Malware, der sletter data: en direkte trussel mod driften

Af Eur Ing Mark Hawksworth, global teknologispecialist og leder af praksisgruppen

Efter et cyberangreb kan en organisation hurtigt miste adgangen til vigtige aktiver og data.

Ligesom ved en hændelse med ransomware står organisationer over for utallige udfordringer i forbindelse med erstatningskrav, når malware spreder sig. Der er tegn – som først blev observeret i slutningen af februar – der tyder på, at en ny bølge af destruktiv malware, der sletter data, er i omløb. Hvordan kan vi sikre, at historien ikke gentager sig?

Nylige bekymringer

Denne nye bølge af malware, der sletter data, bruger delvist kompromitterede servere til at sprede legitim diskhåndteringssoftware. Dette bruges igen til at ødelægge data på lagringsmedier, hvilket gør det umuligt at reparere systemet ved hjælp af traditionelle teknikker til diskgendannelse. Når den destruktive malware er implementeret, giver den sine skabere mulighed for at sprede sig lateralt gennem det ødelagte netværk, inden den forårsager uoprettelig skade på alle de målrettede systemer inden for det. Selvom denne malware oprindeligt var rettet mod specifikke netværk, har den en tendens til at undslippe uden for det oprindelige mål – hvilket resulterer i omfattende følgeskader. Destruktiv malware af denne type kan udgøre en direkte trussel mod driften ved at forhindre adgang til kritiske aktiver og data.

Oprindelsen til denne malware er stadig ubeviset. Forskning har endnu ikke været i stand til at tilskrive den til en enkelt gruppe eller kendt trusselsaktør på grund af manglende ligheder i kodestrukturen sammenlignet med anden malware, der er set tidligere.

Fremtidige bedste praksis

Stigningen i cybersikkerhedshændelser i løbet af de seneste år er alarmerende og vil kun fortsætte. For organisationer over hele verden er det vigtigt at forstå konsekvenserne af – og planlægge for – potentielle malware-hændelser, der kan slette data. At skabe bevidsthed og udarbejde en plan kan beskytte uskyldige parter. Det anbefales at:

• Implementer multifaktor-autentificering for alle eksterne adgangspunkter.
• Gennemgå niveauet for spamfiltrering for at reducere risikoen for, at phishing-e-mails når ud til brugerne.
• Sørg for, at antivirus- og antimalwareprogrammer er opdaterede og automatisk udfører regelmæssige scanninger af enheden.
• Kontroller, at alle sikkerhedsopdateringer og programrettelser til applikationer og operativsystemer er blevet installeret.
• Identificer backupstrategier og sørg for, at backups er beskyttet mod korruption/ondsindede handlinger. Implementer en luftspalte eller andre strategiske tiltag for at beskytte backups.
• Test sikkerhedskopier af data for at sikre organisationen, at sikkerhedskopierne kan bruges til at geninstallere kompromitterede data og arkitektur, hvis de bliver angrebet.
• Bliv medlem af din branches informationsdelings- og analysecenter (ISAC) – der findes et for de fleste organisationer: FS-ISAC betjener for eksempel forsikrings- og finansbranchen.
• Overvåg trusselsinformationskilder og sørg for, at alle indikatorer på kompromittering (IOC'er) blokeres proaktivt.

Med stadigt skiftende trusler, et hurtigt forandrende marked og en konstant voksende videnbase vil cyberområdet helt sikkert fortsat være et aktuelt emne. Ud over nye risici hører vi fortsat bekymringer om dækning og kapacitet i cyberspace. Sedgwicks eksperter holder sig opdaterede og står klar til at rådgive kunder, når de udarbejder strategier for forebyggelse, undersøger forsikringsbetingelser og -grænser og forbereder sig på kendte og ukendte risici.