Ved årsskiftet meldte elsykkelprodusenten Prophete oppbud som følge av et ransomware-angrep i november, på norsk kalt gisselprogram eller utpressingsvirus. Dette er en form for skadelig programvare som krypterer og låser filer og data med mål om løsepenger. Angrepet medførte et langt produksjonsstopp som ble spikeren i kisten for selskapet. Norske virksomheter utsettes daglig for cyber-angrep, som uten riktig kunnskap kan få fatale konsekvenser.

Det er umulig å forutse risikoen for at ransomware-grupper angriper en virksomhet etter en inntrengning. Generelt er sannsynligheten større hvis virksomheten er stor og eier mye verdifull data. Har virksomheten allerede blitt utsatt for et angrep, kan den oppfattes som et enkelt mål ettersom det tyder på at sikkerheten eller håndteringen er utilstrekkelig. Hvis angrepet blir allment kjent, kan det også friste andre til å utnytte sitasjonen og utforske de samme sårbarhetene.

Ransomware-angrep inntreffer ofte etter at angriperne uoppdaget har brukt mye tid på å undersøke hvilke data som er spesielt verdifulle for virksomheten. Ifølge nye undersøkelser holder angripere seg uoppdaget 200 dager i snitt. Og jo lenger de forblir uoppdaget, desto mer og mer verdifull data kan angriperne stjele og manipulere. Det er derfor viktig å jobbe aktivt for å redusere den uoppdagede tiden gjennom robuste sikkerhetstiltak, kontinuerlig overvåkning og rask respons på hendelser.

Generelt bør man ha god synlighet i nettverket. Det mest effektive tiltaket for å oppdage inntrengning er såkalt threat hunting, det vil si proaktiv leting etter tegn på cyber-trusler i virksomhetens nettverk.

Målet med en threat hunting-strategi er å identifisere og nøytralisere mulige trusler før de forårsaker skade i form av datatap eller lignende. Til forskjell fra tradisjonelle sikkerhetstiltak, eksempelvis brannvegger som baserer seg på reaktivt forsvar, søker man med threat hunting aktivt etter uvanlig aktivitet som indikerer at det finnes uønskede gjester i nettverket.

Men hvordan ser «unormal aktivitet» i nettverket ut? Det kan se helt forskjellig ut utfra hvordan nettverket er oppbygd, men generelt bør man være på utkikk etter:

• Uvanlig mye trafikk til eller fra uvanlige steder, eller trafikktopp på uvanlige tidspunkter
• Forsøk på tilgang til begrenset eller sensitiv informasjon, eller utforsking av sårbarheter i nettverkssystemer
• Innlogging fra uvanlige steder eller på uvanlige tidspunkter
• Modifisering av systemkonfigurasjoner, programvareinstallasjoner eller datafiler
• Forekomst av uventede eller ukjente filer, prosesser eller tjenester som kjører i systemene
• Avbrudd, slowdowns eller andre driftsforstyrrelser som indikerer tilstedeværelse av skadelig programvare eller ulovlig aktivitet

Så hvordan beskytter man seg mot ransomware-angrep? Det er en stor utfordring, men dette er noen råd for å redusere risikoen:

• Ta regelmessige sikkerhetskopier: Sikkerhetskopier viktige data og lagre dem trygt utenfor nettverket
• Hold programvare oppdatert: Operativsystemer, applikasjoner og sikkerhetsverktøy
• Ivareta e-postsikkerheten: Bruk filtre som blokkerer mistenkelige vedlegg og lenker
• Vær forsiktig med nettverkssegmentering: Segmenter nettverket for å begrense spredningen av ondsinnet kode i tilfelle et angrep
• Øk brukerbevisstheten: Lær brukere om faren ved løsepengevare og hvor viktig det er å gjenkjenne mistenkelige e-poster og lenker
• Anskaff løsninger mot skadelig programvare: Bruk løsninger som overvåker nettverk i sanntid og utfører regelmessige oppdateringer for å oppdage og forhindre nye løsepengetrusler
• Utarbeid en hendelsesplan, test den regelmessig og sørg for at virksomheten er forberedt på å reagere raskt ved angrep

Og ikke minst bør regelmessige tester være like selvsagte som brannøvelser. Test organisasjonens sikkerhetstiltak og prosesser for hendelser regelmessig, og sørg for at de effektivt oppdager og reagerer på løsepengevareangrep.

Og til slutt: Hvorfor skal man aldri betale løsepenger? Det finnes ingen garantier for at man mottar dekrypteringsnøklene hvis man betaler. Det er heller ikke gitt at man ikke blir utsatt på nytt. I tillegg oppmuntrer betaling til fremtidige angrep og finansierer illegal virksomhet.