- Hvad er det, hvad gør det og hvordan kan du beskytte dig?

4

Ransomware, Hvad er det?

En guide udviklet af Draware A/S

Ransomware er ikke nyt. Det har faktisk eksisteret I over 30 år. Hvad

DER ER NYT er at forekomsten af ransomware I 2015 og 16 har

eksploderet og er nu en af de mest foretrukne metoder som kriminelle

benytter. Cyber kriminalitet er blevet en lukrativ industri og er I

slutningen af 2016 mere lukrativ end narkotika industrien.

Ransomwares popularitet skyldes bl.a. at hackere er blevet bedre til at

benytte andre metoder end blot at tilknytte malicious indhold til filer.

Kriminelle benytter altså i højere grad ”fileless attacks” hvor man bl.a.

angeber memory og scripts. Disse typer angreb kan desværre ikke stoppes

med traditionelle Anti-virus systemer, da disse systemer er baseret på at

man kender den malicious signatur som er tilknyttet malwaren.

I dette hæfte kigger vi lidt nærmere på Ransomware, typer af

ransomware, hvordan ransomware virker og hvordan vi kan

beskytte os imod angreb.

VI KOMMER TIL AT

OPLEVE FLERE OG FLERE

RANSOMWARE ANGREB,

MEN VI KAN HELDIGVIS

GØRE NOGET FOR AT

BESKYTTE OS SELV ”

“

Historie

Ransomware angreb blev først opdaget i 1989 og har siden været en af de mest

populære metoder til at udnytte private personer og virksomheder. Det er ikke kun i

USA og de store lande hvor ransomware bliver mere udbredt, men også i vores

egen lille Danmark. Danske virksomheder bliver ramt over 800 gange per dag, af

ransomware angreb og det har selvfølgelig store økonomiske konsekvenser.

2 typer ransomware er især meget populære, nemlig Crypto- og Locker-baseret

ransomware. Crypto-ransomware krypterer bl.a. filer, folder og harddiske imens

Locker-ransomware kun låser brugere ud af deres enheder.

Vidste du?

› Ransomware industrien var i 2016 $1 milliard værd.

› 25+ varianter af ransomware familier er blevet identificeret.

› 800+ ransomware angreb var der per dag i Danmark, I 2016.

› Phishing er den mest populære metode i forhold til ransomware angreb.

58 procent af alle ransomware-angreb starter ved, at ofret klikker og åbner en vedhæftet fil i en

mail, mens 40 procent kom ind på ofrenes computere via inficerede hjemmesider og exploit

kits

”

“

GUIDE: RANSOMWARE ON THE RISE E

Ransomware Tidslinje

CryptoWall

PowerWare

AIDS Trojan

Unnamed Trojan

CryptoLocker

Koler

SimplLocker

TeslaCrypt

LowLevel04

Ransomware32

Locky

KeRanger

Maktub

Archievus Reveton CryptoDefense Sypeng CTB-Locker LockerPin Chimera 7ev3n

SamSam (SAMAS)

Petya Jigsaw CyrptXXX ZCryptor

Kilde: “The history of ransomware,” PC World, July 20, 2016

9

2005

GUIDE: RANSOMWARE ON THE RISE

Malware XYZ.exe havner på PC’en og der køres uskyldige child

processer, PowerShell, VSSasdmin, m.m.

Ransomware –

Faser

18

Fase 3 Hacker sender

Spam Email

Kryptering

Ransom besked til brugeren

Bypasser brugerens

spam filter

cmd.exe

Malware kopirers over på fx. AppData,

Startup, C://

Kryptering af filer på

drevet

Der tilføjes en registry entry (run)

Bruger får emailen Bruger

klikker på malicious

link i mailen

PowerShell Der forbindes

til en C&C

server

Fase 1

Antivirus

reagerer ikke

Fase 2

Hacker forsøger at

inficere

andrePC’er i

virksomheden

Beskyttelse – når AV og FW ikke virker, hvad gør vi så?

