- Hvad er det, hvad gør det og hvordan kan du beskytte dig?
Ransomware, Hvad er det? En guide udviklet af Draware A/S Ransomware er ikke nyt. Det har faktisk eksisteret I over 30 år. Hvad DER ER NYT er at forekomsten af ransomware I 2015 og 16 har eksploderet og er nu en af de mest foretrukne metoder som kriminelle benytter. Cyber kriminalitet er blevet en lukrativ industri og er I slutningen af 2016 mere lukrativ end narkotika industrien. Ransomwares popularitet skyldes bl.a. at hackere er blevet bedre til at benytte andre metoder end blot at tilknytte malicious indhold til filer. Kriminelle benytter altså i højere grad fileless attacks hvor man bl.a. angeber memory og scripts. Disse typer angreb kan desværre ikke stoppes med traditionelle Anti-virus systemer, da disse systemer er baseret på at man kender den malicious signatur som er tilknyttet malwaren. VI KOMMER TIL AT OPLEVE FLERE OG FLERE RANSOMWARE ANGREB, MEN VI KAN HELDIGVIS GØRE NOGET FOR AT I dette hæfte kigger vi lidt nærmere på Ransomware, typer af ransomware, hvordan ransomware virker og hvordan vi kan beskytte os imod angreb. BESKYTTE OS SELV 4
Historie Ransomware angreb blev først opdaget i 1989 og har siden været en af de mest populære metoder til at udnytte private personer og virksomheder. Det er ikke kun i USA og de store lande hvor ransomware bliver mere udbredt, men også i vores egen lille Danmark. Danske virksomheder bliver ramt over 800 gange per dag, af ransomware angreb og det har selvfølgelig store økonomiske konsekvenser. 2 typer ransomware er især meget populære, nemlig Crypto- og Locker-baseret ransomware. Crypto-ransomware krypterer bl.a. filer, folder og harddiske imens Locker-ransomware kun låser brugere ud af deres enheder. 58 procent af alle ransomware-angreb starter ved, at ofret klikker og åbner en vedhæftet fil i en mail, mens 40 procent kom ind på ofrenes computere via inficerede hjemmesider og exploit kits Vidste du? Ransomware industrien var i 2016 $1 milliard værd. 25+ varianter af ransomware familier er blevet identificeret. 800+ ransomware angreb var der per dag i Danmark, I 2016. Phishing er den mest populære metode i forhold til ransomware angreb.
GUIDE: E RANSOMWARE ON THE RISE Ransomware Tidslinje PowerWare CryptoWall CryptoLocker LowLevel04 Locky AIDS Trojan Unnamed Trojan Koler SimplLocker TeslaCrypt Ransomware32 KeRanger Maktub 2005 Archievus Reveton CryptoDefense Sypeng CTB-Locker LockerPin Chimera 7ev3n SamSam (SAMAS) Petya Jigsaw CyrptXXX ZCryptor Kilde: The history of ransomware, PC World, July 20, 2016 9
GUIDE: RANSOMWARE ON THE RISE Ransomware Faser Fase 1 Hacker sender Spam Email Malware XYZ.exe havner på PC en og der køres uskyldige child processer, PowerShell, VSSasdmin, m.m. Fase 3 Kryptering Ransom besked til brugeren Bypasser brugerens spam filter Antivirus reagerer ikke cmd.exe Malware kopirers over på fx. AppData, Startup, C:// Kryptering af filer på drevet Der tilføjes en registry entry (run) Bruger får emailen Fase 2 Bruger klikker på malicious link i mailen PowerShell Der forbindes til en C&C server Hacker forsøger at inficere andrepc er i virksomheden 18
