Ransomware og følsomme data

Årsagen til it-sikkerhedsbrister synes nogenlunde stabilt fordelt mellem eksterne hackere (70%) og interne medarbejdere (30%). De eksterne hackere bruger datatyveri som led i et ransomware-angreb kaldet ”dobbelt/tredobbelt afpresning”, der fx kan forløbe således:

1. Virksomhedens systemer bliver hacket, uden virksomheden opdager det.
2. Der opnås administrativ adgang til netværket.
3. Denne ”fod i døren” sælges på det sorte marked til hackergrupper, som har specialiseret sig i at finde og stjæle følsomme data.
4. De følsomme data eksfiltreres, uden virksomheden opdager det.
5. Virksomheden lammes af et ransomware-angreb, som nedsætter produktiviteten til nul og om muligt destruerer backupdata (første løsesum).
6. Der skal betales løsesum for at lukke virksomhedens computere og systemer op.
7. Hvis virksomheden ikke undersøger og opdager, hvordan de blev hacket, kan netværket rammes igen af den samme ransomware og de samme hackergrupper, når systemerne er online igen (gentagelse af første løsesum).
8. Virksomheden trues nu med, at hackerne vil sælge dens følsomme data til konkurrenter eller frigive dem på internettet på såkaldte ”shame sites” (anden løsesum).
9. Virksomhedens kan herefter opleve, at kunder, leverandører og partnere trues som følge af det første angreb og hackere eller trues med DDoS-angreb, som lukker adgang til virksomhedens services via internettet. De cyberkriminelle forlanger en løsesum for at stoppe dette (tredje løsesum).

De kriminelle arbejder i specialiserede netværk, hvor hackergrupper har fokus på dele af denne ”fødekæde”, som indledes med Ramsomware-as-a-Service (RaaS), hvilket gør det muligt for mindre avancerede hackere at få del i dette lukrative, men destruktive og kriminelle marked.

Konsekvensen af et sådant angreb skal ses i lyset af, at der er observeret en væsentlig stigning i antallet af ransomware-angreb i 2020, og at løsesumsstørrelsen er kraftigt stigende og nu ligger på flere millioner kroner. De mulige følger kan være:

1. Et ”Extinsion level”-angreb, som truer virksomhedens eksistens
2. En meget stor omkostning, hvor reetablering af virksomhedens produktivitet og infrastruktur samt estimeret driftstab kan løbe op i flere hundrede millioner kroner
3. Et imagetab, som kan medføre tab af kunder og være meget svært at rette op på
4. Et fald i virksomhedens aktiekurs
5. Nøglemedarbejdere forlader organisationen med et efterfølgende videns- og kompetencetab
6. Store omkostninger i forbindelse med retssager og manglende overholdelse af it-sikkerhedsstandarder.

Udover implementering af CIS-kontrollerne peger den nye Verizon DBIR 2021-rapport især på tre tiltag, som går i gang i næsten alle brancher:

1. Sikring af systemer opsat efter bedste praksis (SE CIS Benchmarks). Vær særligt opmærksom på usikre protokoller, som eksponeres for internettet (fx RDP).
2. Styring af administrative rettigheder efter princippet om mindste rettigheder til en given funktion/opgave. Dette omfatter normalt IAM/PAM, og her kan et PAM-værktøj som fx Thycotic Secret Server, Xton Access Manager eller ManageEngine PAM360 hjælpe dig med at klare denne opgave.
3. Awareness-træning efter bedste praksis (fx SANS MGT433), som sikrer målbart fokus på risikabel adfærd blandt alle virksomhedens brugere. Her kan Proofpoint PSAT (tidligere Wombat) og Deloittes Awarenessprofil hjælpe dig med at skabe et effektivt awareness-program. 

Er du nysgerrig? Så tilmeld dig vores webinar her, der afholdes den 17. juni kl. 10-11.30.