I denna artikelserie om fyra delar går vi igenom hur ni effektivt kan minimera risken för att virus och ransomware kan sprida sig till fler datorer via ert nätverk, genom att isolera virus och ransomware.

isolera virus och ransomware.
System encrypted! Pay the ransom to get access to your files!

Läs denna bloggserie i 4 delar utan kostnad

Du kan läsa denna bloggserie helt gratis, bara genom att registrera dig på vår sida, här. (Vi kommer inte spamma dig, eller jaga och tjata för att få sälja till dig.) Men vi hoppas vi kan bidra med kunskap som du uppskattar.

Översikt

Ransomware är ett övergripande namn på företeelsen där kriminella kidnappar din data genom att kryptera den, sedan kräver de dig på en lösensumma för att låsa upp informationen åt dig igen. På senare tid nöjer de sig inte enbart med att kryptera er data, utan kopierar även ut informationen innan de krypterar den för att ge sig ytterligare en hållhake och öka trycket på sin offer genom att alternativt sälja er informationen på Darknet eller publicera den offentligt. Det senaste fallet av publicering hände så sent som 31/8-21 när LockBit Gang publicerade Bangkok Air kunddata där 103 GB av komprimerad data publicerades bestående av följande information.

  • Passenger name
  • Family name
  • Nationality
  • Gender
  • Phone number
  • Email address
  • Other contact information
  • Passport information
  • Historical travel information
  • Partial credit-card information
  • Special meal information

En månad tidigare kapades Accenture ett av världens största konsultbolag med hela 91 av ”Fortune 100” på sin meritlista och hela 75% av ”Fortune 500” däribland kunder som Alibaba, Cisco och Google. Accentures data publicerades på DarkNet med en syrlig hälsning,

These people are beyond privacy and security. I really hope that their services are better than what I saw as an insider. If you are interested in buying some databases, reach us.

—LockBit site post.
LockBit site screengrab
Källa Threatpost artikel från 11:e augusti

Vilket kanske inte heller förvånar någon att det ser ut som och misstänks vara ett insiderjobb? Hotbilden att någon insider hjälper cyberkriminella att ta sig in är förstås extra obehaglig och dessvärre större än någon vill erkänna. Men antalet missnöjda på arbetsplatser i landet är mer än sannolikt svåröverskådligt antal. Utifrån denna risk blir även behovet av att isolera virus och ransomware ännu viktigare eftersom om spridningen kan förhindras minskar risken då alla användare inte har fullständiga behörigheter.

I båda fallen ovan konstateras hur otroligt viktig en fungerande backup verkligen är, och att den i sig är skyddad från åverkan från ransomware eller andra hot.

Ransomware är den överlägset vanligaste metoden av digital utpressning för finansiell vinning. Attacken spärrar åtkomsten till den angripnes data, såsom filer, program och system tills dess att lösensumman betalats. Sedan får man bara hoppas att den kriminelle överlämnar krypteringsnyckeln för att kunna dekryptera sin krypterade data.

Er bästa räddning är förstås att återskapa data från backup. Dock är det oftast så att kriminella väljer att sprida sin kod inom organisationen först innan det aktiveras för att uppnå så stor effekt som möjligt. Detta sker av de flesta virus genom att utnyttja så kallade privilegierade konton samt förtroenden mellan system för att sprida sig vidare. Det är därför det kan vara smart att försöka förhindra detta genom att isolera virus och ransomware i nätverket.

ransomware

Virus sprids inom nätverk framförallt via följande två metoder.

  1. Manuell spridning av kriminella efter att ha penetrerat ett system där man kommit över administratörsbehörighet som sträcker sig över alla systemen.
    • Manuellt utförs kryptering av data
    • Aktiverar krypteringsvirus i hela systemet med hjälp av Windows Batch filer via inbyggda delade ytor såsom C$ dit virus kopieras och senare exekveras via Microsoft PsExec verktyg.
    • Distribution av kryptovirus via Microsoft Group Policy Objects (GPOs).
    • Distribution av kryptovirus via befintliga distributionsverktyg för programvaror inom organisationen.
  2. Automatiserad spridning
    • Inloggningsuppgifter eller ”Windows token” extraktion från disk eller minne.
    • Förtroenderelationer mellan system – och nyttjande av metoder såsom Windows Management Instrumentation (WMI), SMB eller PsExec för att nå och exekvera virus.
    • Utnyttja kända svagheter i icke uppdaterade system, t.ex. EternalBlue (MS17-010)

Vi kommer gå igenom metoder för hur ni kan skydda era system, för att förhindra och begränsa risken att drabbas av ransomware. Om ett angrepp sker måste spridning inom er miljö begränsas till ett minimum, beroende vilken metod som nyttjas kan dessa råd möjligen isolera och potentiellt stoppa spridningen.

Nedan är länkar till posterna där ni kan se hur man kan Isolera virus och ransomware

Om ni inte kan komma åt posterna är det förmodligen för att ni glömt registrera er.