Kapad med ransomware? Det här ska du göra!

Att få sin dator eller server kapad med ransomware blir vanligare och vanligare. Under 2020 ökade gisslantagandet lavinartat. Vad kan och ska du göra om du drabbas? En sak är säker, ju snabbare attacken upptäcks desto lättare är det att ställa saker till rätta.

Från höga till skyhöga krav

Lösenkraven ökar desto fler som är villiga att betala. Det är inte ovanligt att företag och organisationer betalar miljontals dollar.

Det går att skydda sig om man förbereder sig på det värsta. När ett ransomware slagit till kan det vara för sent. Stora företag har oftast en plan för och en it-säkerhetsgrupp som snabbt ska hantera cyberattacker.

”Även om stora börsnoterade företag har incident response-planer täcker de vanligtvis inte detaljer relaterade till ransomware”, säger Kurtis Minder, vd på Groupsense som jobbar med ransomware-förhandlingar till Computer Sweden och fortsätter:

”När vi väl har kommit till processen för dekrypteringsförhandlingar, att fatta affärsbeslutet, och om vem som ska vara inblandad, så är mycket av det inte dokumenterat”.

Kritiska åtgärder

När man drabbas av en ransomware-attack gäller det att handla rätt och snabbt.

• Hur kom angriparna in, täpp till ingången och stäng ut dem från nätverket.
• Fastställ vad det rör sig om för typ av ransomware. Koppla till hotbilden och analysera trovärdigheten, speciellt om det påstår sig ha stulit data.

Till den första åtgärden behövs ett team som har kunskap om dessa incidenter, antingen har du det i bolaget eller tar du in det externt. Till den andra åtgärden kan du komma att behöva hjälp av ett företag som är specialiserade inom hotinformation.

Processen steg för steg

Computer Sweden har fått hjälp av den internationella advokatbyrån Orrick och de går igenom vad som ingår i en process.

• Anmälan till brottsbekämpande myndigheter
• Få igång forensiska undersökningar
• Köra en genomgång internt med företagsledningen
• Se till att utredningen täcks av sekretess
• Bedöma kommunikationen till omvärlden som kan behövas
• Hjälpa den drabbade organisationen att ta kontakt med sitt försäkringsbolag för att meddela dem om attacken och få godkännande för utgifter, inklusive rådgivning, forensiska undersökningar, kriskommunikation och allt annat som krävs, däribland att betala lösen om det beslutet har fattats

Vem beslutar om eventuell betalning

Här gäller det att jobba brett, kanske kan företagets försäkring täcka de kostnader som uppstår vid ett ransomwareförfarande. De har oftast listor på vilka externa leverantörer som kan tas in vid förhandlingar och andra delar av attacken. När det kommer till beslut om vem ska avgör om någon lösensumma ska betalas, är det oftast chefsjuristen, IT-chefen och den operative chefen som gemensamt tar beslutet.

Efterarbetet

När man drabbats av gisslantagande ska händelserna granska och göra upp en handlingsplan för att inte hamna i samma situation igen.

Läs mer: Fler technyheter på