Cyberexperten om nya ransomware-vågen: ”Backuperna det första de ger sig på”

Efter ett någorlunda lugnt fjolår är ransomware-attackerna tillbaka och plågar svenska organisationer igen. Mörkertalet är stort då få företag vill tala om att de utsatts, men exempel från Sverige är de attacker som drabbat Åbro Bryggeri och Västtrafik nu under våren.

En drivkraft för den här vågen är att verktyg för ransomware finns så lättillgängliga och går att hyra som en tjänst på Dark web.

Men det finns en annan aspekt som företagen själva har större möjlighet att påverka.

Emanuel Lipschütz som är cybersäkerhetschef på Conscia säger att en grogrund för ransomware-attackerna är att många organisationer förlitar sig på att traditionella backup-lösningar ska vara en räddningsplanka om de utsätts för attacker.

Backuperna är den sista linjen i försvaret, säger han. Men i det traditionella försvaret har man inte utgått från att en aktör finns inne i systemen.

– Befintliga backuplösningar förutsätter att en hotaktör inte finns innanför brandväggen. Men backuperna är ett av de första system ransomware-aktörerna ger sig på. De vill ju göra så att det inte går att återställa systemen. Dessutom finns det känsliga data i backuperna som de kan använda sig av.

– Om företagen hade haft koll på de här delarna skulle vi inte se så mycket ransomware som vi gör just nu. Det skulle minska benägenheten att betala lösensummor och göra det mindre lönsamt.

Återläsning av data

Emanuel Lipschütz säger att sättet att skydda sig mot ransomware är att ha säkerhetskopior av data som kan läsas tillbaka, men att det inte räcker med detta. För det första är återläsning av data efter utpressningsattack ofta mycket mer komplex än en vanlig återläsning.

För det andra behöver hela lösningen för säkerhetskopiering och återläsning säkras i sig, fortsätter han, just eftersom de cyberkriminella ofta ger sig på säkerhetskopiorna först.

– Så även om det finns säkerhetskopior är det stor risk att de visar sig vara värdelösa under försök till återläsning av data. Ännu värre är om data är komprometterade eller om det finns skadlig kod i kopiorna.

För det tredje kan infrastrukturen för säkerhetskopiering lida av samma sårbarheter som resten av infrastrukturen och använda osäkra öppna protokoll som network file system, nfs, och server message block, smb, tillägger han.

– I stället bör företagen satsa på att ha en fullständig lösning för cyber recovery, där systemet är härdat och som både innefattar återställning av data och som kan upptäcka om och när oönskad kryptering skett.

Emanuel Lipschütz säger att det finns ett par konkreta lösningar för att säkra återläsning även under utpressningsattacker:

Säkra med lucka i luften

En metod är det som brukar benämnas ”air gap” på engelska och som innebär att man använder ett separat nätverk som inte har några kopplingar till omvärlden. Den del av it-miljön där säkerhetskopiorna lagras har alltså ingen kontakt med resten av it-miljön eller med internet, vilket innebär att en angriparna inte kan komma åt säkerhetskopiorna.

– Det här har visserligen minskat i popularitet på senare tid, men det är ändå viktigt att minimera kontakten med omvärlden till minsta möjliga antal punkter, och i dag har cybersäkerhetsleverantörer tagit fram sådana lösningar.

Eftersom ”air gap” inte upplevs särskilt praktiskt så finns det lösningar där säkerhetskopierade data är oföränderligt lagrade, immutable. Det innebär att data rent tekniskt inte kan förändrats efter att de skapats.

Det är också betydligt enklare att upptäcka och överleva en ransomware-attack om olika delar av säkerhetsarktitekturen, däribland säkerhetskopiering och återläsning, fungerar ihop. Det kan till exempel innebära att en lösning för säkerhetskopiering övervakar om någon försöker manipulera säkerhetskopior av data och automatiskt larmar andra tekniklösningar.

– Sedan handlar det om att testa och testa igen. Det är absolut nödvändigt att testa och säkerställa att återställningen kommer att fungera när den väl behövs. Övning ger färdighet när krisen väl inträffar.

Skydda känsliga data

Om man har en ordentlig cyberrecovery-lösning på plats i stället för bara en traditionell backup-lösning så skulle skadeverkan minska väsentligt vid ransomware-attacker, säger Emanuel Lipschütz.

– Även om en hotaktör får åtkomst så vet företaget då att backuperna är säkra och att de kan användas för återställning. Man blir inte lika sårbar för utpressningssumman och man kan också på ett helt annat sätt få en överblick över vad som har stulits.

Att det finns fungerande säkerhetskopiering kommer att bli ännu viktigare framöver, då många organisationer måste följa de nya NIS2-direktiven med ökade krav på rapportering och som dessutom öppnar upp för höga bötesbelopp om de faller till föga. Med GDPR finns behovet att snabbt kunna ta reda på om känsliga data blivit stulna.

– Det handlar inte enbart om återläsning. Du måste veta vilken information som läckt ut och om det är känsliga data så måste det rapporteras, annars riskerar man böter. Därför kommer det att bli ännu viktigare att backupsystemen inte tas över.