Ransomware Detect and Respond

Bakgrund och hot
En av dem enskilt största hoten idag är utpressningsattack där sk Ransomware är vanligast. En fullskalig attack av denna typ krypterar alla datorer och servrar och gör dem på så sätt otillgängliga och obrukbara. Hotaktören begär en lösensumma för att ge dig nyckeln som låser upp systemen.

Utpressningsattack står för ca 50% av alla attacktyper och är den största anledningen till att cyberkriminalitet har blivit en stor affärsverksamhet.
Företag bör inte betala sig ur en situation som denna utan bör kunna återhämta sig på egen hand och helst ha tillräckliga skyddsåtgärder på plats för att aldrig hamna där.
Kostnaden är enorm för offer av denna attacktyp oavsett om man betalar sig ur eller inte.

Det finns mycket att säga om olika attacktyper, hot och vektorer men vi nöjer oss med denna enkla beskrivning i detta inlägg.

Skyddsåtgärder
Eftersom man inte vill utsättas för en ransomwareattack behöver man besitta många förmågor i sitt cyberförsvar. Det finns inte ett enskilt skydd eller produkt utan man måste arbeta aktivt och systematiskt med IT- och cybersäkerhet.
Man brukar kategorisera dessa förmågor och skyddsåtgärder inom områdena identifiera, skydda, upptäcka, svara och återhämta sig.
Med anledning av dagens hot från cyberkriminella finns det en mängd förmågor och skyddsåtgärder som alla organisationer bör besitta oavsett bransch eller hotbild.

Just nu inför vi ett kompletterande skydd till alla våra kunder med MIRU W3 och uppåt samt S1 och S2.

Vad är nytt i vår tjänst?
I den bästa av världar kommer denna funktion aldrig behövas tack vare proaktiva skydd men som verkligheten ser ut utesluter inte det ena det andra. I vår primära agent som är navet i MIRU och som körs på alla datorer och servrar ingår numera en teknik för att upptäcka crypto-ransomware genom beteendeanalys av filer i realtid. Om detta beteende detekteras kommer en serie av händelser ske momentant med automatik:

  1. Ett larm kommer skapas i vårt system och direkt bli synligt för personal i vår Operations Center
  2. Automatiskt försök att stoppa processen som startat crypto-ransomware i syfte att häva krypteringen.
  3. Enheten kommer automatiskt isoleras för att stoppa spridning till andra datorer och servrar genom nätverket. Enheten kommer endast kunna kommunicera med vår plattform så att vi har möjlighet att styra den för att följa attacken, utföra svarsåtgärder samt att kunna återställa enheten när attacken är avvärjd.

Att enheten isoleras är en stor fördel eftersom det i vissa fall kan vara tekniskt svårt att avsluta en process. Genom isoleringsfunktionen kommer spridning till andra enheter hävas även om den infekterade enheten i värsta fall krypteras.

Mer på ämnet
Om du vill fördjupa dig på ämnet finns det en uppsjö av rapporter och artiklar online. Här listar vi två direktlänkar:

:: IDG – Tagits som gisslan? Så här går en ransomware-förhandling till
:: Truesec – Swedish Cyber Threat Landscape – Release of Truesec Report 2020