2020-08-18

Fem tecken på att företaget är på väg att utsättas för ransome-ware

Det finns mönster som ofta föregår angrepp med gisslanprogram (ransomware). I en ny rapport beskrivs vad man kan förvänta sig och varför attackerna fortsätter. Fem återkommande tecken är särskilt vanliga och är vart och ett tillräckligt för att man ska vara särskilt observant på att en attack kan vara förestående.

Svenska företag betalar mest i världen för att hämta sig från angrepp med gisslanprogram enligt en tidigare studie från Sophos. I takt med att angreppen ökar och blir allt mer kostsamma ökar samtidigt kunskapen om de metoder som ofta används. 

– Vi vet sedan tidigare att det finns en stor förbättringspotential i många organisationer. Attackerna kommer sannolikt inte att avta och de blir dessutom allt mer sofistikerade. Det behövs bättre kunskap och den här studien ringar in några av de varningstecken man bör vara särskilt observant på, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Fem varningstecken som ofta förebådar en attack med gisslanprogram: 

  • Upptäckten av en skanner – särskilt på en server
    En attack påbörjas oftast med att angriparna försöker få tillgång till en enhet där de kan söka efter information. Därefter vill man ofta se vad som finns i nätverket och identifiera vilken information man kan komma åt. Det enklaste sättet att göra det är med en skanner. Om en nätverksskanner som exempelvis AngryIP eller Advanced Port Scanner upptäcks bör man omedelbart kontrollera om någon administratör använder dessa verktyg. Om inte finns all anledning att undersöka närmare.

  • Verktyg som avaktiverar antivirusprogram
    När angriparna skaffat sig tillgång till nätverket kommer de i många fall att försöka inaktivera de säkerhetsprogram som finns. Det kan göras med verktyg som Process Hacker, IOBit Uninstaller, GMER eller PC Hunter. Dessa kommersiella program är legitima men kan i fel händer bli ett verktyg för brottslingar. Upptäcks den typen av program bör man alltid ifrågasätta varför de finns där.

  • Närvaron av Mimikatz
    Upptäckten av Mimikatz bör i alla lägen undersökas närmare. Mimikatz är ett av de vanligaste verktygen som används för kontostöld. Om ingen medarbetare kan visa på att verktyget används av legitima skäl är förekomsten av Mimikatz en tydlig varningsflagga.

  • Misstänkta mönster
    Om man noterar händelser som inträffar varje dag vid en viss tid eller andra mönster som upprepas är det ofta ett tecken på att någonting är i görningen. Även om misstänkta filer upptäckts och tagits bort bör man ställa sig frågan varför vissa händelser fortsätter att upprepa sig.

  • Testangrepp
    Det är relativt vanligt att angripare genomför mindre tester för att se om och hur den valda metoden fungerar. Om testattackerna upptäcks och stoppas provar angriparna ofta en ny väg. Samtidigt vet de då att de sannolikt är röjda och kan därför sätta in en större, snabb attack innan vägen fram är helt stängd.

Taggar

Leverantörer
Ändra marknad
Till toppen av sidan
Stäng