Hvad er Ransomware?
Et ransomware-angreb er et af de mest ødelæggende malware-svindel, som forretningsbrugere kan opleve.
Du bliver låst ude af din pc, og du ser en skræmmende besked vises på din skærm, der kræver tusindvis af dollars værd af f.eks.
Bitcoin (en anonym betalingsform, der opbevares i en kryptovaluta-tegnebog), der skal betales til en anonym adresse.
Disse meddelelser har normalt en nedtællingstimer, der tilføjer en følelse af forestående undergang til en allerede stressende situation.
I tilfælde af små til mellemstore virksomheder (SMB'er) kan dataene i deres computere og systemer udgøre levedygtige klientoplysninger, finansielle konti, tophemmelige patenter og andre typer uvurderlige oplysninger.
Uden en dekrypteringsnøgle er den eneste mulighed at gendanne din pc fra en nylig sikkerhedskopi, forudsat at du har en.
Hvis du betaler løsesumgebyret, bliver du endnu et offer for ransomware-plagen, der har plaget SMB'er vidt og bredt.
Ransomware, eller cryptoware, er en form for malware, der svarer til cyberækvivalenten med at holde et gidsel for kontanter, undtagen i dette tilfælde er gidslet din virksomheds data.
Du vil ikke bemærke ransomware, når den første gang implementeres, fordi alt, hvad den gør, er at stille kryptere dine filer.
Men så når det er krypteret nok af dine data, gør det sig kendt.
For det første ved kun at låse dig ud af dine egne data ved hjælp af en krypteringsnøgle, og derefter med en besked til dig om, at den vil give dig den nøgle, så længe du først betaler.
I mellemtiden kan du ikke læse dine data længere.
Desværre, selvom du betaler løsepenge, har du ingen anelse om du får dine data tilbage.
Når alt kommer til alt er transaktionen helt anonym, og der er intet, der forhindrer angriberen i nådigt at acceptere din betaling og derefter ignorere dig.
Selvom det ikke er umuligt at få dine data tilbage uden at betale løsesummen, er det vanskeligt, så det er mere sandsynligt, at du graver gennem dine seneste cloud-sikkerhedskopier ved slutningen af ??dagen.
Nogle eksempler
Sandsynligvis den mest kendte trussel mod ransomware var WannaCry fra 2017.
Dens underskrift var at bruge en bagdør i Server Message Block (SMB), Microsoft Windows-fildelingsprotokollen.
Udnyttelsens navn var EternalBlue; det fik en hel del berygtelse i det offentlige øje, da oprindelsen af ??EternalBlue var Equation Group, en cyberspionagegruppe med mistanke om bånd til US National Security Agency (NSA), hvis du tror på kilderne.
Det ville glide ind, udføre sit beskidte arbejde og sprede sig til nærliggende systemer, der var sårbare.
Heldigvis stoppede dette i et stykke tid et problem i Windows 8, da udnyttelsen ikke længere var effektiv mod den måde, hvorpå Windows håndterede hukommelsesadministration.
Desværre er truslen tilbage igen på grund af nogle frygtløse hackere, der porterer EternalBlue for at arbejde med alle versioner af Windows.
SamSam, en anden ransomware-variant, har også skabt overskrifter.
Colorado Department of Transportation (CDOT) sagde, at det blev ramt af SamSam den 21.
februar 2018.
CDOT sagde, "bruddet var ikke via en e-mail eller resultatet af medarbejderfejl, men via et hul i [its] System, der blev udnyttet.
"Desværre, selvom CDOT kørte opdaterede netværkssikkerhedsværktøjer, havde SamSam udviklet sig nok til at glide lige forbi dem.
Dette vil sandsynligvis fortsat være virkeligheden i den nærmeste fremtid, da netværkssikkerhed har været har altid været et våbenkapløb mellem malware-forfattere og netværkssikkerhedssoftwareudviklere.
Hvad der fungerer i dag fungerer muligvis ikke i morgen, når det kommer til fjernelse og beskyttelse af malware.
Bliver inficeret med Ransomware
Der er vanskelige måder, ransomware kan komme ind i dit system på; EternalBlue er bare en af ??dem.
Imidlertid har dårlige aktører, der får kontrol over dine systemer, sjældent brug for noget sofistikeret.
Mange gange giver vi utilsigtet bare andre mennesker adgang.
Social engineering, der bruger menneskelig kommunikation som et middel til at få adgang til information, er altid den mest effektive måde at få adgang til og udnytte en virksomheds netværk.
Dette behøver ikke at tage form af et besøg eller endda et telefonopkald, men kan forblive helt digitalt.
Et almindeligt eksempel er en hacker, der får kontrol over en mellemmands e-mail-konto, enten ved at hacke deres e-mail-tjeneste eller ved simpelthen at få adgang til brugerens adgangskode.
Når kontoen er under deres kontrol, kan de sende omhyggeligt udformede e-mails til personens kontaktdatabase; e-mails, der ikke indeholder klodset forespørgsel om kontooplysninger, men i stedet tilbyder links til inficeret indhold.
