Ransomware-attacker ökar i Sverige

Den 2 juli drabbades den amerikanska mjukvaruleverantören Kaseya av en allvarlig ransomware-attack som påverkade 60 av deras kunder direkt och 1500 kunder i senare led.

Ransomware-ligan REvil bröt sig in hos IT-leverantören, vars mjukvara används för att administrera IT-system, i en så kallad supply chain-attack. Därefter fick en stor mängd företag se sina system låsta av ransomware, också känt som utpressingsprogram/virus/skadlig kod.  

I stället för att gå direkt på måltavlan så attackerar man vid en supply chain-attack en leverantör till måltavlan. Skadlig kod skickas därefter med hjälp av leverantörens produkt. Det är effektivt, då man får en mängd måltavlor i samma attack samtidigt som leverantören ofta är betrodd och därmed lättare går under radarn.

Ransomware-attacken ledde bland annat till att flertalet av Coops butiker var tvungna att stänga eftersom deras kassasystem inte fungerade. Även Apotek Hjärtat, bensinkedjan St1 och SJ drabbades av attacken.

I Coops fall tog sig skadlig kod in via leverantörskedjan, men ransomware kan såklart även riktas direkt mot ett specifikt företag. Ofta sprids det genom så kallade phishingmejl. Mejlet innehåller ofta en nedladdningsbar fil eller en skadlig länk. När användaren laddar ner filen eller öppnar länken startas en kryptering av alla filer som användaren har tillgång till, så som servermappar, applikationer och i vissa fall även lagrade backuper. När attacken väl initierats är det tyvärr väldigt få som lyckas stoppa processen innan filerna krypteras.

En av framgångsfaktorerna bakom REevil är deras användning av ”double extortion” eller dubbel utpressning. En teknik där cyberkriminella utöver att kryptera filer även stjäl data från verksamheter. Förutom att kräva en lösensumma för att dekryptera datan, kan angriparna senare också hota att läcka den stulna informationen om inte ytterligare betalningar görs.  

Antalet Ransomware attacker har ökat lavinartat det senaste året. Då det allt oftare är företag som är den primära måltavlan finns  all anledning att se över IT-säkerheten och vidta åtgärder för att minska risken att drabbas. 

Åtgärder för att minska risken att drabbas:

  • Håll dina programvaror uppdaterade
  • Aktivera flerfaktorsautentisering där det är möjligt. Detta förhindrar en angripare att återanvända stulna inloggningsuppgifter, vilket är särskilt viktigt för system där fjärranslutning används
  • Ta regelbundet säkerhetskopior på den information som du inte kan vara utan. Se till att även ha en säkerhetskopia som finns tillgänglig offline
  • Installera brandvägg och antivirusprogram – och aktivera automatiska uppdateringar för både operativsystem och programvaror
  • Koppla aldrig in okända externa enheter i din dator eftersom det kan leda till att ransomware sprids från dessa enheter till din dator
  • Klicka inte på bilagor, reklam och länkar om du är osäker på avsändaren
  • Se över behörigheterna på företaget, alla behöver inte ha åtkomst till allt. Infekteras någon med högre behörighetsgrad (typ administrationsbehörighet) kan hela nätverket smittas
  • Se även till så att endast godkända applikationer får köras på företagets datorer

Åtgärder när ransomware är ett faktum

  • Isolera smittade enheter. Erfarenhet från den senaste tidens attacker gör gällande att man ofta underskattar antalet smittade enheter. Ha därför som utgångspunkt att fler snarare än färre enheter är smittade
  • Anmäl händelsen i ett tidigt skede. Polisanmäl och incidentrapportera till myndigheter efter bedömning av incidentens art, enligt NIS-direktivet eller enligt säkerhetsskyddslagen för säkerhetskänslig verksamhet
  •  Vid behov, sök stöd i incidenthanteringen av myndigheter eller säkerhetsföretag
  • MSB/CERT-SE ger stöd och råd till drabbade vid IT-incidenter inom såväl offentliga som privata organisationer
  • Säkerställ i er utredning att angreppet är åtgärdat och att angriparen inte har fortsatt tillgång till IT-miljön genom behörigheter och/eller skadlig kod i systemet
  • Innan återställning av säkerhetskopior sker, säkerställ att kopiorna inte också har drabbats
  • Oavsett på vilket sätt du drabbas så gäller huvudregeln att inte betala. Ju fler verksamheter som betalar lösen, desto mer finansiering får de cyberkriminella investera i sofistikerade attacker. Det finns inte heller några garantier att problemet försvinner trots betalning och risken finns att återigen drabbas eller att den skadliga programvaran finns kvar.

I Svensk Handels rapport ”Handelns utsatthet för IT-relaterad brottslighet” listas fler rekommendationer för hur du kan skydda ditt företag från IT-bedrägerier. 

Nina Jelver
Publicerad: 2021.09.16 Senast uppdaterad: 2021.09.16