Stor ökning av farligt gisslanprogram

SophosLabs har på senare tid sett en tydlig ökning av attacker med gisslanprogrammet Ryuk. Och ofta riktar de in sig mot särskilt känsliga organisationer. Ryuk räknas som ett av de farligaste och mest illasinnade gisslanprogrammen hittills. Bland de drabbade finns dagstidningar och flera offentliga verksamheter i USA, som exempelvis myndigheter, vattenkraftverk, sjukhus och kommuner. I flera fall har de drabbade inte sett någon annan lösning än att betala höga lösensummor för att komma åt den krypterade informationen.


– En attack med Ryuk orsakar lätt kaos hos de företag och organisationer som drabbas. Även om Ryuk så här långt främst drabbat andra länder måste vi vara förberedda för att attacker kan komma även i Sverige, kommenterar Ola Björling, ansvarig för Sophos i Norden och Baltikum.
För att stoppa Ryuk krävs det ett skydd som verkar i flera led snarare än ett försvar mot en viss typ av skadlig kod. Skyddet måste kunna: Blockera teknik där förövarna använder så kallade exploits för att ta sig in i nätverket, stoppa angriparna från att komma över inloggningsuppgifter som ger tillgång till IT-systemen, hindra angripare från att röra sig i sidled i nätverket, stoppa gisslanprogrammet från att genomföra krypteringen av filerna och identifiera attacker och återställa filer som angriparen lyckats kryptera.
– Angriparna bakom Ryuk använder en kombination av flera olika tekniker. Det kan exempelvis börja med en e-postbilaga som innehåller skadlig kod och ger tillgång till nätverket. Väl där stjäl angriparen inloggningsuppgifter och ger sig själv administratörsrättigheter. Därefter kan man sondera systemets Active Directory och ta bort backupfiler. Nästa steg kan vara att försöka slå ut de IT-säkerhetslösningar som återstår och sedan släpper man lös gisslanprogrammet, säger Per Söderqvist, säkerhetsexpert på Sophos
– Sophos molntjänst Intercept X Advanced är utvecklad för att möta den här typen av avancerade hot. Med den går det att upptäcka och neutralisera cyberhot med hjälp av så kallad djup maskininlärning. Det är en avancerad form av maskininlärning där datorsystem själva lär sig hur de kan lösa problem. Genom att använda djupinlärning och neurala nätverk i kombination med avancerad applikationslåsning och ett utvecklat skydd mot gisslanprogram erbjuder Intercept X en mycket hög detekteringsnivå och en lägre andel falsklarm, säger Per Söderqvist vidare.