Fem tecken på att företaget är på väg att utsättas för gisslanprogram

Publicerat av: Redaktionen

En ny studie visar att det finns mönster som ofta föregår angrepp med gisslanprogram (ransomware).

I Sophos rapport ”The Realities of Ransomware” beskrivs vad man kan förvänta sig och varför attackerna fortsätter. Fem återkommande tecken är särskilt vanliga och är vart och ett tillräckligt för att man ska vara särskilt observant på att en attack kan vara förestående.

Svenska företag har i en tidigare studie visat sig betala mest i världen för att hämta sig från angrepp med gisslanprogram. I takt med att angreppen ökar och blir allt mer kostsamma ökar samtidigt kunskapen om de metoder som ofta används.

– Vi vet sedan tidigare att det finns en stor förbättringspotential i många organisationer. Attackerna kommer sannolikt inte att avta och de blir dessutom allt mer sofistikerade. Det behövs bättre kunskap och den här studien ringar in några av de varningstecken man bör vara särskilt observant på, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Fem varningstecken som ofta förebådar en attack med gisslanprogram:

  • Upptäckten av en skanner – särskilt på en server
    En attack påbörjas oftast med att angriparna försöker få tillgång till en enhet där de kan söka efter information. Därefter vill man ofta se vad som finns i nätverket och identifiera vilken information man kan komma åt. Det enklaste sättet att göra det är med en skanner. Om en nätverksskanner som exempelvis AngryIP eller Advanced Port Scanner upptäcks bör man omedelbart kontrollera om någon administratör använder dessa verktyg. Om inte finns all anledning att undersöka närmare.
  • Verktyg som avaktiverar antivirusprogram
    När angriparna skaffat sig tillgång till nätverket kommer de i många fall att försöka inaktivera de säkerhetsprogram som finns. Det kan göras med verktyg som Process Hacker, IOBit Uninstaller, GMER eller PC Hunter. Dessa kommersiella program är legitima men kan i fel händer bli ett verktyg för brottslingar. Upptäcks den typen av program bör man alltid ifrågasätta varför de finns där.
  • Närvaron av MimiKatz
    Upptäckten av MimiKatz bör i alla lägen undersökas närmare. MimiKatz är ett av de vanligaste verktygen som används för kontostöld. Om ingen medarbetare kan visa på att verktyget används av legitima skäl är förekomsten av MimiKatz en tydlig varningsflagga.
  • Misstänkta mönster
    Om man noterar händelser som inträffar varje dag vid en viss tid eller andra mönster som upprepas är det ofta ett tecken på att någonting är i görningen. Även om misstänkta filer upptäckts och tagits bort bör man ställa sig frågan varför vissa händelser fortsätter att upprepa sig.
  • Testangrepp
    Det är relativt vanligt att angripare genomför mindre tester för att se om och hur den valda metoden fungerar. Om testattackerna upptäcks och stoppas provar angriparna ofta en ny väg. Samtidigt vet de då att de sannolikt är röjda och kan därför sätta in en större, snabb attack innan vägen fram är helt stängd.

I Sophos globala studie ”The State of Ransomware 2020” framgår att kostnaden för att hantera ett angrepp med gisslanprogram i genomsnitt är cirka 7,5 miljoner kronor. I Sverige är dock den genomsnittliga kostnaden betydligt högre – cirka 26 miljoner kronor.

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00