
- Drive-by downloads: Modsat andre angribere, som kræver, at der udføres en handling såsom at downloade en vedhæftet fil eller klikke på et link til et inficeret websted, kan drive-by downloads installeret på en enhed eller et system, uden du ved det, pga. svage sikkerhedssystemer.
Hvorfor virksomheder børe være vagtsomme
Mens ældre former for ransomware stadigvæk findes, såsom Phobos-ransomware, dannes der hele tiden nye former for ransomware, og antallet af angreb blev næsten fordoblet i første halvdel af 2021. Ifølge Cognyte blev 1.097 organisationer ramt af ransomware-angreb i første halvdel af 2021 sammenlignet med 1.112 i 2020 for hele året. USA er det mest udsatte land, som står for 54,9% af alle ofre.
Flere faktorer kan øge risikoen for, at din virksomhed bliver ramt, inkl.:
- Enheder eller software, der er forældet
- Browsere og/eller operativsystemer, der ikke er opdateret
- Svage eller ikke-eksisterende backup-planer til at gendanne dine data (hvilket fører til øget risiko for datatab og omdømmeskade)
- Manglende investering i cybersikkerhedsløsninger.
Ved at forhindre ransomware i at tilgå dine systemer og ved at forsvare din virksomhed i de indledende stadier af et angreb kan du spare din virksomhed for tusindvis eller sågar millioner af kroner i gendannelsesomkostninger. Et godt eksempel er CryptoLocker-ransomwareangrebet, som tog over 6 måneder at afhjælpe.
Fra september 2013 til maj 2014 udviklede cyberkriminelle en ny botnet kaldet Gameover ZeuS, som dannede et netværk af mål, der er inficeret med malwaren. Der blev efterfølgende sendt et script til ofrene via vedhæftede filer, som blev aktiveret, så snart malwaren blev åbnet. Ransomwaren kunne også identificere andre tilsluttede enheder på ofrets netværk og fuldt ud kryptere alle data eller låse operativsystemer og dermed hæmme forretningsdriften.
Malwaren krypterede filer og informerede ofrene om, at deres drift var taget som gidsel, indtil der blev betalt løsepenge. Angribere har erhvervet sig millioner af dollars gennem deres foretagende.
I et CryptoLocker-angreb blev der også brugt en asymmetrisk krypteringstaktik. Det betyder, at en uvedkommende kan kryptere en fil med en offentlig nøgle, mens modtageren kun kan dekryptere systemet med en privat nøgle. Uden en privat nøgle var det næsten umuligt at gendanne de krypterede filer.
Sådan forhindrer du ransomware
Selvom ikke alle ransomware-ofre betaler løsepenge eller pådrager sig omkostninger, var gennemsnitstabet i 95% af de tilfælde, hvor der var ransomware-relaterede omkostninger, $11.150, ifølge Verizon. Men tabene var helt nede fra $70 til hele $1,2 mio. Virksomheder, der forstår, hvordan de forhindrer ransomware, kan reducere deres onlinesårbarhed betydeligt.
Nedenfor viser vi nogle vigtige trin for at forhindre, blokere og forsvare din forretning mod potentielle ransomware-angreb.
Orienter dine medarbejdere om truslerne mod erhvervssikkerhed
Medarbejdere er den første forsvarslinje til at tackle forskellige cybertrusler mod forretningsdrift og bør som minimum have en basisviden om cyberrisici såsom spam og phishing samt andre almindelige taktikker såsom:
- Spoofing: En medarbejder vil modtage en mail fra en angriber, som udgiver sig for at være en bekendt eller pålidelig kilde med det formål at få fortrolige eller følsomme data. der kan bruges mod virksomheden (eller privatpersoner).
- Spear phishing: Hvor phishing går efter enorme mængder mailadresser, er spear phishing, når forbryderen undersøger din virksomhed grundigt for at guide bestemte personer eller mailgrupper.
- Social engineering: Kan bruges til at narre medarbejdere til at kompromittere eksisterende IT-sikkerhed uden at vide det.
