{"id":149751,"date":"2022-08-16T11:05:46","date_gmt":"2022-08-16T11:05:46","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/hur-man-upptacker-ransomware\/"},"modified":"2025-04-23T04:46:29","modified_gmt":"2025-04-23T04:46:29","slug":"hur-man-upptacker-ransomware","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/sv\/blog\/hur-man-upptacker-ransomware\/","title":{"rendered":"Hur man uppt\u00e4cker Ransomware: <br>12 \u00f6vervaknings- och aviseringsfunktioner att automatisera"},"content":{"rendered":"<p><strong>H\u00e4r \u00e4r ett dussintal s\u00e4tt f\u00f6r IT-teams av alla storlekar att inr\u00e4tta automatiserade varningar f\u00f6r att uppt\u00e4cka ransomware-attacker innan det \u00e4r f\u00f6r sent.\u00a0\u00a0<\/strong><\/p>\n<p>Det \u00e4r galet att t\u00e4nka sig att det i maj var fem \u00e5r sedan <a href=\"https:\/\/en.wikipedia.org\/wiki\/WannaCry_ransomware_attack\" target=\"_blank\" rel=\"noopener\">WannaCry-utbrottet<\/a> bidrog till att g\u00f6ra ransomware till ett k\u00e4nt namn. P\u00e5 m\u00e5nga s\u00e4tt k\u00e4nns det som om det var en livstid sedan (eller l\u00e4ngre). Exempel: J\u00e4mf\u00f6rt med de skr\u00e4mmande siffrorna i dagens rapporter kan vissa av de utpressningsrelaterade siffrorna fr\u00e5n 2017 verka pittoreska.<\/p>\n<ul>\n<li>Under andra kvartalet 2017 l\u00e5g det genomsnittliga ber\u00e4knade kravet p\u00e5 l\u00f6sensumma p\u00e5 <a href=\"https:\/\/www.statista.com\/statistics\/701003\/average-amount-of-ransom-requested-to-msp-clients\/#:~:text=Amount%20of%20ransom%20demanded%20during%20ransomware%20attacks%202017&amp;text=According%20to%20the%20survey%2C%2047,500%20and%202%2C000%20U.S.%20dollars.\" target=\"_blank\" rel=\"noopener\">mellan 501 och 2 000 dollar<\/a>. Enligt Coveware <a href=\"https:\/\/www.coveware.com\/blog\/2022\/5\/3\/ransomware-threat-actors-pivot-from-big-game-to-big-shame-hunting\" target=\"_blank\" rel=\"noopener\">var den genomsnittliga l\u00f6sensumman<\/a>f\u00f6r f\u00f6rsta kvartalet 2022 <a href=\"https:\/\/www.coveware.com\/blog\/2022\/5\/3\/ransomware-threat-actors-pivot-from-big-game-to-big-shame-hunting\" target=\"_blank\" rel=\"noopener\">211 529 dollar.<\/a><\/li>\n<li>\u00c5r 2017 uppskattade Cybersecurity Ventures att den totala kostnaden f\u00f6r skador orsakade av utpressningsvirus skulle <a href=\"https:\/\/cybersecurityventures.com\/ransomware-damage-report-2017-5-billion\/\" target=\"_blank\" rel=\"noopener\">uppg\u00e5 till 5 miljarder dollar f\u00f6r \u00e5ret<\/a>. I deras senaste rapport ber\u00e4knas de <a href=\"https:\/\/cybersecurityventures.com\/global-ransomware-damage-costs-predicted-to-reach-250-billion-usd-by-2031\/\" target=\"_blank\" rel=\"noopener\">totala kostnaderna f\u00f6r 2021 n\u00e5 upp till 20 miljarder dollar<\/a>.<\/li>\n<\/ul>\n<p>Mycket har uppenbarligen f\u00f6r\u00e4ndrats, och med miljarder dollar p\u00e5 spel \u00e4r det en kraftig underdrift att s\u00e4ga att dagens utpressningsverksamhet har mognat och utvecklats.