Udgivet den af Ole Schmitto

Ransomware er den største trussel mod danske virksomheder!

Utallige danske virksomheder har været og vil blive ramt af ransomware angreb.

Hvad er ransomware?

Ransomware er en type af malware (skadelig software), som angriberen installerer på offerets computer og som krypterer alle filerne.

Angriberen kræver herefter en betydelig løsesum, der skal betales via Bitcoin. Derefter frigives nøglen, som kan dekryptere filerne, så de igen kan læses.

Backup var tidligere redningen:

Tidligere kunne virksomheder, der havde backup af deres systemer genskabe filerne. Men hackerne er nu begyndt at starte med at kryptere backup filerne. Når de har sikret, at backuperne er krypterede og ubrugelige, så angriber de brugerne, der nu ikke har mulighed for at genskabe deres data fra backup.

Hvis du ikke betaler, frigiver de dine data.

Holdningen har jo indtil nu været, at hvis ikke hackerne modtager løsesum, så stopper de vel med at angribe.

Hackernes nyeste våben er, at hvis ikke du betaler løsesum, frigiver de data som vil være kompromiterende og følsomme for virksomheden. Det kan være virksomheds data, såvel som kunde data. For børsnotede virksomheder kan det betyde et stort fald i aktie prisen.

Firmaet Dantherm har ifølge Datatilsynet været udsat for et Ransomware angreb, hvor oplysninger om de ansatte og tidligere ansatte efterfølgende blev frigivet på nettet.

Dantherm – Ransomware – Datatilsynet.

Datatilsynet skriver:

Dantherm havde været udsat for et ransomwareangreb, hvor det lykkedes hackere at få adgang til Dantherms it-miljø, hvorfra hackerne lækkede oplysninger om nuværende og tidligere ansatte til the dark web.

I den forbindelse blev det den 22. september 2020 kl. 21.00 konstateret, at der var eksfiltreret persondata fra Dantherm, som var lagt online på et tredjeparts hosting site. Dataene blev bekræftet fjernet den 23. september 2020 kl. 14.45.

Herudover fremgår det af anmeldelsen, at de berørte personoplysninger omhandlede:

– bankoplysninger i form af kontooplysninger til brug for lønudbetaling på ca. 100-450 medarbejdere i Tyskland, Polen og England,

– Religiøse forhold udelukkende til brug for skattemæssige hensyn på ca. 50 medarbejdere i Tyskland,

– Helbredsoplysninger herunder i Danmark referat af 87 sundhedssamtaler og i Polen og England oplysninger af relevans for ansættelsesforholdet,

– og personnumre på ca. 1.525 borgere i Danmark.

  • Angriberne har fået adgang til en Server i domainet via Remote Desktop, som tyder på, at den har været tilgængelig direkte på internettet med svagt password.

Datatilsynet lagde ved vurderingen vægt på, at Dantherm ikke havde sikret, at brugere med administratorrettigheder ikke kunne slette eller ændre logfilerne.

  • Den administrative konto der blev brugt, var også i stand til at slette logfilerne, og dermed alle sporene.

Herudover fandt Datatilsynet, at Dantherm ikke havde levet op til kravet om, at den dataansvarlige skal kunne påvise en passende sikkerhed ved behandlingen af personoplysninger. Datatilsynet lagde i den forbindelse vægt på, at Dantherm ikke kunne dokumentere i hvilke perioder ”AV” kontoen var aktiv.

  • Hvad er passende sikkerhed? Det bør du selv vurdere via en risiko analyse.

Konklusion:

Udover udfordringen med at få et ransomware angreb, ender det i Dantherms tilfælde også med en kritik fra datatilsynet. For nogle virksomheder vil en sådan kritik fra Datatilsynet være et stort problem, f.eks. hvis man behandler følsomme personoplysninger (Hvad er personoplysninger?).

3 Gode råd:

  1. Logfiler bør sendes til dedikeret log opbevaring. Denne bør ikke være en del af domainet, og dermed skal den ikke kunne tilgåes. Logfiler slettes af en Windows administrator, og det bør kun være dedikerede personer, der kan udføre dette.
  2. Der bør ALDRIG være Remote Desktop direkte på internettet.
  3. Risiko vurder hvis du har personhenførbare oplysninger, specielt hvis det er i kategorien følsomme oplysninger.

Mere info:

Datatilsynets afgørelse: Ny afgørelse: Brud på persondatasikkerheden hos Dantherm

Min artikel om: Hvorfor stiger antal af ransomware angreb?

Arbejder du i flere Microsoft 365 Tenancies så brug profiler

Microsoft Edge og Google Chrome tilbyder begge profiler. Dem kan du bruge hvis du har flere konti. Eksempelvis har jeg min Schmitto A/S konto i O365, såvel som nogle kunder konti, som jeg adminstrere, så jeg har oprettet en profil pr. Konto i Microsoft Edge, som gør at jeg ikke skal logge ind og ud af konti’ene, men blot skifter mellem profilerne. Du kan også her læse hvorfor jeg i dag bruger

Du kan også læse her, hvorfor Jeg er skiftet fra Chrome til Edge