En politik for "mistænkelig mail" for at gøre medarbejdere mere opmærksomme på potentielle trusler kan også være nyttig. Det sikrer nemlig, at alle følger de samme procedurer for at reducere risikoniveauet. Sørg for at teste nødplanlægningspolitikker på forhånd for at identificere huller eller problemer og sikre, at alle er forberedt.
Giv ikke personlige data til eksterne kontakter
I et potentiel ransomware-angreb vil den cyberkriminelle skulle researche din virksomhed grundigt – der findes ikke en bedre kilde til disse oplysninger end dit ledelsesteam eller andre medarbejdere. For at beskytte dine forretningsdata skal du aldrig oplyse dine følsomme oplysninger til upålidelige kilder.
Klik ikke på uverificerede links, vedhæftede filer, apps eller pop op-installationer
Alle parter i din virksomhed bør altid være varsomme med filer, vedhæftede filer eller links, uanset hvem der har sendt dem, da sådanne filer kan indeholde skadelig ransomware, vira eller software. Kryptering kan give en algoritme for at sikre fortrolige data, som kræver, at den modtagende part dekrypterer den med en dekrypteringsnøgle. Uden denne nøgle kan dataene ikke læses af andre. Krypteringsnøgler bruges til at dekryptere ciffertekst tilbage til læsbar tekst. Så uden denne nøgle er oplysninger ubrugelig og kan forhindre risikoen for, at data ender i de forkerte hænder.
For at beskytte din computer mod ransomware bør du ikke klikke på uverificerede links, vedhæftede filer, programmer eller pop-ups. Når du browser på en stationær, kan du tjekke en linkdestination ved at holde markøren over linket – URL-adressen vises nederst i din browser, så du kan tjekke den, før du klikker. Sikrede websteder bruger "https" i stedet for "http" og har et skjold eller en lås i adressefeltet. Hvis webadressen ikke er sikker eller ser mistænkelig ud – f.eks. hvis den ikke er det, du forventer baseret på linket – bør du ikke klikke.
Ved at downloade skadelige apps på både iOS og Android på mobil øges risikoen for at sprede malware også. For at mindske truslen fra ransomware bør du kun bruge verificerede, pålidelige websteder som Google Play Butik for Android og App Store for iPhone. Eftersom dette ikke er 100% idiotsikkert, bør du tjekke brugeranmeldelser og antallet af downloads, før du installerer nye apps, rense ubrugte app en gang hver anden måned og installere en robust sikkerhedsløsning på din mobilenhed for at undgå truslen fra et ransomware-angreb.
Kriminelle kan desuden også udnytte svage sikkerhedssystemer via Wi-Fi, eller hvis du klikker på et link i en uægte sms, mail eller hjemmeside. Det bedste råd: Vær forsigtig, og tag aldrig chancer.
Brug indholdsscanning og -filtrering på din mailserver
Installér software til at scanne og filtrere indhold på tværs af dine mailservere for at blokere, detektere og forhindre risikoen for et ransomware-angreb. Disse ekstra lag beskyttelse inkluderer:
- Sender Policy Framework (SPF): Mailservere kan blokere alle uautoriserede afsender til dit netværk for at forhindre risikoen for spoofing eller spammails.
- Domain Message Authentication Reporting and Conformance (DMARC): DMARC, der understøtter SPF-processer, kan overvåge eksisterende mailgodkendelsesprocedurer og reducere antallet af spam og phishing ved at afvise dem, hvis de ikke er godkendt med enten SPF eller en Domain Keys Identified Message.
- DomainKeys Identified Mail (DKIM): DKIM er en mailgodkendelsesteknik, der anvender kryptering med offentlig nøgle. En streng af tegn (eller hash) er vedhæftet hver mail og derefter krypteret med afsenderdomænets private nøgle, hvilket skaber en unik digital signatur. Når der modtages en mail, vil modtagerserveren tjekke mail og domænebrugerens offentlige nøgle og digitale signatur for at se, om den er blevet sendt fra den respektive server, og sikre, at den ikke er blevet manipuleret. før den accepteres. Enhver mail, der dumper dette tjek, afvises helt automatisk.
Rediger brugertilladelser
At begrænse brugeres evner og fjerne bestemte adgangsrettigheder til at downloade, køre og installere programmer, kendt som Principle of Least Privilege (PoLP), betragtes universelt som en best practice for at bekæmpe risikoen for malware på dit netværk.