<\/p>\n<p>Som s\u00e4kerhetsforskaren Kevin Beaumont uttrycker det i ett blogginl\u00e4gg som alla borde l\u00e4sa:<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>&#8221;En ransomware-grupp som <a href=\"https:\/\/www.bloomberg.com\/news\/articles\/2021-05-20\/cna-financial-paid-40-million-in-ransom-after-march-cyberattack\" target=\"_blank\" rel=\"noopener\">fick 40 miljoner dollar f\u00f6r att attackera ett f\u00f6rs\u00e4kringsbolag f\u00f6r cybers\u00e4kerhet<\/a> ger angriparna mer budget f\u00f6r att genomf\u00f6ra cyberattacker \u00e4n vad de flesta medelstora och stora organisationer har f\u00f6r att f\u00f6rsvara sig mot attacker totalt sett. Och det \u00e4r bara en attack, fr\u00e5n en grupp, som knappt kom upp p\u00e5 de flesta m\u00e4nniskors nyhetsradar.&#8221;<\/strong><\/p>\n<p>&#8211; Kevin Beaumont, <a href=\"https:\/\/doublepulsar.com\/the-hard-truth-about-ransomware-we-arent-prepared-it-s-a-battle-with-new-rules-and-it-hasn-t-a93ad3030a54\" target=\"_blank\" rel=\"noopener\">&#8221;The Hard Truth about Ransomware&#8221;<\/a><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>Det \u00e4r en allvarlig bed\u00f6mning, men innan vi b\u00f6rjar l\u00e4ngta tillbaka till de &#8221;enklare&#8221; dagarna 2017 \u00e4r det ocks\u00e5 v\u00e4rt att t\u00e4nka p\u00e5 att \u00e4ven om vi har sett saker och ting f\u00f6r\u00e4ndras under de senaste fem \u00e5ren, finns det ocks\u00e5 en hel del som inte har f\u00f6r\u00e4ndrats.<\/p>\n<p>Ja, ekosystemet f\u00f6r cyberbrottslighet har exploderat kring ransomware, och visst har angreppsgrupper samlat p\u00e5 sig enorma krigskassor f\u00f6r att k\u00f6pa zero-days och <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-30-introduces-the-first-ransomware-bug-bounty-program\/\" target=\"_blank\" rel=\"noopener\">lansera bug bounty-program<\/a>. Men sanningen \u00e4r att trots allt detta arbetar majoriteten fortfarande med l\u00e5gt h\u00e4ngande frukter. Varf\u00f6r ska du vara s\u00e5 sofistikerad och fin n\u00e4r du \u00e4nd\u00e5 kan f\u00e5nga m\u00e5nga m\u00e4nniskor i s\u00f6mnen med det enklaste av allt?<\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Colonial Pipeline? <\/span><a href=\"https:\/\/www.crn.com\/news\/security\/colonial-pipeline-hacked-via-inactive-account-without-mfa\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Hackad via ett inaktivt konto utan MFA.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0\u00a0\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Irl\u00e4ndska h\u00e4lso- och sjukv\u00e5rdstj\u00e4nster? <\/span><a href=\"https:\/\/www.hse.ie\/eng\/services\/publications\/conti-cyber-attack-on-the-hse-full-report.pdf\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Skadligt Excel-dokument.<\/span><\/a><span style=\"font-weight: 400;\">\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">LockBit Ransomware-g\u00e4ngets fem m\u00e5naders tillg\u00e5ng till en amerikansk myndighet? <\/span><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">Exponerad RDP.