Ransomcare

De fleste virksomheder har i de senere år  investeret massivt i sikring af it-infrastrukturen. Vi har avancerede firewall-systemer, Next-Gen Antimalware, SIEM, High Availability osv. Alligevel er det åbenlyst, at særligt ransomware lægger den ene virksomhed ned efter den anden. Fra små til meget store.

I edgemo involveres vi i udredningen af mange særdeles alvorlige ransomwareangreb, og vi har afdækket flere problematiske forhold, der kan forklare, hvorfor mange af angrebene får så alvorlige konsekvenser. Der er nemlig forbløffende mange ret basale forhold, man ikke har styr på i selv meget store og kompetente infrastrukturer og organisationer. 

Når noget eller nogen trænger igennem vores forsvarsværker, er vi simpelthen ikke rustet til at forhindre ødelæggelsen. Hverken teknisk eller proceduremæssigt. Det har vi diskuteret i mange fora og givet en række anbefalinger til forbedring af vores resistens mod truslerne, når de trænger ind.

Installér et Last Line of Defence

På baggrund af ovenstående foreslår vi at starte med at installere et ”Last Line of Defence”, der får fælden til at klappe, hvis en ransomware skulle trænge gennem forsvaret, så skadevirkningen bliver uproblematisk. For vi FÅR ransomware! Vi vil altid være et skridt bagefter. En hacker skal kun være heldig én gang. Vi skal være heldige hele tiden!

Ifølge Danmarks Statistik for 2018:

  • 2000 større danske virksomheder blev ramt af ransomware
  • Der sker et angreb hvert 40. sekund i Danmark
  • 25% af større danske virksomheder oplevede et sikkerhedsbrud
  • 16% oplevede blokering af adgang til deres systemer
  • 6% oplevede sletning eller ødelæggelse af data
  • 12% har ufrivilligt videregivet fortrolige oplysninger
  • 98% af alle angreb i Danmark benytter en eller anden form for Social Engineering

Bullwall Ransomcare

Ransomcare fra Bullwall er billigt og aldeles uproblematisk at installere, og så passer det sig selv - alle virksomheder burde have det. For det passer på jer. Det er et sikkerhedssystem, der installeres på en virtuel server indenfor murene - og dét tager kun 1 time inklusiv kaffe! Administrationen er naturligvis cloud-baseret. Man sætter det i ”learning mode” i en uge eller to, så det kan lære jer at kende. I den periode vil systemet give alarmer, dog uden at udføre handlinger. Derefter får I ro i maven.

Det smager på jeres netværkstrafik - særligt på de broadcasts, der sender filopdateringer mellem klienter samt klienter og servere. I dét sekund en unormal krypteringsadfærd udvises, klapper fælden. Ransomcare rummer et stort bibliotek af scripts (Group Policies), der kan udføre en række specifikke handlinger. Får en klient en aktiv ransomware, udløses en serie af handlinger, der blandt andet lukker klienten ned med hård hånd, så den ikke kan få kontakt til netværket igen, spærrer brugerens konto og alarmerer.

Det lyder som noget, mange andre siger. Det er det ikke! Ransomcare er det eneste system af sin art, og det har nogle meget vægtige referencer rundt om i verden.

  • Ransomcare er ikke signaturbaseret. Det reagerer på helt specifikke adfærdsmønstre og reagerer prompte. Det kan dog navngive allerede kendte kryptologgere.
  • Det kræver ikke installation på klienterne og kan fungere offline. Der er ingen belastning af klienter, servere eller netværk.
  • Det overvåger alene handlinger, som omfatter filbehandling, der er kendetegnende for ransomware - uanset om typen er kendt eller helt ny. Det anvender flere forskellige detekteringsstrategier.
  • Det logger aktiviteten i forbindelse med en alarmering, så man kan finde tilbage til patient nul og spore, hvorfra angrebet er kommet, samt hvilke filer der er krypterede.
  • En sidegevinst er, at Ransomcare kan automatisere jeres GDPR-rapportering.
  • Systemet kan naturligvis tilpasses, hvis der er særlige procedurer, der skal negligeres. Eksempelvis når lønningsbogholderen krypterer lønsedler i et batch.
  • Ransomcare kan integreres til mange andre sikkerhedssystemer via RESTful API, for at give en ensartet sikkerhedsadministration.

Med andre ord reagerer Ransomcare først, når du "har fået en infektion". Men i stedet for at stå med en potentiel company killer, slipper du med et par krypterede filer med fuldt audit-trail og en enkelt spærret klient. Når Ransomcare er installeret stopper panikken, og I kan fortsætte sikkerhedsarbejdet og få styr på fx Lateral Movement, LAPS, Serveropdateringer, Service Accounts. Alt det vigtige, som trækker lidt flere tænder ud, og som næppe nogensinde bliver 100% sikkert.

Når du ringer til os om lidt for at booke et møde om Bullwall, giver vi dig syn for sagen. Vi medbringer et lille netværk, som vi udsætter for ransomware, så du kan se, det virker. Vi har også en mobiltelefon med. Den kan også blive spærret, hvis den forsøger at inficere eksempelvis et One-Drive. Hvis vi skal kaste os over flosklerne: ”I har ikke råd til at lade være”. Vi har alle en brandforsikring - vi får sandsynligvis aldrig ildløs. Men vi FÅR ransomware!

I 2019 kom et hold edgemo-specialister til at spille en central rolle i et af de mest succesfulde cyberangreb, set i Europa. Vi fortæller det, vi må og kan, for det handler om, at vi alle skal blive klogere. Du får også adgang til vores 10 bedste råd, tanker og erfaringer fra angrebet.

Tænd kontakten

Vil du vide mere?

Udfyld felterne, så kontakter vi dig senest næste arbejdsdag. Du er også altid velkommen på +45 69 89 88 00 eller info@edgemo.com - og i menuen under Kontakt finder du alle edgemo people's kontaktdata.