Ransomware er tidens alvorligste trussel mod virksomheder, organisationer og myndigheder. I Center for Cybersikkerheds seneste trusselsvurdering står, at truslen mod Danmark er meget høj, og det understreges samtidig, at den mest alvorlige trussel kommer fra ransomwareangreb.

Der er således ingen tvivl om, at det er et område, som alle danske organisationer skal have maksimalt fokus på, og mange har da også allerede iværksat foranstaltninger for at forhindre de cyberkriminelle i at få adgang.

Det omfatter strategier for backup og gendannelse, som giver mulighed for hurtig og fuldstændig datagendannelse og faste beredskabsplaner for at sikre, at potentielle ransomware-angreb kan afværges.

Hastighed er afgørende

Når cyberkriminelle angriber en virksomhed, foregår det eksempelvis ved, at de får adgang til data, som de krypterer. For at den ramte virksomhed igen kan få adgang til de livsvigtige data afkræves virksomheden en løsesum.

Denne proces er et kapløb med tiden, fordi både virksomheder og myndigheder ofte har skabt sikkerhedsforanstaltninger, der advarer om, at data er ved at blive krypteret.

Kryptering af data tager tid, og jo længere de cyberkriminelle er i et netværk, jo større er chancerne for, at de bliver opdaget.

Som det alt for ofte er tilfældet, har de cyberkriminelle igen fundet en løsning, der minimerer risikoen for opdagelse betydeligt - intermittent encryption.

Det betyder, at de cyberkriminelle kun krypterer dele af de data, de ønsker at låse. I praksis betyder det, at hver 12., 16. eller 18. byte bliver krypteret i stedet for hele datasættet.

Eksperter i cybersikkerhed blev opmærksomme på intermittent encryption sidste år, hvor de første eksempler dukkede op. Man undrede man sig over, hvorfor angriberne kun krypterede dele af de ramte data, og mente i første omgang, at det var for at gå under radaren af de sikkerhedssystemer, der er udviklet til at opdage dem.

Men flere gjorde opmærksom på, at det kun er forældede systemer, som lader sig narre. Et moderne sikkerhedssystem vil opdage at data bliver krypteret ulovligt, uanset størrelsen. Det afgørende er, hvor lang tid angrebet tager.

Intermittent encryption accelererer processen betydeligt, og for en cyberkriminel er hastighed altafgørende. De skal nå at kryptere vitale dele af virksomhedens data, så hurtigt, at det har en afgørende effekt på virksomhedens mulighed for at fortsætte driften, inden de bliver opdaget.

Sikkerhedskopier er i fare

En afledt og bekymrende effekt af, at de cyberkriminelle ved hjælp af intermittent encryption skal bruge kortere tid på at kryptere data er, at de i stigende grad går efter at angribe de sikkerhedskopier, virksomheder eller myndigheder har lavet.

Det gør de for at forbedre deres chancer for at få udbetalt løsepenge, fordi det betyder, at virksomhedens data fortsat er låste, hvis de foretager gendannelse med den inficerede sikkerhedskopi.

Sikkerhedskopier opbevaret på et åbent netværk, med svage adgangskoder og uden to-faktor godkendelse er åbenlyse mål. Hvis fx sikkerhedskopiering er godkendt af et primært Active Directory-domæne, vil angriberne forsøge at kompromittere dette domæne for at få adgang til både sikkerhedskopieringen og produktionsdataene.

Sådanne angreb retter sig ofte mod finansielle tjenester, sundhedspleje og offentlige sektorer, hvor et ransomware-angreb kan påvirke kritisk infrastruktur.

Velkendt forebyggelse er stadig effektiv

Heldigvis kan det lade sig gøre at dæmme op for disse angreb, og selv om de cyberkriminelle udvikler nye metoder, er den mest effektive beskyttelse fortsat nogle af de mest traditionelle: En effektiv softwarepatch-styring og medarbejdere, der er uddannet i cyberhygiejne.

En stærk strategi for softwarepatch-styring begrænser de sårbarheder, som angribere kan udnytte til at starte et ransomware-angreb. Hurtigt installerede softwarepatches og opdateringer sænker oddsene for, at angriberne får adgang til et netværks data. Selvom det virker simpelt, er det ofte et område, hvor der er plads til forbedring.

Derudover skal uddannelsen i cybersikkerhed forbedres. Medarbejdere er ofte det svage led, der gør det muligt for angrebet at komme i gang. Alle i en organisation bør være i stand til at genkende fx phishing-mails eller social engineering, hvor medarbejderne manipuleres til at udlevere data eller adgang til data.

Men selv med forbedringer på disse områder vil angreb med ransomware fortsætte.

Efterhånden som ransomware udvikler sig, bliver en strategi for backup og gendannelse afgørende. Det betyder, at enhver organisation bør indføre en strategi, der har øje for udviklingen og har nøje definerede procedurer for, hvad der skal ske i tilfælde af ransomware eller andre cybersikkerhedshændelser.

Procedurer, som regelmæssigt skal øves, så alle er klar over deres roller og den teknologi, de skal bruge – det er en uvurderlig del af at sikre, at forordninger og strategier passer til formålet. Ingen har lyst til, at den første gang, de skal bruge procedurerne i praksis er den dag, de står midt i et angreb.

En af de mest effektive strategier kan opsummeres med tallene 3-2-1-1-0. Det betyder, at man skal opbevare tre kopier af vigtige data på mindst to forskellige typer medier med mindst én af disse kopier uden for webstedet - inklusive én sikkerhedskopi af data, der er air-gapped, offline eller uforanderlig.

De cyberkriminelle vil uden tvivl blive ved med at udvikle nye metoder til at udnytte svagheder i virksomheders og myndigheders cybersikkerhed.

Det stærkeste forsvar mod dem er en kombination af stærk grundlæggende cyberhygiejne, medarbejderuddannelse og investering i en gennemtænkt datahåndterings- og backupstrategi.

Klumme: Ja tak til en digitaliseringsminister – nej tak til et digitaliseringsministerium

Klumme: Kære forbruger, du bør fravælge produkter med kort holdbarhed

Klumme: Blind vinkel i virksomhedernes cyberforsvar kan have alvorlige konsekvenser