<\/span><\/a><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\">Den 50 miljoner dollar stora ransomware-attacken mot PC-j\u00e4tten Acer? <a href=\"https:\/\/www.crn.com\/news\/security\/revil-ransomware-targets-acer-s-microsoft-exchange-server-source\" target=\"_blank\" rel=\"noopener\">S\u00e5rbarhet i Microsoft Exchange som inte har \u00e5tg\u00e4rdats.<\/a><\/li>\n<\/ul>\n<p>Ja, det \u00e4r sv\u00e5rt f\u00f6r dagens organisationer att f\u00f6rebygga, men det har det alltid varit, och jag \u00e4r inte helt \u00f6vertygad om att det \u00e4r <em>exponentiellt<\/em> sv\u00e5rare idag \u00e4n f\u00f6r fem \u00e5r sedan. Sanningen \u00e4r att starka grunder och grundl\u00e4ggande skydd av enheter kan hj\u00e4lpa sm\u00e5 och medelstora f\u00f6retag en bra bit p\u00e5 v\u00e4g.<\/p>\n<p>Men det h\u00e4r inl\u00e4gget handlar om uppt\u00e4ckt, eller hur? N\u00e5v\u00e4l, samma sak g\u00e4ller \u00e4ven i detta fall. De flesta organisationer kommer fortfarande att beh\u00f6va dedikerade resurser (interna eller outsourcade) f\u00f6r att implementera och aktivt \u00f6vervaka de uppt\u00e4cktsm\u00f6jligheter som vi kommer att ta upp h\u00e4r, men intr\u00e4desbarri\u00e4ren \u00e4r inte n\u00f6dv\u00e4ndigtvis s\u00e5 h\u00f6g som vissa s\u00e4kerhetsleverant\u00f6rer vill f\u00e5 dig att tro.<\/p>\n<p>Ett exempel p\u00e5 detta: Nedan f\u00f6ljer 12 bra, grundl\u00e4ggande id\u00e9er f\u00f6r uppt\u00e4ckt som kan ge resultat utan att kosta en f\u00f6rm\u00f6genhet.<\/p>\n<p>L\u00e5t oss g\u00e5 in p\u00e5 dem.<\/p>\n<h2>Hur man uppt\u00e4cker ransomware (eller \u00e4nnu b\u00e4ttre, n\u00e4r)<\/h2>\n<p>Till att b\u00f6rja med kan vi komma \u00f6verens om att det \u00e4r en om\u00f6jlig uppgift att f\u00f6rs\u00f6ka uppt\u00e4cka ransomware-attacker efter utf\u00f6randet (utf\u00f6rbara utpressningsvirus som aktivt k\u00f6rs och krypterar data). N\u00e5gra av de mest utbredda varianterna av ransomware kan <a href=\"https:\/\/www.zdnet.com\/article\/this-is-how-fast-a-ransomware-attack-encrypts-all-your-files\/\" target=\"_blank\" rel=\"noopener\">kryptera 100 000 filer p\u00e5 mindre \u00e4n fem minuter<\/a>.<\/p>\n<p>F\u00f6rs\u00f6k att uppt\u00e4cka och reagera p\u00e5 pl\u00f6tsliga massf\u00f6r\u00e4ndringar av filnamn etc. \u00e4r ofta lite f\u00f6r sent.<\/p>\n<p>AV \/ EDR \u00e4r uppenbarligen utformade f\u00f6r att blockera exekverbara ransomware, men detektions- och blockeringsfrekvensen \u00e4r inte perfekt, och \u00e4ven om de lyckas blockera en exekverbar fil s\u00e5 l\u00f6ser det inte problemet att angriparna har f\u00e5tt tillg\u00e5ng till den. Om de misslyckas en g\u00e5ng f\u00f6rs\u00f6ker de igen.<\/p>\n<p>Det \u00e4r ocks\u00e5 vanligt att angripare anv\u00e4nder verktyg och spelb\u00f6cker som \u00e4r utformade f\u00f6r att f\u00e5 ut\u00f6kade privilegier s\u00e5 att de kan inaktivera s\u00e4kerhetsverktyg (och s\u00e4kerhetskopior).