- hvad er det, hvad gør det og hvordan kan du beskytte dig? · ransomware er ikke g beskytte os...
TRANSCRIPT
- Hvad er det, hvad gør det og hvordan kan du beskytte dig?
4
Ransomware - hvad er det?
En guide udviklet af Draware A/S
Ransomware er ikke et nyt fænomen. Det har faktisk eksisteret i over
30 år. Hvad der ER nyt er, at forekomsten af ransomware i 2015 og
2016 er eksploderet og nu er en af de kriminelles mest foretrukne
metoder. Cyber kriminalitet er blevet en lukrativ industri og er i
slutningen af 2016 nu mere lukrativ end narkotika industrien.
Ransomwares popularitet skyldes bl.a., at hackere er blevet bedre til at
benytte andre metoder end blot det at tilknytte ondsindet indhold til filer.
Kriminelle benytter altså i højere grad ”fileless attacks” hvor man bl.a.
angriber memory og scripts. Disse typer angreb kan desværre ikke stoppes
med traditionelle anti-virus systemer, da disse systemer er baseret på, at
man kender den ondsindede signatur, der er tilknyttet malwaren.
I dette hæfte kigger vi lidt nærmere på ransomware, typer af
ransomware, hvordan ransomware virker og hvordan vi kan
beskytte os mod angreb.
VI KOMMER TIL AT
OPLEVE FLERE OG FLERE
RANSOMWARE ANGREB,
MEN VI KAN HELDIGVIS
GØRE NOGET FOR AT
BESKYTTE OS SELV ”
“
Historie
De første ransomware angreb blev opdaget i 1989 og det har siden været en af de
mest udbredte metoder til at udnytte privatpersoner og virksomheder. Det er ikke
kun i USA og andre store lande at ransomware bliver stadigt mere udbredt, det
sker også i vores eget lille Danmark. Danske virksomheder bliver ramt af
ransomware angreb over 800 gange om dagen og det har selvfølgelig store
økonomiske konsekvenser.
2 typer af ransomware er især meget populære, nemlig Crypto- og Locker-baseret
ransomware. Crypto-ransomware krypterer bl.a. filer, foldere og harddiske, mens
Locker-ransomware kun låser brugere ud af deres enheder.
Vidste du at:
› Ransomware industrien i 2016 var $1 milliard værd.
› Der er blevet identificeret mere end 25 forskellige ransomware familier.
› Der i 2016 var mere end 800 ransomware angreb om dagen i Danmark.
› Phishing er den mest populære metode ved ransomware angreb.
58 procent af alle ransomware angreb starter ved at offeret klikker på og åbner en vedhæftet fil
i en mail, mens 40 procent kom ind på ofrenes computere via inficerede hjemmesider og exploit
kits
”
“
GUIDE: RANSOMWARE ON THE RISE E
Ransomware tidslinje
CryptoWall
PowerWare
AIDS Trojan
Unnamed Trojan
CryptoLocker
Koler
SimplLocker
TeslaCrypt
LowLevel04
Ransomware32
Locky
KeRanger
Maktub
Archievus Reveton CryptoDefense Sypeng CTB-Locker LockerPin Chimera 7ev3n
SamSam (SAMAS)
Petya Jigsaw CyrptXXX ZCryptor
Kilde: “The history of ransomware,” PC World, July 20, 2016
9
2005
GUIDE: RANSOMWARE ON THE RISE
Malware XYZ.exe havner på PC’en og der køres uskyldige child
processer, PowerShell, VSSasdmin, m.m.
Ransomware –
faser
18
Fase 3 Hacker sender
spam e-mail
Kryptering
Ransom besked til brugeren
Bypasser brugerens
spam filter
cmd.exe
Malware kopirers over på fx. AppData,
Startup, C://
Kryptering af filer på
drevet
Der tilføjes en registry entry (run)
Bruger får e-mailen Bruger
klikker på ondsindet
link i mailen
PowerShell Der forbindes
til en C&C
server
Fase 1
Antivirus
reagerer ikke
Fase 2
Hacker forsøger at
inficere andre
PC’er i
virksomheden
Beskyttelse – når AV og FW ikke virker, hvad gør vi så?
”Vi ved nu med sikkerhed, at anti-Virus og firewalls ikke stopper moderne trusler og ransomware”
Machine Learning og Application Behaviour
Da det ikke længere er nok at kigge på signaturen og forsøge at finde ud af,
hvad der er ondsindet ud fra den, er der behov for andre metoder til at stoppe
ukendte ondsindede og Zero-Day angreb. Se på systemer som baserer
”detection” og ”prevention” på behaviour analyse og maskine læring, fx er
SentinelOne et af de mest innovative systemer på dette område.
