I och med den digitala transformationen förlitar vi oss alltmer på våra digitala tillgångar. De flesta företagen är beroende av sin data för att kunna bedriva sin verksamhet. Idag är det en mångmiljardindustri för hackers att kapa datorer med programvara utvecklat för att hålla datan som gisslan tills företaget betalar, så kallat ransomware. Dessa typer av attacker har en avsaknad på rättsliga konsekvenser. Det finns inga nationella, eller internationella lagar som skyddar mot cyberattacker, utan det är upp till företag själva att skydda sin data.

Föreställ dig att du kommer in till jobbet en morgon men kan inte komma åt några av dina filer. Det innebär inte bara förluster för dig genom den tid du förlorar, utan även för dina kunder. Du ringer till support för att få problemet åtgärdat, men får reda på att ditt företag har utsatts för Cryptolocker. Cryptolocker är en typ av ransomware, även kallat gisslanprogram, som är en skadlig programvara vars syfte är utpressning mot företagare. Tillgången till din data blir låst och för att kunna häva krypteringen behöver du betala en lösensumma som kan ligga på allt mellan några tusenlappar upp till flera hundratusen kronor.

Hur vet du om du har blivit utsatt för ransomware?

Vanligtvis märker man att man han blivit utsatt för ransomware när inga filer på datorn går att använda. När du klickar på en fil så återgår du istället till skrivbordet, alternativt så öppnas ett program som informerar om krypteringen samt betalningsinformation för att återfå filerna. I vissa fall visas endast en skärm som helt hindrar användaren från att använda datorn överhuvudtaget; varken email, program, internet eller filer går att komma åt.

De enda alternativen du har är att antingen betala det utpressarna vill, eller offra alla dina filer. Det finns inget mellanting eller rättslig organisation som kan hjälpa till eller skydda dig.

31% av PC-användare har någon gång förlorat alla sina filer
60% av företag som förlorar sin data stänger ner verksamheten inom sex månader
93% av företag som förlorar sin data i 10 dagar eller mer går i konkurs inom ett år

När betalningen, som oftast sker i en svårspårad valuta, är genomförd dekrypterar utpressaren de låsta filerna eller skickar över en nyckel så att företaget själva kan låsa upp datan. Men det finns ingen garanti för att de faktiskt låser upp datan även fast betalningen är genomförd. Det kan också vara möjligt att betalningen leder till att man utsätts för mer malware.

Kontakta oss om du blivit drabbad och behöver rådgivning samt framtida lösningar för att säkra din data.

Cyberattacker är framtidens krig

Den digitala transformationen innebär att all information blir mer lättåtkomlig och sammankopplat. El, vatten, reningsverk, finansiella system, transportsystem likväl som småföretagares egen data; allt är baserat på digitala tekniker och med rätt kunskap åtkomligt från vart som helst i världen. Cyberattacker ökar för varje år och sker i större skala än någonsin. Speciellt attacker mot företag och offentliga tjänster, men även privatpersoner blir drabbade. Informationssäkerhet är ett hett ämne framförallt för att kunskapen angående det hos gemene man är låg. Få har koll på vad de behöver göra för att skydda sin data, eller att de ens behöver göra det.

FN:s generalsekreterare drar jämförelsen till att nästa världskrig kommer ske på internet istället för på ett stridsfält. Med den säkerheten vi har, och de regler vi saknar gällande detta, är det oroande att tänka på vad som skulle kunna ske med ett lands infrastruktur ifall någon bestämmer sig för att genomföra en cyberattack på nationella proportioner.

”Jag är helt övertygad om att, till skillnad från de stora striderna från det förflutna, som öppnade med artilleri eller flygbombningar, så kommer nästa krig att börja med en massiv cyberattack som förstör den militära kapaciteten och lamslår den grundläggande infrastrukturen, som elnätet.”
– FN:s generalsekreterare Antonio Guterres

Hur vi hjälpte en av våra kunder som blivit utsatta

Dessa typer av attacker är som sagt vanligare än vad man tror och det hände nyligen en utav våra kunder.

När dom anställda på företaget kom till jobbet på morgonen märker dom att dom inte kan öppna några av sina filer. Efter att ha letat runt en liten stund upptäcker dom en textfil som heter ”YOUR_FILES_HAS_BEEN_ENCRYPTED_OPEN_ME_ FOR_FURTHER_INFORMATION”.

