Den femte februari började de anställda på Hollywood Presbyterian Medical Center i Los Angeles få svårt att komma åt nätverket. Några dagar senare stod det klart att sjukhuset fallit offer för ransomware, gisslanprogram, som krypterat filer på ett antal olika datorer. Bara angriparna kunder öppna upp filerna igen, och de ville ha 40 bitcoin för att göra det.

Efter att personalen i flera dagar varit hänvisade till att arbeta med papper och penna beslöt sjukhuset att betala lösensumman, som landade på 17 000 dollar. Det var helt enkelt snabbaste sättet att få tillbaka data och system.

Det var bara den första i en rad ransomware-angrepp på ett antal vårdinrättningar i USA under vårmånaderna, bland andra Chino Valley Medical Center, Desert Valley Hospital och Methodist Hospital i Kentucky.

Läs också: Varning: Ransomware sprids via Facebook-meddelanden

En serie angrepp som satte fokus på en oroväckande utveckling. Tidigare har sådana här lösentrojaner främst drabbat privatpersoner – nu hade angriparna börjat sikta på företagsmål.

Själva mjukvaran som används vid sådana angrepp har förändrats dramatiskt de senaste två åren, säger Ed Cabrera, cybersäkerhetschef på antivirusjätten Trend Micro. Under 2014 använde 80 procent av gisslantagarna traditionella metoder där användaren bara låstes ut från skrivbordet och uppmanades betala lösen. 2015 var statistiken den omvända: 80 procent av gisslantagarna krypterade filerna till oigenkännlighet.

– Och angreppen mot företag istället för konsumenter signalerar ännu ett skifte, säger Cabrera.

– Om vi tittar bara på 2016 ser vi att en stor del av den krypterande ransomware vi upptäcker och blockerar siktar in sig på företag, mer än någonsin tidigare.

Det är inte så konstigt. Affärsdata är värda mycket mer i reda pengar än privata data. Företag har mer pengar att punga ut med, och deras säkerhetsprofiler varierar kraftigt över geografier, storlekar och branscher.

– Vi har börjat se att ransomware fokuserat på små och medelstora företag under senaste året, eftersom det finns bättre chanser att pressa dem på stora summor än den genomsnittliga privatpersonen, säger Liviu Arsene, hotanalytiker på antivrus­företaget Bitdefender.

– Och med tanke på att Hollywood Presbyterian Medical Hospital be­talade 17 000 dollar efter en enda ransomware-infektion är det logiskt att cyberbrottslingar borde ha mycket större intresse av att ge sig på företag och organisationer, säger han.

Ett angrepp med ransomware kan lamslå den dagliga verksamheten på ett företag. Personalavdelningen och ekonomiavdelningen är vanliga mål, då det är lätt att förklä malware till ett cv eller en faktura. Om målet råkar vara ett sjukhus, som det nu så ofta varit, kan nedtid hos it-systemen till och med bli en fråga om liv och död.

När det gäller ransomware är det extra viktigt att förebygga angrepp, eftersom det finns väldigt lite att göra mer än att betala när man väl är drabbad. Varje företag borde ha en åtgärdsplan klar att sätta in – det räcker inte att bara ha backuprutiner.

Det gäller att regelbundet kontrollera att backuperna fungerar som de ska och att återställningsprocessen också fungerar utan krångel. Annars kan du hamna i en sits där det tar längre tid, och kostar mer i form av nedtid, att återställa backuperna än att bara betala.

Traditionellt har ransomware-programmen spridits i form av epost-spam, och det förekommer fortfarande, men de senaste året har infektionsmetoderna blivit fler och slugare. Det finns nu en hel del sätt för progammen att ta sig in i företagsnätet.

Den näst mest vanliga infektionstekniken är genom så kallade exploit-kit – webbaserade attackverktyg som siktar in sig på kända sårbarheter i versioner av webbläsare och insticksprogram som Flash Player, Adobe Reader, Java och Silverlight.

Läs också: Åtta sätt att minska risken att drabbas av ransomware

Användare dirigeras om till ett exploit-kit via någon hackad webbplats eller genom illasinnade annonser, som angriparna lyckats smussla in i något av alla annonseringsnätverk som håller pengarna rullande på webben. Den här sortens angrepp kallas för ”drive-by downloads”, och till skillnad från mejlfiske kan man inte utbilda användarna så de inte går på dem – de kan komma från eljest pålitliga webbsajter och är vanligtvis helt omärkliga.

Men det är inte bara klienterna på skrivborden som riskerar att smittas. Angriparna ger sig också i stigande grad på sårbarheter i servermjukvara för att få in sina program i företagsnäten.

I april hände det Medstar Health, en ideell organisation som driver tio sjukhus i och kring Washington, DC. Medstar drabbades av ett ransomwareprogram som fått namnet ”Samsam”. Utredarna kunde senare slå fast att Samsam installerades genom en sårbarhet i applikationsservern Jboss. En kartläggning visade att 2 200 sådana servrar på organisationer världen över använde samma sårbara version av Jboss.

En rapport från Symantec pekar också ut Samsam-kampanjen som intressant för att förbrytarna använde metoder och verktyg som typiskt annars ses inom cyberspionage för att röra sig i sidled inne i företags­näten. Målen var att identifiera de mest lukrativa målen, och radera befintliga backupper, innan gisslanprogrammet rullades ut.

Sida 1 / 2

Innehållsförteckning