<\/p>\n<p>D\u00e4rf\u00f6r \u00e4r det b\u00e4sta tillf\u00e4llet att uppt\u00e4cka och avbryta attacker tidigt, helst n\u00e4r du har att g\u00f6ra med ofta automatiserade f\u00f6rs\u00f6k att landa och etablera sig p\u00e5 dina system. Det \u00e4r mycket l\u00e4ttare att kv\u00e4va angreppen i sin linda \u00e4n att ta itu med n\u00e4sta steg, n\u00e4r du har att g\u00f6ra med en m\u00e4nsklig hackare som arbetar med en bepr\u00f6vad spelbok och m\u00e5nga verktyg som \u00e4r utformade f\u00f6r att hj\u00e4lpa dem att snabbt kartl\u00e4gga ditt n\u00e4tverk och ta det i besittning helt och h\u00e5llet.<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>S\u00e5 n\u00e4r vi talar om att uppt\u00e4cka ransomware \u00e4r det kanske b\u00e4ttre att fr\u00e5ga: &#8221;Hur uppt\u00e4cker vi de <em>tidiga varningssignalerna f\u00f6r en kompromiss<\/em> som snabbt kan <em>leda<\/em> till ransomware?&#8221;<\/strong><\/p><\/blockquote>\n<p>&nbsp;<\/p>\n<p>Och betoningen ligger v\u00e4ldigt mycket p\u00e5 &#8221;snabbt&#8221; Rapporter visar att ransomware kan spridas fr\u00e5n den f\u00f6rsta \u00e5tkomsten till dagar eller till och med bara timmar senare. Se DFIR-rapportens uppdelningar av &#8221;<a href=\"https:\/\/thedfirreport.com\/2021\/10\/18\/icedid-to-xinglocker-ransomware-in-24-hours\/\" target=\"_blank\" rel=\"noopener\">IcedID to XingLocker ransomware in 24 hours<\/a>&#8221; och &#8221;<a href=\"https:\/\/thedfirreport.com\/2020\/08\/31\/netwalker-ransomware-in-1-hour\/\" target=\"_blank\" rel=\"noopener\">Netwalker Ransomware in 1 Hour<\/a>&#8221;<\/p>\n<p>Med s\u00e5 lite tid f\u00f6r att identifiera hotet och reagera \u00e4r det viktigt att ha verktyg och erfarna experter som aktivt \u00f6vervakar systemen och \u00e4r redo att reagera (helst med hj\u00e4lp av automatisering).<\/p>\n<h2>Okej, s\u00e5 vad \u00e4r tidiga varningssignaler f\u00f6r ransomware och goda m\u00f6jligheter till uppt\u00e4ckt?<\/h2>\n<p>Den goda nyheten \u00e4r att \u00e4ven om det finns en m\u00e4ngd olika angreppsgrupper och varianter, s\u00e5 anv\u00e4nder de flesta fortfarande gemensamma playbooks och verktyg. Tack vare det arbete som forskare som <a href=\"https:\/\/thedfirreport.com\/\" target=\"_blank\" rel=\"noopener\">The DFIR Report<\/a> och andra utf\u00f6rt kan f\u00f6rsvarare l\u00e4ra sig de vanligaste TTP:erna och bygga upp detekteringsmekanismer d\u00e4refter.<\/p>\n<p>Nedan f\u00f6ljer en lista \u00f6ver uppt\u00e4cktsm\u00f6jligheter som \u00e4r kopplade till vanliga angreppsm\u00f6nster f\u00f6r ransomware (en stor inspiration fr\u00e5n <a href=\"https:\/\/thedfirreport.com\/2022\/03\/07\/2021-year-in-review\/\" target=\"_blank\" rel=\"noopener\">DFIR Report&#8217;s 2021 Year in Review<\/a>). Listan \u00e4r inte helt\u00e4ckande, men den b\u00f6r ge dig en bra v\u00e4gledning f\u00f6r att komma ig\u00e5ng.