Beskyttelse når AV og FW ikke virker, hvad gør vi så? Vi ved nu med sikkerhed at Anti-Virus og Firewall ikke stopper moderne trusler og ransomware Machine learning og Application Behahiour Da det ikke længere er nok at kigge på signature og forsøge og finde ud af hvad som er malicious ud fra det, er der behov for andre metoder til at stoppe ukendt bad og Zero-Day angreb. Forsøg og kig på systemer som baserer detection og prevention på behaviour analyse og maskine læring. SentinelOne.com er en af de revoluterende systemer på dette område. Whitelisting og Content Isolation Forsøg og arbejd udfra whitelisting metoden, hvor du bruger en software som kan gør dig i stand til hurtigt at whiteliste troværdige applikationer og hjemmesider og hvor du samtidigt har mulighed for at køre ukendte filer og hjemmesider i seperate sandboxes. Avecto.com har udviklet et system som er baseret på disse metoder. Der er et hav af andre metoder hvorpå du kan beskytte dig selv på imod moderne angreb og ransomware. Hos Draware har vi specialiseret os i hvordan virksomheder kan øge deres IT sikkerhedsniveau og derved minimere forekomsten af angreb. Du kan læse mere om de forskellige IT sikkerhedsløsninger som findes på markedet på www.draware.dk eller ringe til os på: +45 4576 2021 Detection Hvis vi arbejder ud fra tankegangen om at vi ikke kan stoppe alt, så skal vi i det mindste kunne se hvad vi er- og bliver ramt af. Brug logs og flow data til at se hvad der foregår på dit netværk. Udbydere af SIEM software kan hjælpe her, og nogle af de anerkendte løsninger er IBM s Qradar og EventTracker. Forsikring imod Ransomware Sikre dig med en forsikring hvem betaler ransomwaren hvis I bliver ramt? Her kunne det være en idé og forsikre sig således at nogle andre betaler for ransomen og ikke din virksomhed. Bland andre SentinlOne.com tilbyder sådan en forsikring.
GUIDE: RANSOMWARE ON THE RISE Ransomware Cheat Sheet 14 tips hvorpå du kan beskytte dig imod Ransomware 1. Jævnlig data Back-up. Eller få et system som gendanner krypterede filer. 9. Blokere ads. Brug add-blocker og lignende software på dine browsere. 2. Sikre dine offline backups. Sikre dig at disse backups ligger på servere hvor der ikke er permanent forbindelse til internettet og andre enheder men kun når der er behov for dette (når der skal tages backup). 10. Brug Prvillige management systemer til at begrænse admin rettigheder og holde styr på hvad dine brugere må og kan. 3. Konfigure firewalls til at blokere adgang til IP addresser som er skadelige eller kendt for at være malicious. 4. Tænk over hvordan du opdeler dit netværk. Hvis muligt så adskil dit netværk således at malware ikke kan sprede sig vidtgående over hele virksomheden 5. Patch dine OS, software, og firmware. Husk og patch tredjeparts software og ikke kun windows applikationer. 6. Brug next-gen firewall Til at foretage SSL analyse og Deep 11. Gør brug af next-gen anti-virus technologer som tager udgangspunkt i bl.a. machine learning og application behavior fremfor at være signatur baseret. 12. Brug Application whitelisting, og tillad kun de systemer, applikationer og hjemmesider, som er troværdige. 13. Sørg for at overvåge logs og flow ategorize data based on organizational value SIEM og log management værktøjer giver dig indblik i hvilken tilstand dit netværk er i og om du er under angreb. Packet Inspection. 7. Scan indkomne og udgående emails all incoming and outgoing emails 8. Få en stærk spam filter. to prevent phishing emails således at du undgår / minimere phishing emails og spoofing.. 14. Foretag sårbarhedsanalyser. Brug værktøjer til at scanne dit netværk og finde sårbarhederne på.
Kontakt www.draware.dk / +45 4576 2021 Hos Draware har vi i mange år specialiseret os i IT sikkerhed og hvordan man skruer en IT strategi sammen, som gør at man minimere forekomsten af moderne angreb. Du kan læse mere om hvad vi laver på www.draware.dk eller hente vores gratis IT sikkerhedsbog hvor vi går i dybden med IT sikkerhed, metoderne heri og løsninger til de mest udbredte udfordringer indenfor Cyber Security.