Alt du trenger å vite om ransomware

Ransomware eller utpresservirus som det kalles på Norsk, er for tiden et av de største sikkerhetsproblemene. Utpresservirus er en type malware/virus som krypterer filer på en PC eller over nettverk/Internett. Ofrene kan deretter bare få tilgang til sine filer hvis de betaler løsepenger til de kriminelle som står bak. En ransomware angrep starter som regel med en falsk e-post der mottaker lar seg lure til å åpne et farlig vedlegg eller klikke på en farlig link.

De falske epostene kan gjerne se ut som faktura, purringer, gode tilbud, melding om pakke, bonus, jobbtilbud, bankutskrift, melding om passord resetting av facebook/google mm, falske kjøpskvitteringer, melding om misbruk av nettbank/kredittkort osv.

(Artikkelen fortsetter under bildet).

Absolutt alle virksomheter i alle størrelser kan bli rammet av Ransomware, men mindre virksomheter er mest utsatt siden de har dårligere nettsikkerhet enn andre og mange lever i den tro at de ikke kan bli angrepet gjør dem faktisk mer sårbar.

Ransomware angrep økte med formidable 748 % i 2016 og forventes å øke like kraftig i årene som kommer. Hovedårsakene til dette er at de kriminelle som står bak tjener mer penger på dette enn de noen gang har gjort på andre typer svindel. I tillegg ble Ransomware-as-a-Service avdekket i 2016 der absolutt «alle», uten tekniske kunnskaper, kan sende Ransomware og der utvikleren igjen tar sin andel av pengene som kommer inn.

Dette er en type angrep som for den kriminelle er lett å utføre, virker godt og effektivt, krever minimal investering og det er meget liten sjanse for å bli tatt.

Dersom organisasjonene ikke hadde valgt å gi etter for utpresserne og ikke utbetalt løsepenger hadde vi ikke hatt denne type angrep, men virksomhetene er så avhengig av sine data og systemer at man velger enkleste vei for å komme tilbake til det normale.

Typisk må virksomheter betaler løsepenger etter størrelsen. Småbedrifter må typisk betale 2000-15.000 Kr. Større virksomheter må regne med 30.000-50.000 Kr. Det er kjent at sykehus og universiteter har måtte betale 100.000-150.000 Kr. Utpresserbeløpene er stigende. Utbredelsen av den digitale valutaen Bitcoin har gjort det enklere for de kriminelle å utveksle betalinger der de ikke risikerer å avdekke sin identitet.
I tillegg til å måtte betale utpresseren må virksomheten normalt regne med 3-5 dagers nedetid på berørte systemer. I tillegg vil du sannsynligvis være markert som «lett offer» og påregne nye angrep og du dermed må regne med kostnader i bedre sikkerhetssystemer.

De vanligste utpresservirusene er Locky (Word Makro) og Cryptowall.  De som står bak endrer hele tiden koden og utvikler nye funksjoner for å unngå å bli stoppet av virksomhetens sikkerhetssystemer. Cerber er en annen type som bla. benyttes i Ransomware-as-a-Service der de kriminelle tar 40 % andel til seg selv av utpresserbeløpet og den som står bak angrepet får 60 % selv.

Ransomware er umulig å overse når du har først har fått den. Like alvorlig er det at samme metode for angrep brukes for å skjule andre typer angrep, der mange virksomheter faktisk ikke er klar over at de er angrepet. Det kan være kode som blir installer på virksomhetens systemer i det skulte som gir angriper en kanal inn til intern informasjon, overvåking, videre spredning og angrep, kopiering av sensitive data mm. Dette er også fremkommet i undersøkelser i 2015 av Næringslivets sikkerhetsråd der det fremkom at halvparten av store Norske virksomheter var hacket og men bare 5 % viste om det.

Ingen sikkerhetssystemer kan stoppe 100 % av Ransomware. Tradisjonelle sikkerhetssystemer som bare kan gjenkjenne kjente elementer, koder, signaturer og avsender, gir dårligst sikkerhet. Systemer som benytter sandbox på linker og vedlegg gir høyeste sikkerhet. Angrepen rettes mot virksomheten svake punkt som er de ansatte selv, gjerne ressurspersoner med utvidet tilgang til systemene. Ofte gjøres undersøkelser på forhånd om angrepsmålets interesser, jobb og hobby., som lett finnes på sosiale medier, web, LinkedIn mm. Deretter kommer gjerne et svært målrettet angrep på e-post med «interessant» informasjon. Virksomhetens HR-avdeling kan også være ekstra utsatt siden de normalt mottar jobbsøknader og andre henvendelser fra ukjente personer som ofte har vedlegg inkludert.

Utviklingen av Ransomware vil bare fortsette. Nå angripes også Mac, Smarttelefoner og IoT. Og det nye er at hele maskinen krypteres – ikke bare mapper.

Det er viktig med oppdaterte sikkerhetssystemer som også innehar sandbox funksjoner. Opplæring av ansatte. Deaktivering av f.eks makroer i Word der det er mulig, gode backupfunksjoner der backup lagres offline, forsiktig bruk av PC i åpne og fremmede trådløs-soner osv.
 

Se video hvordan Proofpoint URL-Defense stopper Ransomware «Stopp Ransomware..» og Proofpoint pakkeoversikt.

