IT-Total | Blogg | Säker IT

Tyvärr går inte de cyberkriminella på semester

Skriven av IT-Total | 2021-jul-07 16:53:43

Sommarledigheten närmar sig, men tyvärr går inte de cyberkriminella på semester. Sveriges rankas etta i världen i Network Readiness Index (NRI), som är en årlig jämförelse av länders förmåga att tillvarata digitaliseringens möjligheter. Sveriges placering i globala index för cybersäkerhet är däremot skrämmande låg. I National Cyber Security Index (NCSI) hamnar Sverige på plats 43. Detta innebär att vi det mest digitaliserade landet samtidigt som vi är betydligt mer sårbara än jämförbara europeiska länder.

För en månad sedan lyckades en hackare få det amerikanska köttföretaget JBS att betala runt 100 miljoner kronor. Nu står samma grupp hackare bakom en ny it-attack mot tusentals företag världen över.

 

Företaget Kaseya har cirka 40,000 tjänsteleverantörer världen över och har nu blivit målet för en sk supply chain-attack. En supply chain-attack ett angrepp som utförs mot en leverantörs underleverantör. Målet i det här fallet blir i tredje led. Om leverantörskedjan är lång, så skulle det kunna bli flera hopp. Kaseya tillhandahåller en hanteringsplattform för system som heter VSA (Virtual System Administrator) som hanterar slutsystem. I skrivande stund är det bekräftat att över 1000 företag har fått sina tillgångar krypterade. Denna gång var det Kaseya, tidigare har såväl Microsoft som Solarwinds vara utsatta i närtid och det kommer drabba fler.

 

Attacken tar över VSA-verktyget och injicerar ransomware i systemet som krypterar data som gör systemet obrukbart, samt stänger av antivirustjänster. VSA är utformat för att köras med höjda användarrättigheter. Detta medför att det kan sprida sig från tjänsteleverantörerna ned till de kunder som nyttjar deras tjänst. De låser ett företags datasystem och kräver stora summor pengar för att öppna systemen igen.

 

Viruset som användes i denna attack är ett ransomware som heter REvil. Ett skadligt script har körts i VSA-Agenten för att sedan placera ut två resursfiler. Varav en är MsMpEng.exe som tillhör Microsoft Defender. Man har distribuerat ut en äldre, men legitim version av Microsoft Defender, vilket i sin tur laddar CryptoLockern/REvil.

 

Det är inte ovanligt att det egentliga intrånget skett långt tidigare men inte upptäckts och vi ser ibland att det kan ha gått 1-2 år innan själva attacken genomförs efter det första intrånget (då man placerat trojanen). Detta var dock inte aktuellt i detta fall.

 

Många tror att basskyddet i Microsoft räcker, det är en bra bas men det finns mycket mer man kan göra för att öka säkerheten. Det många inte känner till är att Microsoft rekommenderar sina kunder att addera till säkerhetslösningar från annan leverantör. Det är svårt att skydda sig helt men en bra början är att sätta lås på dörrar och fönster och installera ett larm. Detta är tjänster som vi kan hjälpa dig med.

 

Här finner du rekommendationer från IT-Total om du använder VSA.

 

Vi hjälper dig gärna med att säkra upp ditt företags IT-miljö och träffar dig gärna när det passar dig för en genomgång av säkerhetsnivån på ditt företag och vad man kan göra för att öka skyddet.