Hvad er ransomware?
Ransomware er skadelig software (malware), der krypterer filer og systemer, så virksomheden mister adgangen til sine egne data. Angriberen kræver derefter løsepenge, typisk i kryptovaluta, for at udlevere krypteringsnøglen. Deraf det danske kaldenavn "løsepenge-virus". Et ransomware angreb bruger i dag ofte dobbelt afpresning: Ud over krypteringen truer angriberen med at offentliggøre stjålne data, hvis der ikke betales.
Center for Cybersikkerhed vurderer ransomware som en af de alvorligste cybertrusler mod danske virksomheder, og et vellykket angreb betyder i praksis driftsstop: mails, fagsystemer og filservere er låst.
Sådan starter et ransomware-angreb typisk
- Phishing-mails med inficerede links eller vedhæftninger. Det er den hyppigste indgang.
- Sårbarheder i internetvendte systemer, der ikke er opdateret.
- Svage eller lækkede adgangskoder uden multifaktor-godkendelse, især på fjernadgange (VPN/RDP).
Fra angriberen er inde, går der ofte dage eller uger, hvor der stjæles data og skaffes adgang til flere systemer, før selve krypteringen udløses, typisk uden for arbejdstid.
Ramt af ransomware: hvad gør I NU?
Står I midt i et angreb, tæller hvert minut. Gør følgende i netop denne rækkefølge:
- Isolér de ramte maskiner: Træk netværkskablet og slå wi-fi fra. Sluk dem ikke: Hukommelsen kan indeholde spor, der hjælper genopretningen.
- Ring til jeres IT-partner eller IT-afdeling med det samme, også midt om natten. Jo tidligere responsen starter, jo mindre spreder angrebet sig.
- Rør ikke jeres backup: Kobl ikke backup-drev eller -systemer til det ramte netværk. Backuppen er jeres redning og må ikke selv blive krypteret.
- Betal ikke og forhandl ikke på egen hånd, og dokumentér hvad I ser (skærmbilleder af afpresningsbeskeden, tidspunkter).
Skal man betale løsesummen?
Myndighederne fraråder det. Betaling finansierer kriminelle, giver ingen garanti for, at data kommer tilbage, og markerer jer som et betalende mål for næste angreb. Rummer angrebet lækkede persondata, forsvinder anmeldelsespligten heller ikke, fordi der betales. Den reelle beskyttelse ligger i forberedelsen, ikke i forhandlingen.
Sådan forebygger I ransomware
- Backup med gendannelsestest: offline eller uforanderlige kopier, der ikke kan krypteres med, og som testes jævnligt. Se backupløsninger.
- Opdaterede systemer og lukkede sårbarheder via løbende patch-styring.
- Multifaktor-godkendelse på alle fjernadgange og administrative konti.
- Overvågning døgnet rundt, så et angreb opdages i minutterne, ikke om mandagen.
- En testet IT-beredskabsplan, så alle ved præcis, hvad der skal ske, hvis uheldet er ude.
Sådan hjælper MI Support IT
MI Support IT leverer alle fem forebyggende lag som en samlet, løbende ydelse, fra backup og overvågning til en beredskabsplan, der er øvet i praksis. Læs mere under IT-sikkerhed, eller kontakt os, hvis I vil have efterset jeres forsvar, før det bliver testet af andre.