SaaS Security er Nordens ledende IT-sikkerhetsdistributør og distribuerer Proofpoint Email Security i Norden som gir den beste beskyttelsen mot ransomware, CEO svindel, nulldags trusler mm, gjennom å bruke url-omskriving med sandboxing både på linker og vedlegg. Se hvordan URL-omskiving og -sandboxing fungerer. SaaS Security distribuerer også websecutity med Sandbox, 2-faktor autentisering som en tjeneste, passordmanagment og e-post/fil kryptering, alle viktige for høy datasikkerhet.

 Les mer om Ransomware på ZDNET. Les mer om «Trender og Trusler rapport for Norge 2017»

(Ved bruk at denne info videre må det linkes opp til denne side).

Kun ni prosent anmelder IT-angrep til politiet

Over en fjerdedel av norske virksomheter – 412 av 1.500, eller 27 prosent – har opplevd uønskede sikkerhetshendelser det siste året. Virksomhetene forteller at dette fører til produktivitetstap i fire av 10 tilfeller (i form av tapte arbeidstimer), men kun to av 10 oppgir at de har hatt kostnader som følge av slike hendelser. Dette viser at virksomhetene mangler oversikt over hva sikkerhetshendelsene koster dem, eller undervurderer disse kostnadene. Kun ni prosent av virksomhetene som utsettes for angrep tar saken videre til politiet. Det tilsier at det skjuler seg betydelige mørketall, og for de kriminelle nettverk er denne typen angrep mot norske virksomheter i praksis straffefrie.

SaaS Security distribuerer markededest ledende IT-sikkerhetsprodukter i Norge og Sverige. 

Les mer om saken på Aktuell Sikkerhet

10 tips hvordan du avdekker nettfiske e-post

In October, most people look forward to pumpkin carving, changing weather and, if you’re Canadian, Thanksgiving. But for us in the security world, one of the most exciting things about October is the fact that it’s National Cybersecurity Awareness Month. To help spread awareness, below are 10 tips to help everyone fight one of the worst cyber threats facing organizations today: email phishing attacks.

Business email compromise (BEC) has cost companies $3.1 billion since January 2015 and consumer email phishing is at an all-time high. Most people don’t question the “from” field in the emails they get day in and day out—and without the right tools, there’s no reason to trust the “from” field.

For organizations, it’s critical that the company’s first line of defense against email fraud is always advanced security technology. Secure email gateway and email authentication defenses like DMARC (Domain-based Authentication Reporting and Conformance) are the best way to protect your employees and customers.

Unfortunately, no matter how sophisticated your company’s email strategy is, some phishing emails will make it to the inbox. And those messages are extremely effective. Verizon found that 30 percent of targeted recipients open phishing messages and 12 percent click on malicious email attachments.

A critical piece of your email security strategy must be education. Here are our top ten tips for identifying a phishing email--we encourage you to share them with your employees and your customers.

Tip 1: Don’t trust the display name

A favorite phishing tactic among cybercriminals is to spoof the display name of an email. Here’s how it works: If a fraudster wanted to impersonate the hypothetical brand “My Bank,” the email may look something like:

Since My Bank doesn’t own the domain “secure.com,” email authentication defenses will not block this email on My Bank’s behalf.

Once delivered, the email appears legitimate because most user inboxes and mobile phones will only present the display name. Always check the email address in the header from—if looks suspicious, flag the email.

Tip 2: Look but don’t click

Cybercriminals love to embed malicious links in legitimate-sounding copy. Hover your mouse over any links you find embedded in the body of your email. If the link address looks weird, don’t click on it. If you have any reservations about the link, send the email directly to your security team.

Tip 3: Check for spelling mistakes

Brands are pretty serious about email. Legitimate messages usually do not have major spelling mistakes or poor grammar. Read your emails carefully and report anything that seems suspicious.

Tip 4: Analyze the salutation

Is the email addressed to a vague “Valued Customer?” If so, watch out—legitimate businesses will often use a personal salutation with your first and last name.

Tip 5: Don’t give up personal or company confidential information

Most companies will never ask for personal credentials via email--especially banks. Likewise most companies will have policies in place preventing external communications of business IP. Stop yourself before revealing any confidential information over email.

Tip 6: Beware of urgent or threatening language in the subject line

Invoking a sense of urgency or fear is a common phishing tactic. Beware of subject lines that claim your “account has been suspended” or ask you to action an “urgent payment request.”

Tip 7: Review the signature

Lack of details about the signer or how you can contact a company strongly suggests a phish. Legitimate businesses always provide contact details. Check for them!

Tip 8: Don’t click on attachments

Including malicious attachments that contain viruses and malware is a common phishing tactic. Malware can damage files on your computer, steal your passwords or spy on you without your knowledge. Don’t open any email attachments you weren’t expecting.

Tip 9: Don’t trust the header from email address

Fraudsters not only spoof brands in the display name, but also spoof brands in the header from email address, including the domain name. Keep in mind that just because the sender’s email address looks legitimate (e.g sendername@yourcompany.com), it may not be. A familiar name in your inbox isn’t always who you think it is!

Tip 10: Don’t believe everything you see

Phishers are extremely good at what they do. Many malicious emails include convincing brand logos, language, and a seemingly valid email address. Be skeptical when it comes to your email messages—if it looks even remotely suspicious, do not open it.

Engage in the security conversation by sharing these tips on Twitter using the hashtag #CyberAware. And if you want to learn more about impostor email threats, check out our latest whitepaper.