10 möjliga åtgärder mot ransomware

I mitt tidigare blogginlägg om ransomware så gav jag min syn på dess framtid. Cert.se rapporterade nyligen om en ny våg av mejl…

bild som visar nyheter pågående våg av ransomware.jpg

Nedan beskriver jag några olika möjliga vägar att adressera hoten från ransomware.

 

Först några vanliga spridningsvägar

Phishing

Inte så sällan sker Phishing-försök via mass-mail. Ett känt exempel för oss i Sverige är dom så kallade PostNord mejlen. Där ledde länken till en fejkad sida som linkande PostNords, därefter lurades användaren att ladda ner en ransomware infekterad PDF-fil.

Phishing är oftast inte riktad mot ett specifikt företag men inte så sällan mot specifikt land eller bransch. Avsändaren brukar försöka efterlikna en supportfunktion eller liknande.

Spear-Phishing

Vi har sett betydligt mer av riktade attacker (Spear-phishing) på sistone där mejl ser ut att komma ifrån någon inom organisationen, ofta i någon högre befattning. Typiskt är att avsändaren vet något om dig som gör att din gard sänks. Exempelvis istället för något formellt så inleds det med ”Tjena Jesse!” vilket just i mitt fall höjer garden.

Watering hole

Begreppet Ett lite äldre exempel på detta är när ”The Independent” hackades i slutet av 2015 (läs mer [teknisk]hos Trend)

 

Så vad kan du göra?

Här nedan listar jag 10 olika åtgärder mot ransomware.

1.Backup

Backup är inget nytt eller specifikt åtgärd mot ransomware. De flesta har någon gång haft nytta av backuper. Oavsett om det handlat om serverhaveri, stöld, mänskliga faktorn eller någon typ av skadlig kod så som ransomware.

- Klientdatorer backas vanligtvis inte och kan därför inte återläsas.

- Kan bara återställas till den tid då backupen gjordes

- Om det är stora mängder tar återläsningen tid

+ Finns antagligen redan på plats

+ Behöver inte ersätta eventuellt okrypterade filer med äldre backuper eftersom de krypterade filerna döpts om. Ett litet minus är att de krypterade filerna måste städas bort.

Framtiden - Dold kryptering

Majoriteten, om än inte alla varianter, av ransomware försöker i regel kryptera så många filer det bara går och så snabbt som möjligt, vilket gjort att tiden till upptäckt varit väldigt kort. Säg att istället för att kryptera allt så krypteras bara de filer som du inte jobbat med de senaste två veckorna och dessutom döps de inte om. Skulle det då dröja innan attacken upptäcktes? Kanske till och med så lång tid att de gamla okrypterade filerna inte längre finns kvar på backupen?

2.Uppdaterade operativsystem och programvaror

Förutom att användare luras att själva köra skadlig kod så kan användare genom att surfa på infekterade sidor smittas. Den risken ökar betydligt om webbläsaren inte är uppdaterad till senaste version. Förutom just webbläsare så har vanliga program som inte kommer med operativsystemet också nyttjats för infektering med bifogade filer. Exempelvis både Flash och PDF-läsare från Adobe samt Oracles Java.

-  Det ska göras av någon och helst verifieras att det som sker per automatik verkligen fungerar (Windows uppdateringar)

+ Uppdateringar av så väl OS som program är gratis

bild som visar top 10 sårbara applikationer.jpg

Källa TrendMicro

3.Central brandvägg

Att skydda företagets nätverk med brandvägg är inget nytt men att skydda företagets centrala resurser från dess egna datorer är nyare. Våra mobila enheter befinner sig ofta direkt ute på nätet, alltså utan skyddet av en central brandvägg. Så varför ska vi då ha brandväggar på arbetsplatsen?

Ponera att du har haft datorn ansluten till en publik internet hotspot. Vad du aldrig märkte var att det var en illvillig hotspot som visserligen försåg dig med internet men också med en del skadlig kod. När du sedan kommer till kontoret så börjar den skadliga koden prata med sin kommandocentral. I de här skedet kan en brandvägg stoppa trafiken utifrån att den är krypterad med nycklar som den inte förstår eller att den försöker ansluta till svartlistade servrar. Skulle det vara en annan typ av skadlig kod som försöker smitta dina kollegor och servrar i nätverket så kan brandväggen skydda dina centrala resurser på flera plan. Den stora skillnaden med detta tänk är att vi ser även insidan som ett potentiellt hot och alla datorer betraktas som osäkra.

- Inte gratis

- Skyddar bara slutanvändare på jobbet (finns dock centralt managerade men lokala brandväggar)

+ Centraliserad kontroll

+ Skydd mot primärt riktade externa attacker

+ Internt skydd av centrala resurser

4.Lokal brandvägg

I de Windows versioner som idag körs i förtagsnät ingår en lokal brandvägg. Den utgör ett ganska bra skydd mot externa attacker mot en enskild dator, men inte som en specifik åtgärd mot ransomware. Som när du ansluter till en publik hotspot. Detta är dock en betydligt enklare form av brandvägg, särskilt i den form den som standard konfigureras.