Whitelisting og Content Isolation
Prøv at arbejde ud fra whitelisting metoden, hvor du bruger en applikation, der kan
gøre dig i stand til hurtigt at whiteliste troværdige applikationer og hjemmesider og
hvor du samtidigt har mulighed for at køre ukendte filer og hjemmesider i separate
”sandboxes”. Avecto.com har udviklet et system, som er baseret på disse
metoder.
Detection
Hvis vi arbejder ud fra tankegangen om, at vi ikke kan stoppe alt, så skal vi i det
mindste kunne se, hvad vi er og bliver ramt af. Brug logs og flow data til at se hvad
der foregår på dit netværk. Her kan udbydere af SIEM software hjælpe, og nogle
af de anerkendte løsninger er IBM’s QRadar og EventTracker.
Forsikring mod Ransomware
Du kan sikre dig med en forsikring – hvem betaler for et ransomware angreb, hvis
I bliver ramt? Her kunne det være en idé at forsikre sig således, at nogle andre
end din virksomhed betaler for angrebet. SentinelOne tilbyder blandt andre sådan
en forsikring.
Der er et hav af andre metoder, hvorpå du kan beskytte dig selv mod moderne
angreb og ransomware. Hos Draware A/S har vi specialiseret os i at hjælpe
virksomheder med at øge deres IT sikkerhedsniveau og derved minimere
forekomsten af angreb.
Du kan læse mere om de forskellige IT sikkerhedsløsninger, der findes på
markedet på www.draware.dk eller ringe til os på: +45 4576 2021
GUIDE: RANSOMWARE ON THE RISE
Ransomware beskyttelse
14 tips til hvordan du kan beskytte dig imod Ransomware
1. Foretag regelmæssig data backup. Eller få et system, der
gendanner krypterede filer.
2. Sørg for sikring af dine offline backups. Du kan sikre
dig, at disse backups ligger på servere, hvor der ikke er permanent forbindelse til internettet og andre enheder – kun når der er behov for dette (når der skal tages backup).
3. Konfigurér firewalls så de blokerer adgangen til IP
adresser, som er skadelige eller kendt for at være ondsindede.
4. Tænk over hvordan du opdeler dit netværk. Om
muligt så adskil dit netværk således, at malware ikke kan sprede sig over
hele virksomheden
5. Patch dit OS, software og firmware. Husk at patche
tredjeparts software og ikke kun Windows applikationer.
6. Brug next-gen firewalls til at foretage SSL analyse og Deep
Packet Inspection.
9. Blokér reklamer. Brug ”Add-blocker” og lignende software på
dine browsere.
10. Brug privilegie-baserede management systemer til at begrænse admin rettigheder og holde styr på hvad dine brugere må og
kan.
11. Gør brug af next-gen anti-virus teknologier der tager
udgangspunkt i bl.a. machine learning og application behavior fremfor at
være signatur baseret.
12. Brug application whitelisting og tillad kun de systemer,
applikationer og hjemmesider, der er troværdige.
13. Sørg for at overvåge logs og flow kategoriserede data baseret på organisationsmæssige værdier SIEM og log
management værktøjer giver dig indblik i, hvilken tilstand dit netværk er i og om du er under angreb.
7. Scan alle ind- og udgående e-mails
8. Få et stærkt spamfilter så at du undgår / minimerer phishing e-
mails og spoofing. .
14. Foretag sårbarhedsanalyser. Brug værktøjer til at
scanne dit netværk og finde sårbarhederne.
Kontakt
www.draware.dk /
+45 4576 2021
Hos Draware A/S har vi i mange år specialiseret os i IT sikkerhed og i, hvordan man
skruer en IT strategi sammen, så man minimerer forekomsten af ondsindede angreb i
en virksomhed.
Vi er eksperter i et bredt udvalg af IT sikkerhedsløsninger til store og mellemstore
virksomheder og vi kan hjælpe dig med at finde det helt rigtige produkt til netop din
virksomhed.
Vi kan tilbyde hjælp til hele processen fra analyse af behov og udvælgelse af den
rigtige løsning til implementering, uddannelse og support.
Ring til os på +45 45762021 og få en snak om, hvordan vi kan hjælpe jer med netop
jeres udfordringer, eller læs mere om IT sikkerhed og vores sikkerhedsprodukter på
www.draware.dk.
Du kan også hente vores gratis IT sikkerhedsbog, hvor vi går i dybden med IT
sikkerhed, metoder og løsninger til de mest udbredte udfordringer inden for IT
sikkerheden.