Allt för att arbeta med Windows - det bästa operativsystemet från Microsoft. Vi täcker allt från Windows 10 Insider -programmet till Windows 11. Ger dig alla de senaste nyheterna om Windows 10 och mer.


Diverse

Kommer all ransomware från ryska cyberkriminella grupper?

9
Innehåll
Bevis för rysktalande ursprung i de senaste cyberattackerna
Förhindra Ransomware-infektion (och återhämta sig från Ransomware)

På Datarecovery.com arbetar vi ofta med företag, sjukvårdsorganisationer och andra företag som har fallit offer för ransomware. Många av dessa fall kan återställas – medan många av de mest kända ransomware-varianterna är väldesignade, har vissa designsårbarheter som kan utnyttjas för att återställa data till dess ursprungliga skick utan att betala en lösensumma.

Den senaste vågen av rubrikfångande ransomware-varianter är dock exceptionellt robusta. I många fall har offren inget annat alternativ än att betala lösensumman. Att knäcka krypteringen kan ta månader – eller hundratals år, i vissa fall – och per definition kan verksamhetskritiska system inte förbli offline under längre tid.

Tidningar citerar ofta det ryska ursprunget till stora ransomware-attacker, vilket har lett till en missuppfattning om att all ransomware kommer från Rysslandsbaserade cyberkriminella grupper. Detta är inte fallet; ransomware kan (och kommer) från överallt, men de mest framgångsrika angriparna kommer ofta från rysktalande länder.

Bevis för rysktalande ursprung i de senaste cyberattackerna

I februari 2017 uppskattade säkerhetsföretaget Kaspersky att 75 procent av ransomware kommer från rysktalande källor. Det betyder dock inte nödvändigtvis att alla angriparna är rysktalande: De dåliga aktörerna som skapar ransomware är ofta åtskilda från personerna som utför attacken. Den här andra gruppen fungerar som "affiliates", distribuerar ransomware och samlar in lösensumman. Det finns inte tillräckligt med hårda data för att dra slutsatsen att de faktiska programmerarna är mer benägna att vara rysktalande än, säg, kinesisktalande.

Med det sagt har många av de mest betydande ransomware-attackerna spårats till rysktalande (vi noterar här att vi använder frasen "rysktalande" snarare än "Ryssland" eftersom det är mycket lättare att bestämma språk än att bekräfta nationalitet – och det finns inga aktuella bevis som tyder på att någon nations regering är aktivt involverad i distribution av ransomware, med det anmärkningsvärda undantaget för Nordkoreas militära hackergrupper ).

Några nyhetsvärde exempel på ransomware-attacker med rysktalande ursprung:

  • Den 7 juli 2021 identifierade en rapport från Trustwave SpiderLabs en ransomware-attack från rysktalande hackare REvil som skrevs för att aktivt undvika system som har standardspråkinställningar från den tidigare Sovjetunionen.
  • DarkSide, den rysktalande gruppen som attackerade Colonial Pipeline i maj, använde ransomware skriven för att undvika datorer i Ryssland och före detta sovjetiska satellitländer.
  • Den 14 maj 2021 drabbades Irlands hälso- och sjukvård av en betydande ransomware-attack som tillskrivs Wizard Spider, en cyberkriminell grupp som tros vara baserad i St. Petersburg, Ryssland.

De flesta cyberattacker kommer inte till nyheterna – var och en av ransomware-attackerna som listas ovan faller i kategorin "big game hunter". Dessa attacker kan vara anmärkningsvärt sofistikerade. I vissa fall sitter skadlig programvara på en server i månader för att förhindra att målet återhämtar sig från användbara säkerhetskopior. Mindre ransomware-attacker använder mer av en brute force-metod som riktar sig mot hundratals potentiella offer. Dessa typer av attacker är mer benägna att återställas.

Förhindra Ransomware-infektion (och återhämta sig från Ransomware)

Vi kan inte spekulera i varför många stora attacker kommer från rysktalande länder, men vissa nyhetsmedier tror att Rysslands slappa efterlevnad av cyberbrottslagar har gjort praktiken kvasi-laglig. Det är också möjligt att vissa malware-grupper härmar välkända ryska grupper för att dölja sina identiteter mer effektivt.

Oavsett ursprung kan en ransomware-attack vara förödande för ett företag. Även om varje företag bör införa ett robust program för att förhindra infektion, här är några snabba tips för att begränsa sårbarheter:

  • Begränsa perifer åtkomst till alla backupsystem. Detta inkluderar optiska media (CD/DVD), externa hårddiskar och flashenheter. Överväg att installera USB-lås för att förhindra obehörig åtkomst till kringutrustning.
  • Håll en säkerhetskopia av viktiga data. All verksamhetskritisk data bör dupliceras och lagras utanför nätverket. Om det är möjligt, förvara verksamhetskritiska säkerhetskopior utanför platsen.
  • Utbilda anställda. Många ransomware-attacker sker via e-post. Upprätta starka protokoll för att förhindra att personal öppnar komprometterade e-postmeddelanden (och bilagor).
  • Isolera system där det är möjligt. Att begränsa åtkomsten till viktig IT-infrastruktur är ett av de mest effektiva sätten att förhindra en framgångsrik attack.
  • Kontrollera säkerhetskopior regelbundet. Ha en katastrofåterställningsplan – kör simuleringsscenarier och avgör om dina nuvarande metoder är tillräckligt robusta för en riktig infektion.

Slutligen, om en cyberattack inträffar, få inte panik. Stäng av alla berörda system omedelbart. Försök inte återställa från säkerhetskopior om det finns någon möjlighet att säkerhetskopiorna kan infekteras under processen.

Det säkraste tillvägagångssättet är att kontakta ett erfaret företag för återställning av ransomware. För en kostnadsfri konsultation, ring Datarecovery.com på 1-800-237-4200 och be att få prata med en expert på skadlig programvara.

Inspelningskälla: datarecovery.com
Du kanske också gillar Mer från författaren

Denna webbplats använder cookies för att förbättra din upplevelse. Vi antar att du är ok med detta, men du kan välja bort det om du vill. Jag accepterar Fler detaljer