IT-säkerhet

Minska riskerna när ransomware ökar

Ransomware-attacker har ökat lavinartat det senaste året och cyberkriminalitet är i dag en industri som omsätter flera miljarder kronor. Det svenska IT-säkerhetsföretaget Clavister minimerar riskerna.

Ett länkklick i ett mail från ett välkänt företag och en ransomware-attack kan vara ett faktum. Många privatpersoner och anställda går rakt in i cyberfällan. Ransomware-attacker sker via falskmejl med länkar eller filer som innehåller illasinnad programvara. När mottagaren klickar på länken eller filen krypterar den skadliga koden all information på enheten. Byggföretags ritningar, patientjournaler, bankuppgifter och e-handlares kunddatabaser – inget går säkert. För att komma åt informationen igen krävs en lösensumma, ofta överförd i svårspårad och alternativ valuta.

Ransomware-attacker ökade med hela 400 procent

Andreas Åsander, produktchef på IT-säkerhetsföretaget Clavister, berättar att andelen ransomware-attacker ökade med hela 400 procent under fjolåret och att denna typ av sofistikerad och organiserad cyberbrottslighet internationellt ­omsätter flera miljarder dollar.

– 2016 var genombrottet för cyber­kriminalitet i organiserad skala. Visst har det funnits hackers förut men inte på det här sättet. Vi ser nu att det finns cyber­kriminella ligor som riktar in sig på specifika målgrupper, exempelvis för att kryptera databaser hos olika företag. Cyberkrimi­nalitet, och då speciellt ransomware, har blivit som vilken industri som helst. Det finns till och med ”ransomware as a service”, alltså möjligheten att beställa en ransomware-kampanj och sedan följa avkastningen på den, säger han.

Ödesdigra konsekvenser

Falskmejl, eller phishingmejl som de kallas, är trovärdigt designade vilket gör det svårt för en stressad IT-novis att identifiera dem som ransomware-attacker. Konsekvenserna kan bli ödesmättade, inte bara för den enskilde, utan för hela hemmet eller arbetsplatsen. Mobiliteten och uppkoppling mot wifi ökar risken för att drabbas av skadlig kod. Dagens ransomware-attacker har också förfinats i den meningen att det snart är omöjligt att återskapa filerna när den skadliga koden väl har infiltrerat enheten.

– 90 procent av attackerna är i dagsläget så välgjorda att det inte finns något annat sätt att få tillbaka filerna än att betala lösensumman, säger Andreas Åsander.

En tredjedel betalar lösensumman

När Andreas Åsander är ute och föreläser frågar han ofta hur många i publiken som blivit utsatta för ransomware-attacker. Ofta är det endast ett fåtal som räcker upp handen, trots att det statistiskt borde vara långt fler. Anledningen kan vara att de känner sig skamsna och okunnniga som drabbats. Säkert är i alla fall att aktörerna bakom attackerna är framgångsrika. Andreas Åsander berättar att 25 procent av attackerna lyckas och att en tredjedel av de utsatta väljer att betala för att få tillbaka sina filer. Med andra ord har dagens cyberkriminella kapital att finansiera nya och mer avancerade angrepp. Ur detta perspektiv drar Andreas Åsander slutsatsen att ransomware kommer att öka.

– Det finns ingenting som säger att ligorna kommer att sluta, eftersom de är framgångsrika. Snarare kan vi vänta oss fler storskaliga attacker mot olika high value-targets. Det kan handla om kritisk infrastruktur, såsom sjukhus. Där är tiden en kritisk faktor och informationen känslig, vilket gör betalningsviljan högre, säger Andreas Åsander.

Krav på nya rutiner för hantering av personlig information

Trots att bolag i dag spenderar stora summor på olika brandväggar och kunskapen om cybersäkerhet ökar, fortsätter alltså ransomware-attackerna att vara fortsatt framgångsrika och lukrativa. Samtidigt kommer företag behöva anpassa sig till EU:s nya dataskyddsförordning General Data Protection Regulation (GDPR), som träder i kraft den 25 maj nästa år.

Lagstiftningen innebär bland annat att det kommer ställas högre krav på rutiner och processer för säker hantering av personuppgifter hos samtliga organisationer och branscher. Clavister har i samarbete med IT-säkerhetsföretaget Bitdefender utvecklat produkten Clavister Endpoint Security Client (ESC) som kan förhindra angrepp med skadlig kod. Tekniken täcker 500 miljoner enheter världen över och grundar sig på artificiell intelligens. Den gör det möjligt att identifiera både känd och nyskriven skadlig kod genom beteendebaserade analyser.

– I stället för att enbart försöka känna igen ett virus baserat på signaturer ­tittar AI-tekniken på hur filer och program beter sig. Om ett program till exempel öppnar och ändrar på stora mängder bildfiler är det sannolikt ett ransomware som försöker kryptera dem. Om man dess­utom ser att programmet kommunicerat med IP-adresser med dåligt rykte ökar sanno­likheten ytterligare, säger Andreas Åsander.

Om en person får ett mejl med en länk som innehåller skadlig kod och klickar på den – hur agerar ESC?

– Clavister kombinerar flera tekniker för att undvika att man blir infekterad, till exempel kontrolleras webbsidan som mejlet länkar till. Är den ”malicious” varnas användaren och alternativt spärras möjligheten att besöka sidan. Om användaren ändå når den skadliga program­varan så kontrollerar ESC om programmet, eller delar av det, är känt sedan tidigare. Är det ett känt virus så tillåts inte programmet att köras och placeras i karantän. Är det ett helt nytt virus som inte har setts av någon av de 500 miljoner klienter som finns i det ekosystem ESC ingår i, så används AI-tekniken för att bedöma om programmet har ett potentiellt skadligt beteende och därefter spärras programmet, säger han.

Vad krävs för att implementera ESC?

– Klienten finns för Windows, Mac och Linux och installeras oftast med fjärrstyrning av IT-administratören, vilket gör installationen enkel och kostnadseffektiv. Normalt tar den bara några minuter och kan schemaläggas för att inte störa verksamheten.

Vid installation av Umbrella är det enklast och snabbast att byta DNS-server på bolagets datorer. Har man en enkel bredbandsdelare kan man ställa in att den ska dela Umbrellas DNS-server i stället för internetroperatörens. Har man en avancerad IT-miljö med till exempel ett Active Directory (AD), kan man byta till Umbrellas DNS-server som ”forwarder” och direkt skydda hela organisationen. Båda tillvägagångssätten tar högst några minuter.

Clavister säkrar nätverk globalt

Clavister grundades 1997 och är en globalt ledande leverantör av nätverkssäkerhet. Företagets prisbelönta lösningar mot cyberhot skyddar såväl företag, myndigheter, molntjänstleverantörer som teleoperatörer.

Text: Tomas Nilsson
Foto: Getty Images