Selvom det ikke er en populær løsning blandt medarbejdere, er en begrænsning af brugerrettigheder en måde, hvorpå virksomheder kan sikre følsomme og fortrolige data, forbundne enheder, programmer og konti, samtidig med at de overholder standarder for at beskytte associeret information. Role-Based Access Control (RBAC) kan også være en god måde at begrænse systemadgang på, mens forskellige niveauer af tilladelser til dem i bestemte roller og grupper på tværs af virksomheden.
Fjern brugen af eksterne enheder såsom USB'er
Eksterne enheder såsom USB'er kan skabe kaos for virksomheder. Mens netværk kan beskytte mod interne trusler, kan en eksterne enhed blive inficeret med malware, uden at brugeren ved det. Når en medarbejders personlige enhed eller anden hardware først er indsat og forbundet til firmanetværket, kan malware på den sprede sig videre på firmanetværket. For at forhindre risikoen for ransomware er det bedste forsvar slet ikke at bruge eksterne enheder på arbejdspladsen.
Sørg for, at al software og alle arbejdsprogrammer er opdateret
For yderligere at beskytte din virksomhed mod ransomware og andre cyberangreb skal du jævnligt opdatere software og programmer, som leveres af cybersikkerhedsvirksomheder for at afhjælpe kendte sårbarheder på dit netværk.
2017 WannaCry-angrebet spredte sig til over 230.000 Windows-pc'er i 150 lande på bare én dag, hvilket påvirkede offentlige styrelser og hospitaler. Det britiske sundhedsvæsen NHS var en af de ramte institutioner, hvor forældet software spillede en stor rolle for angrebets konsekvenser. De cyberkriminelle kunne udnytte forældet software uden de nødvendige rettelser. WannaCry er i dag en af de mest berygtede cyberangreb nogensinde, og siden 2017 har Avast blokeret over 170 millioner ekstra WannaCry-ransomwareangreb.
Antivirusløsninger kan automatisere rettelser og opdateringer for at sikre, at dine systemer altid er beskyttet mod de nyeste cybertrusler.
Sikkerhedskopiér alle vigtige filer
I tilfælde af et ransomware-angreb kan sikkerhedskopier betydeligt reducere den nedetid, det kræver for at genoprette den normale drift. Sikkerhedskopier kan inkludere følgende løsninger:
- Ekstern lagring: Virksomheder tager jævnligt sikkerhedskopier, som sender til en anden lagerbygning. Afhængigt af hvor ofte sikkerhedskopierne laves og værtens gendannelsesprocesser, kan dette stadig føre til flere ugers datatab.
- Elektronisk opbevaring: Dette sender sikkerhedskopier til en fjernserver, selvom båndbredden kan påvirke, hvor meget data der kan gemmes og gendannes.
- Diskbaseret lagring: Der laves en øjeblikskopi, som gemmes både lokalt og eksternt.
- Cloudbaseret lagring: Data gemmes eksternt og opdateres kontinuerligt.
Integrer en gendannelsesplan
For at fremtidssikre din virksomhed i tilfælde af et ransomware-angreb bør du implementere et IT-katastrofeberedskab og en plan for forretningskontinuitet. Disse vil gøre din virksomhed i stand til at definere processer og protokoller, der følges i tilfælde af et angreb. Du vil også fastsætte rollerne for hver person og de kontakter, der skal underrettes, for at støtte både forebyggelse og genoprettelse.
Implementer robuste sikkerhedsmetoder
Vigtigheden af at installere robust sikkerhedssoftware og vedligeholde dit system med jævnlige sikkerhedsopdateringer kan ikke understreges nok. Brug af flere sikkerhedsværktøjer og processer, kendt som en lagdelt tilgang, vil maksimere beskyttelsen mod et ransomware-angreb.
Følgende vil styrke din eksisterende sikkerhedsstrategi betragteligt:
- Firewall: En firewall er et effektivt fundament i enhver sikkerhedssoftware ved at blokere uautoriseret adgang til dine enheder. Uden en firewall kan dit netværk blive endnu mere sårbart over for risikoen for malware, f.eks. ransomware.
