Truslen fra Ransomware

Relaterede dokumenter
Aktuelt fra sikkerhedsfronten trends og tendenser i cyber- og informationssikkerhed

Hvordan styrer vi leverandørerne?

Mange sikkerhedsprocesser har samme relevans i dag som for 10 år siden, lad os nu se at få dem implementeret

DKCERT 25 år Aktuelt fra sikkerhedsfronten tendenser i cyber- og informationssikkerhed

> DKCERT og Danskernes informationssikkerhed

Cybertruslen mod Danmark

Sikkerhed: Trends og tendenser - trusselsbilledet nu og i fremtiden

Borgernes informationssikkerhed 2015

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER

DK-CERT Orienteringsmøde 8. marts 2010 Eigtveds Pakhus. Shehzad Ahmad, DK-CERT

Viden om phishing. Den tid det tager at fuldføre: 3 5 minutter (cirka) Information Security and Risk Management (ISRM) McKesson Europe AG

Digitaliseringstyrelsen DKCERT DelC Danskernes informationssikkerhed

- Forskningsnettet på 20 minutter - Sikkerheden i 2011

Status fra Sikkerhedsfronten. Jens Borup Pedersen DK-CERT/DeiC

Få helt styr på NemID

Danskernes informationssikkerhed

ELEVFOLDER CODEX CODE OF CONDUCT

IT kriminelle bruger mange metoder: Virus små programmer der kan ødelægge computerens styresystem, data og programmer Crimeware som regel trojanske

Borgernes informationssikkerhed 2014

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

- Hvad er det, hvad gør det og hvordan kan du beskytte dig?

Modul 3: Digital Sikkerhed

Clublog Dansk vejledning af OZ0J Version 1.0 opdateret juli Forord. Denne vejledning indeholder opstart og løbende brug af Clublog.

Kort og godt om NemID. En ny og sikker adgang til det digitale Danmark

F-Secure Mobile Security for S60

Det Juridiske Fakultet. Internetkriminalitet. Peter Kruize. 22 oktober 2013 Dias 1

Mini-guide: Sådan sikrer du din computer mod virus

Login til den digitale ansøgningsportal

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

- Hvad er det, hvad gør det og hvordan kan du beskytte dig?

KMD s tilgang til cybertrussler. Public

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Startvejledning

Dansk Ride Forbunds Stævnesystem Netværksopsætning

> Stories from the trenches

Internettruslerne på Forskningsnettet. Jens B. Pedersen Forskningsnet-CERT

ER VIRKSOMHEDERNE KLAR TIL DIGITALE REGNSKABER?

En introduktion til. IT-sikkerhed

Danske Vandværker på vej mod 2020

Reagér på bivirkninger

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Trusselslandskabet lige nu. Hvor er Ulven?

T R E N D R A P P O R T

SÅDAN BESKYTER DU DIG BEDST PÅ NETTET

AU-HR Sharepoint Vejledning Medarbejder indplacering

ELEVFOLDER CODEX CODE OF CONDUCT

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Loginvejledning, tips og hjælp

Sådan beskytter du din computer mod angreb

JUNI Cybersikkerhed ET VIGTIGT FOKUSOMRÅDE I SMÅ OG MELLEMSTORE VIRKSOMHEDER

Online bestillingsmuligheder:

EN REVOLUTIONERENDE CYBER SECURITY LØSNING

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Denne brugsanvisning gælder for følgende modeller:

SDB. MySQL Installation Guide

Retningslinjer for informationssikkerhed i Quick Care

Brugervejledning. til. Landsforeningen Danske Folkedanseres. Medlemssystem (For dansere)

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Trusselsvurdering Cyberangreb mod leverandører

Indledning. Resume. Statistikgrundlag

INDHOLDSFORTEGNELSE INDLEDNING KAPITEL ET... 9 Gratis Dropbox-konto. KAPITEL TO Dropbox uden installation

1. Indledning. 1.1 Hvad er Avira DE-Cleaner? 1. Indledning Hvad er Avira DE-Cleaner? 1.2. Systemforudsætninger. 2. Download af Avira DE-Cleaner

INTERNT UDKAST. Sikkerhed i lægepraksis Praktisk vejledning Version 2.0

PTSD Undervisningsmateriale til indskolingen

Kapitel 1: Introduktion...3

BRUG IT MED OMTANKE IT-SIKKERHED I KONTROLRUM OG TEKNISKE SYSTEMER

Brugervejledning til Web-LIMS Online registrering af prøver til Toldlaboratoriet

Hvad mener du om din nye smartphone? - resultater fra spørgeskemaundersøgelse 2

TDC DDoS trusselsrapport for 2017

UNDERSØGELSE AF ELETRONISKE SERVICEYDELSER HOS DANSKE FAGFORENINGER. En sammenfattende rapport

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

SAMARBEJDE MELLEM POLITIET OG VIRKSOMHEDERNE MOD CYBERKRIMINALITET

Økonomiudvalget om status på it-sikkerhedsarbejdet i kommunen, og herunder om it-sikkerhedshændelser og kompenserende tiltag.