”Vi ved nu med sikkerhed at Anti-Virus og Firewall ikke stopper moderne trusler og ransomware”

Machine learning og Application Behahiour

Da det ikke længere er nok at kigge på signature og forsøge og finde ud af hvad

som er malicious ud fra det, er der behov for andre metoder til at stoppe ukendt

“bad” og Zero-Day angreb. Forsøg og kig på systemer som baserer detection og

prevention på behaviour analyse og maskine læring. SentinelOne.com er en af

de revoluterende systemer på dette område.

Whitelisting og Content Isolation

Forsøg og arbejd udfra whitelisting metoden, hvor du bruger en software som kan

gør dig i stand til hurtigt at whiteliste troværdige applikationer og hjemmesider og

hvor du samtidigt har mulighed for at køre ukendte filer og hjemmesider i seperate

”sandboxes”. Avecto.com har udviklet et system som er baseret på disse metoder.

Detection

Hvis vi arbejder ud fra tankegangen om at vi ikke kan stoppe alt, så skal vi i det

mindste kunne se hvad vi er- og bliver ramt af. Brug logs og flow data til at se hvad

der foregår på dit netværk. Udbydere af SIEM software kan hjælpe her, og nogle

af de anerkendte løsninger er IBM’s Qradar og EventTracker.

Forsikring imod Ransomware

Sikre dig med en forsikring – hvem betaler ransomwaren hvis I bliver ramt? Her

kunne det være en idé og forsikre sig således at nogle andre betaler for ransomen

og ikke din virksomhed. Bland andre SentinlOne.com tilbyder sådan en forsikring.

Der er et hav af andre metoder hvorpå du kan beskytte dig selv på imod

moderne angreb og ransomware. Hos Draware har vi specialiseret os i hvordan

virksomheder kan øge deres IT sikkerhedsniveau og derved minimere

forekomsten af angreb.

Du kan læse mere om de forskellige IT sikkerhedsløsninger som findes på

markedet på www.draware.dk eller ringe til os på:

+45 4576 2021

GUIDE: RANSOMWARE ON THE RISE

Ransomware Cheat Sheet

14 tips hvorpå du kan beskytte dig imod Ransomware

1. Jævnlig data Back-up. Eller få et system som gendanner

krypterede filer.

2. Sikre dine offline backups. Sikre dig at disse backups ligger på

servere hvor der ikke er permanent forbindelse til internettet og andre enheder – men kun når der er behov for dette (når der skal tages backup).

3. Konfigure firewalls til at blokere adgang til IP addresser

som er skadelige eller kendt for at være malicious.

4. Tænk over hvordan du opdeler dit netværk. Hvis

muligt så adskil dit netværk således at malware ikke kan sprede sig

vidtgående over hele virksomheden

5. Patch dine OS, software, og firmware. Husk og patch

tredjeparts software og ikke kun windows applikationer.

6. Brug next-gen firewall Til at foretage SSL analyse og Deep

Packet Inspection.

9. Blokere ads. Brug add-blocker og lignende software på dine

browsere.

10. Brug Prvillige management systemer til at begrænse admin rettigheder og holde styr på hvad dine brugere må og

kan.

11. Gør brug af next-gen anti-virus technologer som

tager udgangspunkt i bl.a. machine learning og application behavior fremfor

at være signatur baseret.

12. Brug Application whitelisting, og tillad kun de systemer,

applikationer og hjemmesider, som er troværdige.

13. Sørg for at overvåge logs og flow ategorize data based

on organizational value SIEM og log management værktøjer giver dig

indblik i hvilken tilstand dit netværk er i og om du er under angreb.

7. Scan indkomne og udgående emails all incoming

and outgoing emails

8. Få en stærk spam filter. to prevent phishing

emails således at du undgår / minimere phishing emails og spoofing.

.

14. Foretag sårbarhedsanalyser. Brug værktøjer til at

scanne dit netværk og finde sårbarhederne på.

Kontakt

www.draware.dk / +45 4576

2021

Hos Draware har vi i mange år specialiseret os i IT sikkerhed og hvordan man skruer

en IT strategi sammen, som gør at man minimere forekomsten af moderne angreb. Du

kan læse mere om hvad vi laver på www.draware.dk eller hente vores gratis IT

sikkerhedsbog hvor vi går i dybden med IT sikkerhed, metoderne heri og løsninger til

de mest udbredte udfordringer indenfor Cyber Security.