- Antivirussoftware: Erhvervsantivirus kan desuden detektere, beskytte og eliminere trusler mod dit netværk og dine enheder ved at levere opdateret, robust beskyttelse.
- Cloudteknologi: I stedet for at holde alle dine data på én fysisk placering betyder cloudteknologi, at du kan tilgå dem eksternt overalt, hvilket giver tilgængelighed, skalerbarhed og fleksibilitet. Teknologien vil også give flere muligheder for at sikkerhedskopiere data og for at styre, hvem der har adgang til dine data. Det er desuden muligt at gendanne tidligere versioner af dine filer, hvis dine data bliver krypteret i tilfælde af et ransomware-angreb.
Multifaktorgodkendelse
Multifaktorgodkendelse (MFG), også kendt som tofaktorgodkendelse, er blevet mere populær og udbredt. Foruden en stærk adgangskode bliver brugere bedt om at angive en sekundær information eller proces for at få adgang til deres konto, hvilket giver et ekstra lag sikkerhed.
MFG-metoder varierer og kan inkludere:
- Et svar på et spørgsmål, du stillede tidligere som "noget, du ved", og levere det svar, ingen anden kender
- Traditionelle hardwaretokens såsom FOB, der leverer en ny kode, så snart de aktiveres
- Softwaretokens såsom en sikker sms, der leverer en unik kode
- En verifikationsapp, der beder dig om at bekræfte adgang på en anden enhed
- Biometrik såsom et fingeraftryk eller ansigtsgenkendelse
VPN
Ved at installere et virtuelt privat netværk (VPN) kan du kryptere din forbindelse og holde dine forretningsdata sikre og beskyttet, mens du er i offentligheden, ved at etablere en sikker forbindelse mellem din enhed og internettet, så du kan tilgå dine data privat og risikofrit, mens du bruger offentlige netværk. Få mere at vide om, hvordan VPN'er virker, og de forskellige typer.
Slutpunktssikkerhed
Slutpunktssikkerhed, der er defineret som en enhed, der er forbundet til dit netværk, kan beskytte dine erhvervsenheder mod malware-angreb og zero-day-angreb, som udnytter sikkerhedsfejl og -huller. Dette kan gøre dit system mere sårbart ved at have "zero days"-advarsel for at afhjælpe mulige svagheder før et angreb.
Beskyttelse af alle slutpunkter, både fysisk, virtuelt eller cloudbaseret leveres via en centraliseret administrationskonsol, så administratorer rutinemæssigt kan overvåge og beskytte dine systemer i realtid.
Intrusion Detector System
Intrusion Detection Systems (IDS) overvåger dit netværk for skadelig aktivitet, inkl. truslen fra ransomware, ved at detektere usædvanlig eller skadelig aktivitet i realtid. Dette gør, at din virksomhed hurtigt kan reagere på hændelser, med minimal driftsforstyrrelse.
Gennemgå portindstillinger
Mange ransomware-varianter kan udnytte Remote Desktop Protocol (RDP), som giver brugere mulighed for at forbinde til en enhed eksternt. Den forbliver et populært indgangspunkt for ransomware-angreb, især standarden RDP open port 3389.
Flere Server Message Block (SMB)-porte såsom port 445 gør også, at servere og programmer på dit netværk kan kommunikere med hinanden og med andre systemer, hvilket giver brugere mulighed for at dele filer, udføre aktiviteter såsom at udskrive dokumenter og fuldføre opgaver over internettet.
Antivirussoftware
Antivirussoftware, der beskytter dit netværk og forbundne enheder mod både interne og eksterne trusler, har mange fordele:
- Reduceret spam, phishing, spear-phishing-angreb samt truslen fra malvertising
- Beskyttelse mod enhver trussel fra eksterne enheder såsom USB'er
- Sikrede netværksdata og slutpunkter.
Avasts cybersikkerhedsløsninger til små virksomheder
Hold din organisation beskyttet mod ransomware og avancerede cyberangreb med Avast Small Business Solutions, vores alt-i-én-cybersikkerhed, der leverer enkel, kraftfuld og prisvenlig onlinebeskyttelse til din lille virksomhed.