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Undersøgelsen viser på nordisk plan generelt de samme tendenser i de nordiske lande, men man ser også en række forskelle.

Undersøgelsesrapport. Målrettede forsøg på hacking af den danske energisektor

Konkrete anvisninger på en sikker og ansvarlig cloudinfrastruktur. v/jørgen Smed og Erik Borch Olsen, Komplex it

Forskningsnettets deltagelse i det danske operationelle ISP-beredskab

De 10 vigtigste tip. til holde din lille virksomhed sikker

Sikker deling og kommunikation F-SECURE PROTECTION FOR SERVERS, AND COLLABORATION

Sådan bør Løsningscenter se ud ingen advarsler alt er slået til. (klik på flaget nederst til højre på skærmen)

Opsætning af klient til Hosted CRM

CFCS Beretning Center for Cybersikkerhed.

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Botnets Organiseret kriminalitet på nettet

En håndbog i SIKKER IT-BRUG. til erhverv

Enhed for Selvmordsforebyggelse. Information til pårørende

WORDPRESS OG SIKKERHED

Lidt om Virus og Spyware

Installationsvejledning til ectrl

F-Secure Anti-Virus for Mac 2015

Spørgsmål og svar om håndtering af udenlandsk udbytteskat marts 2016

Internetdagen 2016 NIS-direktivet. Afdelingschef Thomas Kristmar

Handelsbetingelser_Flextur/Flexrute med Dankort og Visa Dankort

Baggrund Center for Cybersikkerhed har erfaret, at flere danske virksomheder bliver ramt af phishing og spear-phishing-angreb.

Tjenestespecifikke vilkår for Mobilt bredbånd - Privat - Juni 2010

Mobning i dit barns klasse: hvad du kan gøre. Tag mobning alvorligt og reagér, hvis der er mobning i dit barns klasse.

Nyhedsbrev fra Forskningsservice, 2. kvartal 2010

TIL MAC. Startvejledning. Klik her for at overføre den seneste version af dette dokument

Fællesregional Informationssikkerhedspolitik

Transkript:

Truslen fra Ransomware IDA-IT 9. februar 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk

Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Afpresning mod borgere og virksomheder Ransomware Ikke kun ransomware.. DDoS som afpresning Hvad skal vi gøre for at imødegå truslen? Patch sårbarheder Tekniske sikkerhedstiltag Bløde sikkerhedstiltag 2

Hvem er jeg? Cand.mag. (historie og nordisk arkæologi) 1985 Sideløbende uddannelse i handel, økonomi, ledelse og edb/it siden 1971 Exam. ESL, ITIL-F, CISSP, CISM, CGEIT, ISO27001-Master Nationalmuseet 1979-1988, Højskolen Marielyst 1993-1998 Københavns Universitet 1989-1993 og1998-2015, informationssikkerhedschef 2011-2015 tidligere bl.a. it-drift/infrastrukturchef i Koncern-it DeiC, Chef for DKCERT 2015->, medlem af bestyrelsen for Rådet for Digital Sikkerhed, DIFO Sikkerhedspanel mv. 3

DKCERT: opgaver og tjenester

Hvem er DKCERT? - Opgaver DKCERT er en tjeneste fra DeIC (Danish e-infrastructure Cooperation), der følger sikkerheden på internettet og advarer om potentielle it-sikkerhedsproblemer DKCERT tager imod henvendelser om sikkerhedshændelser på internettet fra Forskningsnettet og andre danske og udenlandske kilder DKCERT indgår i FIRST, et verdensomspændende netværk bestående af over 300 CERT/CSIRT teams, samt i den europæiske organisation Trusted Introducer DKCERT har et bredt samarbejde med danske og nordiske organisationer og myndigheder 5

Hvem er DKCERT? - Tjenester Informationstjenesten. Webnyheder, nyhedsbreve, advarsler, tweets, awareness, trendrapporter mv. Presse, konferencer mv. Borgerundersøgelser Sagsbehandlingen. Modtager og behandler rapporter om sikkerhedshændelser på eller relateret til Forskningsnettet. Rådgiver og støtter efter behov Sårbarhedsscanninger Otte parallelle Nessus Enterprise-scannere Omfattende rapport til institutionen Også on-demand scanning 6