Företaget kontaktar oss då de inser att någon har låst alla filer och dom vågar inte öppna dokumentet. Väl på plats kan vi konstatera att angreppet är omfattande och allvarligt. Vi öppnar dokumentet, och mycket riktigt, där finns information om hur vi kan få tillbaka företagets filer.

Vi har en begränsad bild av hur attacken uppstod eftersom domänkontrollanten inte går att starta. Vi har endast information från Hyper-V-servern att tillgå. Hyper-V-servern var inte domänansluten därför har inte hackarna kommit åt den.

Vi börjar genast att analysera hur vi snabbt kan få tillbaka företagets filer och information så att dom kan återgå till sin normala verksamhet. Det konstateras snabbt att viruset även krypterat hela företagets backup. Nu börjar det riktiga arbetet att ta reda på vad som har hänt och hur vi kan åtgärda det. Nedan följer ett utdrag ifrån den rapport vår konsult sammanställt av ärendet.

Rapport:
Brute Force med användarnamnet IT-Administrator:
5163 stycken misslyckade inloggningar mellan 2018-07-20 11:30:22 och 2018-07-23 09:11:54.
0 stycken lyckade inloggningar (eftersom kontot inte existerar på Hyper-V-servern).
Brute Force med användarnamnet Administrator:
5500 stycken misslyckade inloggningar mellan 2018-07-19 22:19:30 och 2018-07-23 09:23:00.
103 stycken lyckade inloggningar mellan 2018-07-20 11:38:19 och 2018-07-24 09:23:00.

Hackaren använde alltså det lokala kontot Administrator för att logga på srv-hv-01. Detta har skett vid följande tillfällen:
2018-07-21 klockan 11:38:19
2018-07-21 klockan 21:41:09
2018-07-21 klockan 21:56:06
2018-07-21 klockan 22:42:44
2018-07-21 klockan 22:52:46, o.s.v.

Hackaren anslut med RDP från två olika externa IP-adresser:
188 anslutningar från 31.131.251.224 – senaste anslutningen gjordes 2018-07-23 09:23:05
113 anslutningar från 31.131.251.228 – senaste anslutningen gjordes 2018-07-23 09:11:52
8 anslutningar från 192.168.68.102 (inom DHCP-skopet, antagligen legitimt)
6 anslutningar från 192.168.68.240
4 anslutningar från 192.168.68.31

Vi kan med hjälp av informationen i rapporten förstå och utläsa att det här rimligtvis inte rör sig om exempelvis ett ”postnord-virus”, alltså ett automatiserat cryptovirus som aktiveras av att en användare klickar på en länk i ett mail eller liknande. Det här är ett extremt fall där man faktiskt pinpointat och medvetet hackat ett företag och aktivt kört ett krypteringsprogram på allt som dom har kommit åt. Det vanligaste är fortfarande att Cryptoviruset aktiveras genom att en användare klickar på en länk.

I det här fallet så saknade företaget en backuplösning som lagrar informationen utanför huset vilket gjorde caset väldigt mycket mer problematiskt och allvarligt. Den lokala backupen hade också krypterats och var obrukbar. Hade man haft en backuplösning som skickar data utanför huset hade man utan problem kunnat återställa hela servermiljön till den senaste backupen innan attacken genomfördes. Man hade på så sätt sparat tid, pengar och väldigt mycket av den information företaget har byggt upp under flera år. Visst ett par dagars arbete hade gått förlorat eftersom man sällan upptäcker attacken direkt.

Vi fick i det här fallet för företagets räkning köpa en de-krykteringsnyckel av hackargruppen för att låsa upp filerna. Detta görs ofta med kryptovaluta. Dock kunde inte deras nyckel avkryptera alla filer. Så mycket av företagets information och data gick förlorad. Som tur var i det här fallet så hade hackarna missat att kryptera den absolut viktigaste mappen, företagets ekonomi och ordersystem.

Trots det så blev det en stor kostnad för kunden. Mycket information försvann och väldigt mycket arbetstid gick förlorad.

Vad kan du göra för att skydda din data?

