Hantera utpressningsvirus (ransomware)

Råd gällande förebyggande och hantering av ransomware-angrepp.

Det förebyggande säkerhetsarbetet är avgörande för vilken motståndskraft en organisation har för att kunna hantera ett ransomware-angrepp. Nedan följer översiktliga rekommendationer om vad som kan göras, för att både förebygga och hantera den här typen av angrepp.

Utpressningsprogramvara eller utpressningstrojan (eng. ransomware), kan innebära att hela eller delar av en verksamhets it-system och dess information blir krypterad och otillgänglig. Därefter är det vanligt att angriparna kräver den drabbade verksamheten på en lösensumma för att ge tillbaka informationen och återställa miljön. I många fall sker också så kallad exfiltrering, vilket innebär att informationen kopieras till en extern plats som angriparen kontrollerar. Angriparna utövar därmed dubbel utpressning med hot att offentliggöra informationen om inte lösensumman betalas.

Om du misstänker att er organisation har drabbats av ransomware, kontakta gärna CERT-SE för råd och stöd i ett tidigt skede på cert@cert.se eller 010-240 40 40.

Vid pågående angrepp

Ett viktigt första steg i incidenthanteringen att identifiera vad som hänt och vilka system som är påverkade, för att därefter kunna börja vidta skadebegränsande åtgärder. Se CERT-SE:s incidenthanteringsprocess.
Finns ej rätt kompetens tillgänglig - ta hjälp av experter på området.
Isolera påverkade enheter.
Betala aldrig lösensumma. Det finns inga garantier att system återställs, att filer dekrypteras eller att angriparen inte återkommer med nya krav och hot.
Anmäl händelsen i ett tidigt skede, tex. till Polisen. Incidentrapportera också till lämpliga myndigheter efter bedömning av incidentens art, enligt NIS-direktivet eller enligt säkerhetsskyddslagen för säkerhetskänslig verksamhet.
Säkerställ i er utredning att angreppet är åtgärdat och att angriparen inte har fått fotfäste it-miljön genom till exempel behörigheter och/eller skadlig kod.
Innan återställning genomförs med säkerhetskopior, säkerställ att kopiorna inte också är påverkade av angreppet.

Finska cybersäkerhetscentret har publicerat en vägledning som riktar sig till ledningen och beslutsfattare i organisationer som beskriver hur de bör agera vid angrepp med utpressningsprogram, Åtgärder vid angrepp med utpressningsprogram – ledningens anvisningar.

Försvåra angrepp med förebyggande arbete

Organisationer behöver på förhand skapa sig en uppfattning om vilka konsekvenser den här typen av angrepp skulle kunna få för verksamheten, för att på bästa sätt bygga, anpassa och underhålla sitt skydd.

Grunden för att skydda sig mot cyberangrepp, (inkl. ransomware) är att bedriva ett systematiskt arbete med informations- och cybersäkerhet, att arbeta förebyggande och att kontinuerligt anpassa skyddet utifrån organisationens behov och risker. Mer information och metodstöd finns på MSB:s webbplats, Systematiskt informationssäkerhetsarbete.

Ett systematiskt arbetssätt i kombination med olika säkerhetsåtgärder som berör både system/teknik och användare, försvårar eller gör angreppet kostsammare för angriparen. MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:07) samt vägledning om säkerhetsåtgärder i informationssystem kan med fördel användas av alla organisationer som stöd i it-säkerhetsarbetet. Det nationella cybersäkerhetscentret (NCSC) har tagit fram även rapporten Cybersäkerhet i Sverige 2022 – Rekommenderade säkerhetsåtgärder vilken ska utgöra ett stöd i arbetet med att prioritera vad som behöver göras.

Rekommendationer för driftpersonal

Det finns anledning att ytterligare skärpa säkerhetsråden för att skydda verksamheten som specifikt berör utpressningsvirus mot bakgrund av senast rapporterade händelser. Här följer en del konkreta åtgärder som kan behöva ses över.

Jobba för en god säkerhetsmedvetenhet

Informera och utbilda organisationens användare om förekomsten av olika typer av phishing, även kallat nätfiske. Utbilda dem i att göra en rimlighetsbedömning innan de klickar på länkar eller bifogade filer i ett e-postmeddelande. Se MSB:s kampanj Tänk säkert! för råd och material att dela inom den egna organisationen för att höja användarnas säkerhetsmedvetenhet samt CERT-SE:s temasida för nätfiske och artikel om god cyberhygien.

