WannaCry - så skyddar du dig mot ransomware

Så skyddar du dig mot denna ransomwareattack, liknande attacker men framförallt kommande attacker.

Häromdagen pågick en av de största och omfattande ransomware attackerna någonsin som slog ut ett stort antal klientdatorer och servrar runt om i världen. Det var i fredags som media rapporterade om att ungefär 100 länder och 200 000 maskiner hade drabbats av cryptolockerviruset WannaCry och precis som med andra ransomware så låser viruset datorerna så att användarna måste betala en lösensumma för att komma åt sitt innehåll. Just nu är som tur denna attack stoppad pga av en misstag av de som skapade viruset.

Ransomware blir vanligare

Ransomwareattacker likt denna blir vanligare och vanligare och vi har skrivit om problematiken med det tidigare när viruset Locky var på tapeten. Virus likt detta finns nu färdigpaketerade och tillgängliga för vem som helst som vill pressa företag på pengar.

Skillnaden med WannaCry är dock att den även kan sprida sig från klient till klient genom nätverket, något som har varit ovanligt vid tidigare attacker.

”Den här versionen av WannaCry har enligt uppgift från flera källor maskliknande funktionalitet för att sprida sig och infektera andra nätverksanslutna system via en sårbarhet i SMB-protokollet version 1. Sårbarheten i fråga rättades av Microsoft den 14 mars 2017[3] och det har för en tid sedan dykt upp exempelkod som utnyttjar sårbarheten i ännu icke uppdaterade system.”Cert.se

Detta gör att WannaCry kan sprida sig vidare genom ert nätvert väldigt snabbt och smitta sårbara nätverksanslutna datorer och servrar. Därför är det väldigt viktigt att snabbt installera relaterade säkerhetsuppdateringar från Microsoft (se nedan). Detta är det bästa sättet att skydda sig mot attacken även om det långsiktigt finns många fler åtgärder. Att även ha ett uppdaterat intrångsskydd (IPS) som undersöker trafik till och från servrar är viktigt då den kan stoppa denna typ av attacker.

Samma gäller lokal brandvägg på klienter. Då detta virus spred sig över port 445. Det brukar ofta inte finnas krav på att två olika klienter behöver nå varandra på denna port. Därav är det klokt att stänga ner de portar som inte används så har man också minimerat risken för liknande attacker.

Problematiken försvinner inte

Cygates säkerhetsexpert Christofer Tibbelin menar att denna problematik inte kommer att försvinna så länge man kan tjäna stora pengar på det.

– I detta fall var det tur och klantighet som stoppade detta utbrott. Nästa gång kanske vi inte har sån tur och då kan följderna bli katastrofala för din organisation. I och med GDPR kan det även bli stora skadestånd utöver de andra problem detta medför.

IT säkerhet är inget man kan ignorera längre, detta är din organisations framtid. Hur mycket är den värd?

Vad omsätter ransomware och annan cyberbrottslighet?

Det är svårt att få en överblick över alla olika ransomware. Men exempel CryptoWall som infekterade mer än 625 000 datorer i USA uppskattats ha tjänat mer än 1 miljon dollar på bara sex månader. Så länge man kan tjäna dessa pengar kommer detta problem bara öka.

Skydda dig mot WannaCry och liknande ransomware

Hur gör man då som företag för att skydda sig mot WannaCry, liknande och framförallt kommande attacker med ransomware?

Framförallt handlar det om att planera väl, hålla uppsikt och vara beredd på att snabbt lösa och återställa eventuella incidenter.

Omedelbara tekniska åtgärder

  • Installera säkerhetsuppdateringar för Windows, speciellt viktigt är uppdateringen med namn och nummer: MS17-010. Mer information om uppdateringen hittar du här: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • Tillåt inte åtkomst via SMB-protokollet, dvs stäng i brandväggar för inkommande 445/tcp. Eventuellt även 139/tcp då det finns indikationer på att även denna utnyttjas.
  • Använd en IPS (intrångsskydd) för att verifiera trafik mot servrar och stoppa denna typ av attacker.
  • Används Sandbox för att testa filer som tankas ner från Internet innan de ges till klienter.

Omedelbara organisatoriska åtgärder

  • Informera medarbetare om attacken och att dem ska iaktta försiktighet med bifogade filer och länkar i e-postmeddelanden (vilket de alltid måste göra).

Långsiktiga åtgärder

  • Säkerställ att säkerhetsuppdateringar sker regelbundet och i tid både för operativsystem och övrig mjukvara.
  • Säkerställ att ni har fungerade säkerhetskopierings- och återställningsrutiner genom att öva dessa.
  • Segmentera nätet. Genom att inte tillåta klienter att kommunicera med andra klienter så minimeras skadeverkningarna.
  • Utbilda medarbetare löpande i IT-säkerhet och hur man ska hantera bifogade filer och länkar.

Cygate kan hjälpa till

Vi har experter inom informationssäkerhet och IT-säkerhet med lång erfarenhet och vi hjälper er gärna med allt från grundläggande analys, strategi och rådgivning till SIEM-tjänster, logghantering, molnanalyser eller sårbarhetsanalyser.

Cygates Security Operations Center

Ligg steget före med Cygate Security Operations Center -tjänsten hjälper organisationer i alla storlekar att snabbt identifiera säkerhetsincidenter i sin IT-miljö, så att hoten snabbare kan avvärjas. Läs mer om Cygate SOC.

Läs mer om attacken:

Cert.se – Pågående ransomware-kampanj

MSB – FAQ om WannaCry

IDG – Här är allt du behöver veta om den massiva ransomwareattacken