Det finns många åtgärder du själv kan ta för att öka säkerheten. Det första steget är att vara medveten om att alla företag är sårbara för en cyberattack och ransomware. Det spelar ingen roll om det är ett stort eller litet företag eller om du jobbar i en viss sektor. De här är några enkla saker du kan göra själv:

  • Se till att alla program är uppdaterade på din dator
    Uppdateringar för programvara eller operativsystem förbättrar stabilitet, säkerhet och prestanda. De är framförallt till för att öka säkerheten gentemot hackers som konstant hittar bakvägar in i programvaran. I säkerhetsuppdateringar täcks dessa bakvägar igen och det blir svårare att hacka sig in i systemet. Du kan slå på automatiska uppdateringar eller uppdatera när datorn säger till att det är dags. Här kan du läsa mer om hur du uppdaterar din dator:
    – Mac: https://support.apple.com/sv-se/HT201541
    – Windows 10: https://support.microsoft.com/sv-se/help/4028443/windows-10-update-drivers
    – Windows 8: https://support.microsoft.com/sv-se/help/15046/windows-8-download-install-drivers
  • Installera ett etablerat antivirusprogram
    Antivirusprogram fungerar som din dators dörrvakt. Det är ett program utvecklat övervaka allt som sker för att skydda och bekämpa skadlig kod. Om något misstänksamt hittas ger programmet en varning och kan därefter ta bort eller reparera skadade filer.Här är några antivirusprogram som vi rekommenderar dig:
    Panda Adaptive Defence 360
    Trend Micro
    Eset
  • Var kritisk mot mail från okända källor; öppna inte länkarna eller de bifogade filerna
    Vi önskar alla att vi hade en rik, okänd släkting på andra sidan världen som ville ge oss en del av sin förmögenhet. Men tyvärr så händer det inte så ofta så det gäller att vara vaksam när man får mail från okända personer och emailadresser med konstiga ändelser. Just ett sådant email kan vara lätt att känna igen som SPAM, men det finns även mycket bättre utformade emails som kan verka komma från din bank, Microsoft eller din vän. Dessa email inkluderar ofta en länk du ska klicka på, eller bifogad fil de vill att du ska ladda ner. Så fort du klickar på länken eller laddar ner filen utsätter du din dator för risk. Var därför vaksam på om emailadressen ser suspekt ut, eller om ett företag ber dig om personliga uppgifter såsom bankkontonummer, som du vanligtvis inte lämnar ut.
  • Ha alltid, alltid, alltid en backup gärna även offsite
    Men jag behöver väl inte en backup som har så lite filer och bilder? Jo, en backup fungerar som mer än bara ett extra utrymme. Poängen med att använda sig utav en backup vare sig den är molnabaserad eller står på ert kontor är att skydda dina filer. Om något händer med din dator, eller om du blir utsatt för ransomware, så har du alltid en kopia du kan gå tillbaka till. En backup ska vara konstant och en spegel utav vad du har på din dator du arbetar på. Kolla in vår sida med olika backuplösningar för mer information.
  • Andra tips
    – Skapa starka lösenord till alla administratörskonton
    – Inaktivera det lokala kontot Administrator eller byt namn på det till IT-Administrator eller liknande.
    – Ha en offsite-backup. Dvs en backup som lagras utanför huset i ett annat nätverk vilket är helt avgörande för att återskapa data om en fullskalig låsning av alla filer genomförs.
  • Låt någon annan sköta säkerheten åt dig
    Allra bäst säkerhet får du genom programvara som är utformad för att skydda dina filer och ditt nätverk. Det finns massor med olika säkerhetslösningar och vilken du ska välja är baserat på din typ av verksamhet och de behoven du har.

Microsoft Office 365 Advanced Threat Protection (ATP)

På Fortner förlitar vi oss på Advanced Threat Protection (ATP) som är en molnbaserad säkerhetslösning från Microsoft. Den identifierar och undersöka avancerade hot, komprometterade identiteter och externa och interna angripares åtgärder riktat mot ditt företag. Programmet känner igen hot redan innan det har skett och sätter in säkerhetsåtgärder för extra skydd.

ATP ger dig ovärderliga insikter om identitet konfigurationer och föreslagna security metodtips. Med säkerhetsrapporter och användarens profil analyser, hjälper ATP att avsevärt minska din organisations attackyta, vilket gör det svårare att kompromettera autentiseringsuppgifter för användare och få en attack. ATP identifierar avvikelser med anpassningsbar inbyggd intelligens, vilket ger dig insikter om misstänkta aktiviteter och händelser.

Se våra paket och vad vi kan göra för ditt företags säkerhet.