Översyn av säkerhetslösningar

Gör en översyn av de säkerhetslösningar och tjänster som organisationen nyttjar, och aktivera de säkerhetsfunktioner som finns tillgängliga. Sådana lösningar kan exempelvis vara:

Aktivera klientskydd och då även på servrar.
Applicera en vitlista där endast godkända program får exekveras med hjälp av exempelvis Applocker (i Windows-miljöer).
Aktivera DMARC-policy med SPF och DKIM i e-postsystemet för att försvåra för angripare att imitera legitima användare.
Implementera lösningar som kan identifiera och blockera skadliga länkar och filer i e-post samt en lösning som kan blockera åtkomst till skadliga hemsidor och IP-adresser för användarna.
Aktivera multifaktorsautentisering (MFA) där det är möjligt. Detta försvårar för en angripare att återanvända stulna inloggningsuppgifter, vilket är särskilt viktigt för system för fjärranslutning.

Ta regelbundna säkerhetskopior

Skapa säkerhetskopior av data och systemkonfigurationer/-inställningar.
Testa säkerhetskopiorna och återställningsrutiner med jämna mellanrum. Öva på återställning.
Säkra era kopior genom att tillämpa den så kallade ”3-2-1-regeln”, som innebär tre säkerhetskopior lagras på två olika media, varav en av dessa är helt frånskild från nätverket (exempelvis på lagringsmedia offline).

Härda er it-miljö

Uppdatera operativsystem och mjukvaror till den senaste versionen, så de överensstämmer med leverantörens rekommendationer, i synnerhet för de system som är exponerade mot internet.
Använd endast säkra och i första hand krypterade protokoll. Inaktivera tjänster och protokoll som inte behövs eller används.
Minska exponeringen mot internet. Endast servrar som levererar publika tjänster bör vara åtkomliga via internet och bara på de portar som krävs för ändamålet. Övriga portar som inte behöver vara åtkomliga utanför det lokala nätverket ska blockeras.
Använd säkra programinställningar, särskilt för e-post, ordbehandlare och webbläsare. Utgå ifrån leverantörers egna härdningsguider för säkrande av it- miljön
Förhindra att oönskade makron kan exekveras, genom att centralt styra inställningarna så att inte användaren själv tillåts välja lägre säkerhetsnivå.
Aktivera den lokala brandväggen på både klienter och servrar. Håll regelverket i dessa uppdaterat och revidera kontinuerligt.
Sträva mot ett segmenterat nätverk, med både fysisk och logisk separation. Implementera brandväggsregler som förhindrar laterala rörelser i nätverket.

Begränsa behörigheter

Använd inte gemensamma inloggningsuppgifter. För spårbarhet ska varje användare och administratör använda ett personligt konto.
Använd inte administratörskonton till vardagliga sysslor, t.ex. läsa e-post eller surfa.
Begränsa behörigheterna till de strikt nödvändiga för att era användare ska kunna genomföra sina arbetsuppgifter.
Inaktivera och rensa behörigheter på oanvända konton, missa inte grupptillhörigheter.
Minska antalet permanenta medlemmar i grupper med höga behörigheter som t.ex. Domain Admins till ett absolut minimum.

Övervaka

En god inblick i it-miljön är avgörande för förmågan att upptäcka cyberangrepp eller andra anomalier. Ta hjälp av er lösning för övervakning i syfte att få en uppfattning om vad som motsvarar organisationens normalläge. Att känna sin egen organisation är en förutsättning för att kunna tillhandahålla ett fullgott skydd för it-miljön. Vilka är er organisations ”crown jewels”?

Alla varningar och anomalier som rapporteras från säkerhetsprodukter bör utredas noggrant. Konfigurera därför er övervakning så att de larm och varningar som ges går att agera effektivt på.

Det är viktigt att spara loggar under en lång tidsperiod eftersom det är vanligt att det initiala intrånget har skett relativt långt innan angreppet blir synligt. Att genom loggar kunna följa intrånget är viktigt för att kunna genomföra en lyckad utredning och också minimera skadan.

Överväg att införskaffa ett logghanteringssystem som gör det enklare att, vid behov, analysera logdata från olika verktyg över tid. Dessa system kan även hjälpa att bibehålla logginformationen om en aktör raderar loggarna på ursprungssystemen och förenklar utredning vid incident.

Exempel på system/tjänster/händelser att övervaka är:

Lösningar för fjärråtkomst (t.ex. RDP eller VPN).
Inspektera nätverkstrafik, både intern och extern (inkommande/utgående) trafik.
Förändringar och tömning av säkerhetsloggar, samt användning av PowerShell.
Nyttjande av administratörskonton.
Förändringar av behörigheter.
- Skapande av nya konton
- Suspekta inloggningar som t ex inloggningar utanför arbetstid eller från andra länder om detta är onormalt i er organisation.
Anslutningar mot tredjepartsleverantörer, samarbetspartners eller andra externa aktörer som möjligtvis har en lägre säkerhetsnivå och därmed gör er organisation sårbar.

Mer information

Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7)

Vägledning: säkerhetsåtgärder i informationssystem

Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder

Senast uppdaterad: 2024-01-24 16:00

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post