For eksempel er "Tjek dette videoklip, det er sjovt" almindeligt.
Der kan endda være et videoklip i den anden ende af linket, men en del af videoens data vil også være ransomware-infektionen.
Et par andre risikomuligheder inkluderer utilfredse medarbejdere, officielle forretningsmails fra partnere eller fantommyndigheder eller simpelthen personlige besøgende, der efterlader ting som inficerede cd'er eller tommelfinger.
Selv om ikke alle sager kan forhindres, kan en hel del problemer undgås ved blot at følge nogle få SMB-sikkerhedsmetoder.
Frigivelse af gidslerne
Afhængigt af typen af ??ransomware-angreb er der forskellige modforanstaltninger, du kan anvende for at håndtere situationen.
Men forkert håndtering af et ransomware-angreb kan være ødelæggende for enhver virksomhed.
Nogle virksomheder trækker stikket i deres internetforbindelser og gennemgår den besværlige proces med at geninstallere hver klient-pc's operativsystem (OS), softwareprogrammer og data fra en sikker sikkerhedskopi.
Der er også mulighed for at downloade et værktøj, der adresserer en bestemt trussel mod ransomware for at fjerne dem fra deres system.
Oddsen for, at det rigtige fjernelsesværktøj er let tilgængeligt for dig, efter at et ransomware-angreb er udløst, er dog ikke godt.
Og simpelthen at lukke dine forretningsmaskiner ned og derefter geninstallere alt, inklusive operativsystemer, vigtig forretningssoftware og data, kan være næsten lige så lammende og indtægtsskadelig som den ransomware, du prøver at besejre.
Nylige sikkerhedskopier kan stadig være en kritisk del af processen, og da skyen har gjort det lettere end nogensinde, er det noget, du helt sikkert bør sikre dig, at din virksomhed gør.
Det bedste forsvar mod ransomware reagerer imidlertid ikke på det, efter at det går ud, men arbejder snarere for at sikre, at det ikke inficerer dig i første omgang.
Det er, hvad de værktøjer, der er gennemgået i denne sammenfatning, alle hjælper dig med at gøre.
Endnu bedre er det, at mange af disse udbydere ikke behøver at blive købt separat, da de er nye tilføjelser til eksisterende slutpunktsbeskyttelsesprodukter, som din virksomhed sandsynligvis allerede bruger.
Hvordan vi testede
For at teste disse pakker og deres ransomware-beskyttelsesfunktioner overvejede vi en lang række faktorer.
Den første var, hvor godt produktet håndterer kendte trusler; dette er normalt i overensstemmelse med den bedste ydelse.
Det næste aspekt, vi kontrollerede, var, hvor godt produktet kan registrere, om du indtaster dine oplysninger på et phishing-websted, som er en af ??de mest almindelige ransomware-angrebsvektorer.
Aktive angreb forekommer sjældent som en isoleret begivenhed.
Forsøg på phishing og spear phishing (dvs.
målrettet informationsindsamling) kan undertiden virke legitime.
At give dine brugere muligheden for med sikkerhed at vide, om de giver oplysninger til en legitim kilde, er afgørende for forsvaret af dit netværk.
Derefter kontrollerede vi, hvor resistent systemet er over for udnyttelser (hvilket betyder tekniske svagheder, der kan bruges til at kompromittere et system og få privilegeret adgang).
Vi gjorde dette i tre faser, hvor hvert trin tilføjer et lag af kryptering eller uklarhed.
At have et forhøjet niveau af privilegium kan give adgang til at gøre ting som at afinstallere antivirusprogrammet, hvilket efterlader systemet helt uforsvaret.
Med en kombination af social engineering og tekniske midler er det meget muligt at skjule sig i et system, udvinde data eller installere ransomware.
Hvad der er endnu mere skræmmende er, at meget af denne proces kan automatiseres og skaleres.
Endelig kontrollerede vi for ransomware-specifikke funktioner.
I mange tilfælde vil ransomware-beskyttelsesapps journalføre og forsøge at opdage ændringer i filer, der ligner ransomware.
I de fleste tilfælde anvendes maskinlæring (ML) i denne proces, da der er mange apps, der krypterer data, men de fleste af tiden er disse ikke ondsindede.
For at teste denne funktionalitet brugte vi både KnowBe4s ransomware-simulator Ransim og en live kopi af WannaCry på et isoleret netværk for sikkerheds skyld.
vi kontrollerede derefter for at se, hvor lang tid det ville tage for nyttelasten at blive opdaget og behandlet.
Derudover, hvis nogen kryptering fandt sted, så validerede vi, om filer kan rulles tilbage eller ej.
Afsluttende tanker
Ransomware er en farlig, men stort set undgåelig ting.
Ved at udsætte dit netværk for regelmæssige sikkerhedsscanninger og penetrationstest, øve gode sikkerhedsvaner og træne dine brugere, kan du fjerne de fleste af de metoder, hvormed dit netværk kan blive inficeret.
I den sidste mil kan en af ??disse ransomware-beskyttelse til forretningsprodukter helt sikkert hjælpe med at dække dine baser.