Men denna brandvskyddar inte dig från dig själv och den skyddar primärt utifrån och in.

5.Web-filter

Att spärra sidor som handlar om piratkopiering, porr, och spel har oftast varken negativ effekt på personalen eller verksamheten. Genom att filtrera bort just denna typ av sidor reduceras risken att drabbas av skadlig kod kraftigt, vilket kan vara en effektiv åtgärd mot just ransomware.

Tyvärr drabbas även legitima siter och då kanske framförallt mindre sidor som använder någon av de populära CMS-systemen (Content Managment System) WordPress eller Joomla!. Dessa drabbade siter svartlistas kontinuerligt s

- Ibland spärras sidor av fel anledning (då går det att protestera och få igenom en öppning)

+ Blockerar mot högrisk sidor utan att påverka arbetet.

+ Låg kostnad

bild på meddelande efter ransomware attack.jpg

Hade kunnat innehålla skadlig kod

6.Antispam

Av alla som drabbades av ransomware under 2016 så fick 79% av dem det via e-post (TrendMicro). Förutom att minska risken att få ransomware och annan skadlig kod så minskar antispam-tjänster inflödet av oönskade mejl. Detta genom flera olika samverkande metoder med syfte att skilja ut och filtrera bort massutskick.

7.Utbildning

VarfDels tillkommer förhoppningsvis personal och sen ingår det till och med i arbetsuppgifter för exempelvis HR att just öppna dokument från okända personer som söker jobb (Tack för det exemplet Nisse)

8.Antivirus

Traditionella antivirus jobbar med signaturer, det vill säga en stor databas som innehåller signaturer av känd skadlig kod (virus, malware och så vidare) som kontrolleras mot det som hittas på datorn. Filer och program som känns igen som skadlig kod spärras från att köras. Detta sker då väldigt snabbt och effektivt och fungerar som åtgärd mot ransomware och annan skadlig kod.

Men om den skadliga koden är för ny eller för liten (exempelvis koncentrerad till Sverige) så gör inte denna typ av skydd någon nytta. Sedan finns det skadlig kod som gör om sig själv eller skapas om kontinuerligt för att undvika detta.

Heuristisk detektering

De flesta om inte alla antivirusprodukter använder idag så kallad avancerad heuristik (utöver sinaturbaserad) för att utifrån vissa mönster identifiera skadlig kod och varianter av befintlig. Dock inom vissa ramar som bland annat begränsas av utvecklarnas fantasi. En nackdel är dessutom att det händer att legitima program klassas som skadliga vilket naturligtvis kan få avsevärda konsekvenser.

bild på heuristiskt detektering av fil.jpg

Exempel på felaktig detektering av en Interlan produkt

Beteendebaserad detektering (Sandboxing)

Finns i flera olika varianter men flera tillverkare erbjuder molnbaserade tjänster. Förenklat så kan en fil som hämtats från internet skickas till en virtuell miljö i molnet. Där körs filen på flera olika operativsystem och programversioner samtidigt som klockan skruvas upp. På så vis kan man se om något suspekt sker. Allt detta medan slutanvändaren väntar på sin fil. Det behöver inte ta så läng tid men den här typen av lösningar brukar kosta en hel del extra.

Det har på senare tid kommit skadlig kod som kan detektera att den inte körs hos en slutanvändare och därigenom inte visar sin dolda agenda.

9.Vitlistning

Med en vitlista kfinns både som tredjepartsprogram och medföljande i Windows Enterprise. Tanken är att användare bara får köra de som i förväg angivits. Detta gör det kanske normalt lite för stelbent och administrativt för att passa mindre organisationer.

- Kräver en administration av de program, sökvägar eller utgivare som är tillåtna

+ Skyddar mot skadlig kod som passerat antivirus

10.Komplett lösning

Flera företag säger sig ha kompletta lösningar som ser till att din organisation inte drabbas. Dessa kompletta l. Men om det inte gör det och en ny typ av skadlig kod skulle uppstå och den investerade lösningen inte hanterar denna, vad gör du då? Är det inte mer sannolikt att med ett sammelsurium av lösningar så är det någon av dem som snabbare/bättre hanterar problemet än andra? Hur ser beredskapen ut om man har lutat sig tillbaka och förlitat sig på den produkt som valts och investerats i?

Och helt nyligen fick en kollega ett intressant "faktura-mail". Klicka här för att läsa mer om detta.

Kontakta gärna mig om du undrar något om ransomware och hur det kan drabba just ditt företag. 

 

Dela inlägget

Dela på facebook
Dela på twitter
Dela på linkedin
Dela på print
Dela på email

Lämna en kommentar

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.