ISO 27001 og -2, pkt. 6 6.1.3: Kontakt med relevante myndigheder (ordensmagten, kontrolorganer, tilsynsmyndigheder m.v.) 6.1.4: Kontakt med særlige interessegrupper eller andre faglige sikkerhedsfora og faglige organisationer Modtage tidlige varsler om alarm, meldinger og patches vedrørende angreb og sårbarheder Få adgang til ekspertrådgivning om informationssikkerhed Skabe passende kontaktpunkter ved håndtering af informationssikkerhedsbrud Aftaler om informationsudveksling for samarbejde og koordination af sikkerhedsproblemer. Identificere krav om beskyttelse af fortrolig information. 7

Afpresning mod borgere og virksomheder

Afpresning Ransomware tager til flere eksempler fra universiteter, kommuner, virksomheder og private (Cryptolocker, Cryptowall v.3 osv.) Hidtil pc er, nu også disksystemer (Synolocker) DDoS-angreb som afpresning betal, eller vi lukker dit websted! 9

Ransomware Et ransomwareangreb foregår typisk ved, at et it-system inficeres med et stykke malware som følge af, at en person i god tro har åbnet vedhæftede filer eller links i en ondsindet e-mail. Malwaren krypterer herefter alt indholdet på ofrets harddisk og de drev, der er skriveadgang til. Når krypteringen er fuldført, vil ofret få en besked fra angriberne, som lover at dekryptere ofrets data mod betaling af en løsesum deraf navnet ransomware. https://fe-ddis.dk/cfcs/cfcsdocuments/begræns_risikoen_for_ransomware.pdf 10

Afpresning Big Business nye beregninger viser at alene Cryptowall i 2014 havde en omsætning på omkring USD 325 mio.! DKCERT anbefaler: Hav backup af alt Brugeren skal ikke have administratorrettigheder (begræns skaden) Awareness om phishing (Digitaliseringsstyrelsen kørte en kampagne i efteråret) 11

Fra Borgernes informationssikkerhed 2014: Har du været ramt af ransomware? Yes No Don't know/unanswered 1% 8% 91% 12

Fra Borgernes informationssikkerhed 2015: Har du været ramt af ransomware? Yes No Don't know/unanswered 1% 7% 92% 13

Fra Borgernes informationssikkerhed 2014: Ramt af ransomware hvordan reagerede du? 2% 2% Paid ransom and got access to data 22% Got access to data by other means Did not get access to data 56% 18% Got access to data using security software Don't know/unanswered 14

Fra Borgernes informationssikkerhed 2015: Ramt af ransomware hvordan reagerede du? 9% 4% Fjernede spærringen med et sikkerhedsprogram 45% Fik data tilbage på anden vis Fik ikke data tilbage 42% Betalte løsesum, men fik ikke data tilbage 15

Virksomheder og organisationer rammes oftere Ingen tal og statistikker Flere kendte eksempler fra bl.a. kommuner DKCERT har kendskab til ransomware-sager ved flere universiteter Mange begrænsede enkeltsager Hænger i høj grad sammen med phishing Phishing kan også have andre formål 16

Ikke kun ransomware

DDoS Distributed Denial of Service DDoS er nemt, billigt og let tilgængeligt, hvis man vil genere virksomheder eller enkeltpersoner Kan bestilles på nettet for få dollars Kan være svært at beskytte sig imod især for enkeltpersoner og mindre virksomheder 18

Reflection- eller amplification-angreb Åbne UDP-services (NTP: Network Time Protocol, DNS: Domain Name Service, SSDP: Simple Service Discovery Protocol, m.fl.) udnyttes til at forstærke angreb Pakkestrømmen reflekteres fra en intetanende parts åbne NTP eller tilsvarende ( reflection ) ved, at angriberen sender en forespørgsel med offerets IP-adresse angivet som afsender Herved forstærkes pakkestrømmen med en høj faktor ( amplification ) DNS-amplification 1:70 NTP-amplification 1:20 1:200 eller mere..! 19

Danske virksomheder og forskningsinstitutioner angriber den indiske banker! Denne overskrift kunne have været bragt i aviserne i september Henvendelse fra indiske CERT om omfattende DDoS-angreb mod indiske banker og andre finansvirksomheder hen over sommeren Mange forkert konfigurerede NTP, DNS og SSDP-instanser i en lang række lande anvendt til reflection/amplification 73 IP-adresser alene på Forskningsnettet deltog i angrebene! Der var pr. 3. oktober 186 åbne NTP-servere og 9 SSDP på Forskningsnettet I dag til morgen har vi rapporteret 163 NTP, 8 SSDP, 2 DNS, 7 SNMP 20 og 8 NetBIOS.

