Så skyddar sig organisationer mot ransomware attacker

På den senaste tiden har det skrivits mycket om ökningen av s.k. ransomware och framförallt Cryptolocker. Nu sprids ett bekräftelsemail från Postnord på en ej utlöst paketförsändelse. När mottagaren klickar på länken i mailet infekteras mottagarens dator av Cryptolocker. Filerna på datorn krypteras och användaren krävs sedan på en lösensumma för att låsa upp filerna. Om användaren som faller för lurendrejeriet har högre behörigheter i systemet, s.k. administratörsrättigheter, sprids den skadliga koden i nätverket och andra datorer och nätverksresurser kommer att bli nedlåsta på samma sätt.

Gå till botten med problemet

Journalister och säkerhetsexperter har försökt lämna råd till företag och allmänhet. Cert-SE har skickat ut varningar till svenska myndigheter som tycks ligga i frontlinjen för den högsta risken. Problemet ligger högt på agendan för många säkerhetsansvarig idag då det innebär stora kostnader att rensa system, installera om datorer och flera timmars eller dagars arbete går förlorade vid en återställning från backuper.

De vanligaste råden är runda formuleringar såsom ”klicka inte på länkar i misstänkta mail” eller ”se till att ha ett uppdaterat anti-virusskydd installerat”. Tyvärr är inget av dessa råd speciellt effektivt. Att ställa krav på användare att själva kunna avgöra vilka mail eller sidor som är ”misstänkta” är i praktiken omöjligt ens för en säkerhetsexpert och antivirusskydden kan inte hänga med då nya hot eller skadlig kod idag ökar med ca 5 nya hot per sekund, dygnet runt, året runt.

Fyra handfasta råd för att proaktivt skydda din organisation mot ransomware

1. Se till att alla användare är på lägsta möjliga behörighet för att fortfarande kunna utföra sina uppgifter. Lösning finns för att elevera enskilda applikationer istället för användarkonton vilket gör att hela plattformen kan köras som local user samtidigt som användarna kan köra de applikationer de behöver för sitt dagliga arbete.
2. Gör täta och konsekventa backuper. Säkerställ att ni har en rutin inte bara för hur backup tas utan av vad, hur ofta och hur återställning sker från systemet om olyckan skulle vara framme.
3. Vitlistning. Bestäm vad som är bra och tillåt det. Se till att enbart de godkända applikationerna får möjlighet att köras på arbetsplatsens datorer. Lösningar finns för att genomföra detta på ett relativt enkelt sätt vilket innebär att skadlig kod som laddas ned inte ens får köras på användarnas datorer och därför inte kan kryptera filer eller åsamka någon skada.
4. Sandboxing. Skydda er miljö och isolera den. Skadlig kod förekommer idag ofta som s.k. payload inbäddad i dokument eller liknande som laddas ned från internet. Inbäddad kod i en .pdf eller .doc fil är svårupptäckt då applikationen som används för att läsa eller visa dessa är en godkänd applikation. Lösningen är att isolera användarens egen profil från det nedladdade materialet, som därför inte får tillgång till användarens program och foldrar, ännu mindre de delade nätverksresurserna. För användaren är detta helt osynligt och sker utan dennes inblandning eller upptagande av nämnvärda systemresurser, vilket ofta är baksidan med sandboxningslösningar som använder virtuella resurser för att analysera kod innan den exekveras i den verkliga miljön.

Har du några funderingar säkerhet är du välkommen att höra av dig till mig (ake.wieslander@inuit.se) eller någon av mina kollegor.

Bilden högst upp i bloggartikeln är från Geek Republic.