2017-05-29 09:02

Uppföljning av IT-attack ransomware kampanj

Den stora IT-attacken med ransomware, Wanna-Cry, som beskrivits på energisäkerhetsportalen i ett tidigare inlägg för en dryg vecka sedan förefaller nu ha klingat av. Lugnet kan dock vara bedrägligt och flera säkerhetsföretag varnar för att uppföljare och modifieringar av Wanna-Cry förekommer. Wanna-Cry är egentligen bara det senaste exemplet på ständigt pågående IT-attacker med skadlig kod som slår globalt. Det är av yttersta vikt att säkerhetsföreträdare vid energiföretag tar detta hot på allvar och skapar en hållbar säkerhetssituation i sina IT-miljöer.
Ransomware är i sig ingen ny företeelse men den skalan som den senaste tidens attacker uppvisar utgör en nyhet. Energisäkerhetsportalen erinrar om vikten av ett systematiskt säkerhetsarbete som tar höjd för konsekvenserna av liknande attacker i framtiden.

Åtgärder för att höja säkerheten har redan nämnts i tidigare inlägg på Energisäkerhetsportalen i följande inlägg:

Kvalificerade cyberattacker är en reell del av vår vardag 2017-05-02

Pågående IT-attack – ransomware-kampanj 2017-05-15

Åtgärder bör alltid bygga på bedömningar av hot och risker som kan påverka verksamheten, riskanalys. Det förefaller således lämpligt att som energiföretag, i skenet av den senaste tidens händelser, genomföra riskanalys för att ytterligare analysera sin egen situation gentemot den här typen av hotbild. Härvid bör särskild uppmärksamhet ägnas åt hur rutiner och funktioner för säkerhetskopiering och uppdatering, patchning, av system är utformade. Några ledande frågeställningar för att inspirera sådan analys är:

  • Sker säkerhetskopiering av rätt data, information och med rätt frekvens på alla nivåer i IT‑miljön?
  • Är miljön för hantering av säkerhetskopior skyddad från påverkan i realtid, i.e. finns det någon utväxling till löstagbart datamedia, band eller motsvarande?
  • Sker test av återställning av säkerhetskopior på regelbunden basis, såväl partiellt som fullständigt?
  • Sker sådan återställning i en produktionsliknande referensmiljö?
  • Hanteras uppdatering av samtliga förekommande system med en sådan responstid att risken för påverkan minimeras?
  • Finns skydd mot skadlig kod installerat där så är tekniskt möjligt?

För att ge bästa möjliga förutsättningar att analysera hur hot och risker, främst kopplade till den senaste tidens händelser, kan påverka den egna verksamheten tillhandahålls nedan några beskrivna länkar med ytterligare information om Wanna-Cry ransomware och vad som pågår i dess kölvatten.


Länksamling:
Fakta om Wanna-Cry från Github:
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

Wikipedia har publicerat sida som väl beskriver Wanna-Cry attacken:
https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

MSB har utökat sin publicerade information sedan vår senaste länkning till den:
https://www.msb.se/sv/Insats--beredskap/Pagaende-handelser-och-insatser/IT-attacken-WannaCryransomware/

Intressant läsning om drabbade operativsystem och fördelningen bland dessa:
https://arstechnica.com/security/2017/05/windows-7-not-xp-was-the-reason-last-weeks-wcry-worm-spread-so-widely/?utm_source=The+Daily+Ledger&utm_campaign=e9937ddbe8-DAILY_LEDGER_RSS_EMAIL_CAMPAIGN&utm_medium=email&utm_term=0_3b855cf27f-e9937ddbe8-431276165&mc_cid=e9937ddbe8&mc_eid=d39c3889a5

Danska säkerhetsföretaget Heimdal om uppföljare till Wanna-Cry som nu förekommer:
https://heimdalsecurity.com/blog/security-alert-uiwix-ransomware/#