Afpresning med DDoS eksempel Tre græske banker blev angrebet af cyberkriminelle ( hackere ) I slutningen af november 2015. Angrebet lukkede kortvarigt for bankernes internetforretning En gruppe, der kaldte sig Armada Collective, truede med at angribe igen, med mindre bankerne betalte en betydelig løsesum i Bitcoins Elektroniske transaktioner blev afbrudt af en bølge af forbindelsesforsøg. Man mener ikke, at angriberne har haft adgang til kundedata Armada Collective menes også at stå bag nylige cyberangreb mod banker I Thailand og Schweiz Financial Times: http://www.ft.com/fastft/2015/11/30/hackers-targeted-greek-banksdemanded-bitcoin-ransom/ DKCERT har kendskab til et dansk firma, der er blevet angrebet af nogle, der påstår at være den samme gruppe 21

Afpresning med hacking af kundedata eksempel Wired.com fortalte 3. december 2015 om en cyberkriminel, som kalder sig Hacker Buba Han hackede en bank i De Forenede Arabiske Emirater og truede med at offentliggøre stjålne kundedata, hvis banken ikke betalte en løsesum Da banken nægtede at betale, lagde han data om mere end 500 bankkunder på Twitter http://www.wired.com/2015/12/hacker-leaks-customer-data-after-a-united-arabemirates-bank-fails-to-pay-ransom/ 22

Hvad skal man gøre?

Hvad skal man gøre? Patch sårbarheder

Sårbarheder På verdensplan voksede mængden af registrerede sikkerhedshuller i 2014 med 53 procent til 7.937 sårbarheder Kritiske sårbarheder udgjorde en fjerdedel I 2015 er der kun registreret 6.488 sårbarheder heraf mere end en tredjedel kritiske 25

Sårbarheder i National Vulnerability Database 8000 7000 6000 5000 4000 3000 Mindre alvorlige Kritiske 2000 1000 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 26

Hold øje med sårbarheder Få foretaget jævnlige sårbarhedsscanninger og patchninger! Sørg for at have en god og opdateret antivirusbeskyttelse Hav en firewall, der kun er åben for det helt nødvendige 27

Hvad skal man gøre? Tekniske sikkerhedstiltag

Mail-filtrering (Normalt) ingen grund til at kunne udveksle exe-filer på mail Zip-filer, der indeholder Java-script (.js-filer).ade,.adp,.app,.bas,.bat,.chm,.cmd,.com,.cpl,.crt,.csh,.exe,.fxp,.hlp,.hta,.inf,.ins,.isp,.js,.jse,.ksh,.lnk,.mda,.mdb,.mde,.mdt,.mdw,.mdz,.msc,.msi,.msp,.mst,.ops,.pcd,.pif,.prf,.prg,.reg,.scf,.scr,.sct,.shb,.shs,.url,.vb,.vbe,.vbs,.wsc,.wsf,.wsh,.xsl. 29

Begræns administratorrettigheder Hvis brugerkontoen har rettigheder som lokaladministrator, kan brugeren gøre alt på computeren: Installere programmer, installere drivere, ændre firewall-opsætning og hvad man ellers har lyst til Ingen grund til, at brugerkontoen skal have rettigheder til at skrive i Windows-biblioteket Skriverettigheder til filer på fællesdrev kan gøre skaden værre - som det fx skete ved et af universitetsangrebene 30

Backup Hav altid backup af dine filer de fleste klarer et ransomwareangreb ved at geninstallere det inficerede system og indlæse en backupkopi Hav helst flere generationer af backup og sørg for at tage backup jævnligt Hold backupkopien off-line 31

Hvad skal man gøre? Bløde sikkerhedstiltag

Passwordsikkerhed Nu som for 10 år siden: Brug forskellige passwords til forskellige tjenester Borgernes informationssikkerhed 2014: 41% af deltagerne svarede, at de bruger samme password til flere onlinetjenester Brug komplekse passwords Kravene til komplekse passwords har udviklet sig Del aldrig dine passwords med andre heller ikke med phishere.. 33

To-faktor-autentifikation Brugeren skal indtaste en éngangskode sammen med sit brugernavn/- password. Gør det sværere at misbruge et stjålet password Eksempler: Kodekortet til NemID, sms-koder til netbanker, autentifikations-app på Android til Google-tjenester Apple udvidede brugen af to-faktor-autentifikation til icloud efter offentliggørelsen af berømtheders private nøgenfotos 34

Awareness Oplysning om phishing Ikke nødvendigvis dårligt oversat, kluntet dansk Bevidsthed hos brugerne om faren ved at klikke på links Aldrig aflevere password og andre personlige oplysninger 35

Eksempel på phishingmail 36

Eksempel på phishingmail 37

Eksempel på phishingmail 38

[ Tak for opmærksomheden!] [Spørgsmål?] Henrik Larsen Email: henrik.larsen@cert.dk DKCERT

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback