Betaling av ransomware - nå som en tjeneste!

Ransomware-angrep er nå blitt så vanlig at selskaper har etablert tjenester for å hjelpe firmaer med å gjenopprette data etter et angrep. Statistisk sett blir et nytt selskap angrepet av ransomware hvert 11. sekund, så det er klart at dette er et voksende marked.

Stian Barmen CTO, Proact IT Norge

Publisert tirsdag 03. januar 2023 - 12:37 Sist oppdatert onsdag 18. januar 2023 - 11:07

Hyppigheten av angrep og kompleksiteten ved gjenoppretting, analyse, betaling og skadebegrensning gjør at det har dukket opp nye tjenestetilbydere som står parat til å «hjelpe». Om dette er en faktisk hjelp eller om disse ønsker å sko seg på kundenes desperate situasjon er uvisst.

Et ransomware-angrep er ikke lenger noe man bare kan håpe at ikke inntreffer, men snarere noe man må forvente at kommer til å skje på et eller annet tidspunkt. Dermed må man også planlegge og ta nødvendige forholdsregler med det som utgangspunkt.

Ha en strategi

Alle selskaper må ha en gjenopprettingsstrategi for data, og den må man øve på – og teste. Ingen har bruk for sikkerhetskopier, det man har bruk for er gjenopprettbare data som er verifisert fri for skadevare. Angripere som klarer å komme inn på infrastrukturen til selskaper jobber typisk med å forberede angrepet i flere hundre dager. I denne perioden analyserer de systemene for å kunne infisere og ødelegge ikke bare data, men også backupsystemer og sikringstiltak som er etablert. Klarer de å slå ut backupen finnes det ikke lenger noen sikkerhetskopi. Er det satt opp immutable (ikke slettbar) backup vil angriperen typisk prøve å endre innstillinger i backupen for å lure den til å slette kopiene på angriperens vegne (retention). Det er ingen grenser for hvor utspekulerte og kreative angriperne er.

Angriperne har også en plan «B». Klarer de ikke å ødelegge backup og kryptere data kan de finne på å bare kopiere data ut. Hemmelige patenter og personsensitive data om ansatte og kunder kan komme på avveie og angriperne truer med å publisere disse på internett om man ikke betaler.

Forberedelser er nøkkelen

Vi i Proact er enige med NSM og anbefaler ingen å betale ransomware. Vi forstår at enkelte bedrifter kan føle seg tvunget til å betale fordi at risikoen ved å tape dataene, eller få de publisert, er for stor. Det kan derfor ende med at man vurderer at det enkleste for å få tilbake tapte data er å betale. Men får du faktisk dataene dine tilbake om du betaler? Hvilken garanti har du for at din bedrifts sensitive data faktisk ikke blir publisert offentlig om du betaler? Og hva stopper angriperne fra å gjenta trusselen, og be om betaling om og om igjen for å hindre publisering?

Leveransegarantiene fra disse kriminelle organisasjonene er i beste fall uklar, og ikke minst er man med på å finansiere videreutvikling av nye og mer sofistikerte angrep i fremtiden.

Det vi i Proact anbefaler er å forberede seg skikkelig. Det må trenes på hvordan man gjenoppretter data, og det må etableres gode tekniske løsninger med tilstøtende rutiner og mandater slik at man ikke bli handlingslammet når angrepet skjer.

Ransomware-angrep blir mer og mer sofistikerte og de bruker avanserte metoder for å komme inn på systemene uten å bli oppdaget. Vi må benytte moderne teknologi for å sikre og gjøre oss i stand til å oppdage angrepene tidlig nok til man klarer å avverge store tap. Ta gjerne utgangspunkt i NSMs grunnprinsipper for IKT-sikkerhet som en veileder. En mulig løsning er å benytte moderne datasikringsverktøy som benytter kunstig intelligens (AI) til å identifisere angrep tidlig og automatisere de første responsene før data blir kryptert. Dette kombinert med fysisk separering av kritiske sikkerhetskopier ved å benytte galvaniske skiller (airgapping) vil gjøre det mye vanskeligere for angripere å få tilgang til informasjon. Har man satt opp immutable lagring vil dette forhindre at angripere endrer dataene selv om de får tilgang.

Partnere er viktig

I tillegg kan det være nyttig for selskaper å samarbeide med en kunnskapsrik IT-tjenesteleverandør som kan hjelpe dem med å vurdere deres nåværende risiko og etablerte sikringstiltak, og sammen utvikle en plan for å beskytte data og systemer. Dette kan gi tilgang til verdifull ekspertise og støtte til å implementere og vedlikeholde effektive sikkerhetsforanstaltninger. Sikring av data er et meget komplisert fagfelt og denne kunnskapen besitter vi i Proact.

Stian Barmen,
CTO, Proact IT Norge
Mobil: +47 932 42 123
Email: stian.barmen@proact.no

Les mer:

Zero Trust er ingen magisk pille, men det hjelper!

En god sikkerhetsstrategi trenger bare å baseres på «Zero Trust» så er alt i orden. Er det virkelig så enkelt? Kanskje ikke, men det er et bra sted å starte.
07/11 2022

proact bilag