1. Blog
  2. Cyberdefense
  3. Ransomware – Den hurtigst voksende type af cybercrime

Ransomware – Den hurtigst voksende type af cybercrime

Et ransomware angreb vil ifølge en ny analyse fra cybersecurity Ventures finde sted et eller andet sted i verden hvert 11. sekund i 2021 – og gennemsnitlig koste en halv million danske kroner i direkte omkostninger.

Ransomware er i dag den hurtigst voksende type af digital kriminalitet. Det anslås, at problemet vil vokse yderligere de næste 5 år.

Værst ramt er farma/sundhedssegmentet, som har set en 400% vækstrate i angreb fra 2019 til 2021.

Orange Cyberdefense har ransomware på sigtekornet

Som et specialiseret MSSP og sikkerhedskonsulenthus er vi eksperter i sikkerhedsløsninger for at hjælpe vores kunder med at styrke deres ransomwareforsvar.

En generel høj investering i it-sikkerhed, og i det rette mix af mennesker, proces og teknologi er et godt fundament. Orange Cyberdefense kan hjælpe med de mest effektive løsninger mod ransomware.

Vores løsninger til forberedelse

Ransomware drager i høj grad fordel af privilegie eskalering og laterale bevægelser i netværket.

Orange Cyberdefense tilbyder en sikkerhedsvurdering af virksomhedens Identity Access Management (IAM) for at opdage svagheder. Derudover har vi også løsninger til IAM og adgangsstyring fra de i vores optik førende producenter.

Lateral bevægelse kan begrænses og kontrolleres ved hjælp af segmentering eller mikrosegmentering kombineret med integreret visibilitet i netværkets applikationer og disses trafikstrømme.

Orange Cyberdefense tilbyder segmenteringsløsninger fra førende producenter – samt mikrosegmenteringsløsninger, både i et softwaredefineret netværk – og generelt ved hjælp af en agentbaseret softwaredefineret micro-segmenteringsløsning.

Orange Cyberdefense kan også hjælpe virksomheder med at udarbejde og automatisere beredskabsplaner/playbooks, så man ved, hvad der skal gøres, når et ransomware-angreb opdages.

Vores løsninger til at opdage

Orange Cyberdefense har 11 CyberSOC’er med mere end 250 ansatte i hele verden dedikeret til at overvåge, advare og reagere, når kunden bliver angrebet. Dwel-tiden i ransomware angreb (tid fra angreb til opdagelse) er ofte alt for lang, hvilket giver de ondsindede aktører masser af tid til at arbejde uforstyrret længe.

Vores løsninger til at afhjælpe

Afvikling af velforberedte playbooks og især dynamisk initieret segmentering af netværk og begrænsning af identitet og adgangsstyring – efterfulgt af oprydning og gendannelse til normal drift er de vigtigste værktøjer.

Derudover har vi et globalt CSIRT-team af erfarne konsulenter, der kan engagere sig i saneringsindsatsen.

Hvad er ransomware?

Ransomware er en type malware, der krypterer filer. Ransomware operatørerne kræver en løsesum for at dekryptere filer.

Ransomware-angreb sigter mod:

  • at gøre data utilgængelige
  • at låse kunden ude af systemer / infrastruktur
  • datatyveri

Det typiske ransomware angreb starter med et perimeterbrud. Det kunne være en spear phishing-e-mail, enhver anden form for phishing-angreb eller et angreb på sårbare tjenester, f.eks. en sårbar server.

Ransomware bevæger sig derefter lateralt mod en Domain Controller, en IT-bærbar computer eller en server med en forladt konto med højt privilegium (også kaldet Domain Administrator). Den høster ofte legitimationsoplysninger undervejs. Målet er at erhverve domæne administrator rettigheder.

Ransomware krypterer derefter virksomhedens backup-servere for at udelukke hurtig gendannelse, og det kan stjæle vigtige data, der kan bruges senere, når der forhandles om løsepenge.

Endelig inficerer ransomware alle servere. Infektionen kunne bruge angrebsmetoder som EthernalBlue, BlueKeep, Zerologon over RDP, SMB, RPC, SSH eller WMI.

Kendte teknikker som ”pass-the-hash” og Kerberos ”golden ticket” bruges til legitimations høstning og privilegie eskaleringer. I ransomware aktørens værktøjskasse ligger en række stærke værktøjer, som fx Mimikatz, Cobalt Strike og Bloodhound, der aktivt benyttes under den laterale rejse rundt i virksomhedens netværk.

”Krypter alt” er kun det sidste trin!

Mange begivenheder sker før den faktiske kryptering. Ransomware er i dag i høj grad et målrettet angreb, hvor de ondsindede operatører forbliver ubemærket i netværket i mange uger eller endda måneder.

Der kan gøres meget som forberedelse for at minimere risici:

Orange Cyberdefense anbefaler at holde fokus på seks grundlæggende sikkerhedsforanstaltninger:

  1. Synlighed af virksomhedens applikationer, brugere og data er en forudsætning for enhver sikkerhed
  2. Fokus på segmentering / ZeroTrust er nødvendigt for at kontrollere laterale bevægelser og sikre perimeter
  3. Skarp kontrol med identitets- og applikationsadgang er afgørende for at dæmme op for den privilegieeskalering der ses i ransomware. Specielt højt fokus bør haves på restriktiv brug af privilegerede konti, fx domain administratorer
  4. Miskonfigurationskontrol og compliance er nødvendig for at eliminere menneskelige fejl og overholde sikkerhedsstandarder
  5. Beredskabsplaner / gode sikkerhedskopier / playbooks er vigtige emner, der skal arbejdes godt igennem længe før et muligt ransomware angreb
  6. Detection and Response – det advarselssystem, der er nødvendigt for at advare, hvornår man skal tage defensive handlinger

Kontakt

Vil du vide mere, kontakt sikkerhedskonsulent Klavs Thaarup klavs.thaarup@orangecyberdefense.com eller på tlf 2544 6324

Ransomware forsvar

Ransomware forsvar har frem faser, opdelt før, under og efter angreb

Share