<\/p>\n<p>Om du anv\u00e4nder en <a href=\"https:\/\/www.ninjaone.com\/sv\/endpoint-hantering\/\">l\u00f6sning f\u00f6r hantering av endpoints eller en<\/a><a href=\"https:\/\/www.ninjaone.com\/sv\/rmm\/\">fj\u00e4rrhanteringsl\u00f6sning<\/a><a href=\"https:\/\/www.ninjaone.com\/sv\/endpoint-hantering\/\"> som NinjaOne kan du skapa \u00f6vervaknings- och varningsvillkor f\u00f6r m\u00e5nga av dessa uppt\u00e4ckter som du sedan enkelt kan distribuera till alla enheter, vilket g\u00f6r att du och ditt team slipper manuellt arbete. Du kan ocks\u00e5 bygga upp automatiska \u00e5tg\u00e4rder som du vill att varningar ska utl\u00f6sa, till exempel automatisk ominstallation\/omstart av AV\/EDR-processer om de identifieras som saknade\/avaktiverade.<\/a><\/p>\n<p>Om du vill ta allt detta ett steg l\u00e4ngre har folket p\u00e5 The DFIR Report ocks\u00e5 delat med sig av <a href=\"https:\/\/thedfirreport.com\/2022\/06\/16\/sans-ransomware-summit-2022-can-you-detect-this\/\" target=\"_blank\" rel=\"noopener\">en massa extremt anv\u00e4ndbara Sigma-regler<\/a> som du kan anv\u00e4nda med <a href=\"https:\/\/labs.f-secure.com\/tools\/chainsaw\/\" target=\"_blank\" rel=\"noopener\">Chainsaw, ett gratis verktyg med \u00f6ppen k\u00e4llkod fr\u00e5n F-Secure Labs<\/a> som erbjuder ett snabbt s\u00e4tt att kamma igenom h\u00e4ndelseloggar och uppt\u00e4cka misst\u00e4nkta tecken p\u00e5 en attack.<\/p>\n<h2>Typer av utpressningstekniker och hur man identifierar dem &#8211; m\u00f6jligheter till uppt\u00e4ckt per angreppsstadium<\/h2>\n<h3>F\u00f6rsta tilltr\u00e4de<\/h3>\n<p><strong>Rapporter om misst\u00e4nkt e-post fr\u00e5n slutanv\u00e4ndare:<\/strong> De f\u00e5r inte samma rubriker som nolldagss\u00e5rbarheter, men vanliga skadliga e-postmeddelanden som \u00e4r utformade f\u00f6r att lura anv\u00e4ndare att ladda ner och k\u00f6ra skadlig kod forts\u00e4tter att vara <a href=\"https:\/\/www.coveware.com\/blog\/2022\/5\/3\/ransomware-threat-actors-pivot-from-big-game-to-big-shame-hunting\" target=\"_blank\" rel=\"noopener\">en av de vanligaste initiala angreppsmetoderna<\/a>. Varf\u00f6r? F\u00f6r att de fortfarande fungerar.<\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker misst\u00e4nkta e-postmeddelanden:<\/strong> Det \u00e4r viktigt att organisationer ger sina anst\u00e4llda utbildning i s\u00e4kerhetsmedvetenhet, men ocks\u00e5 att skapa en kultur d\u00e4r de uppmuntras och bel\u00f6nas f\u00f6r att rapportera misst\u00e4nkt e-post och potentiella misstag utan att beh\u00f6va vara r\u00e4dda f\u00f6r att straffas.<\/li>\n<\/ul>\n<p><strong>Misst\u00e4nkta RDP-anslutningar:<\/strong> Exponerad RDP \u00e4r en annan angreppsmetod som vissa IT- och s\u00e4kerhetsansvariga kanske rullar med \u00f6gonen \u00e5t, men den forts\u00e4tter att vara en av de fr\u00e4msta punkterna f\u00f6r inledande intr\u00e5ng i samband med ransomware.<\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker misst\u00e4nkta RDP-anslutningar:<\/strong> I det h\u00e4r inl\u00e4gget fr\u00e5n NCCGroup beskrivs <a href=\"https:\/\/research.nccgroup.com\/2021\/10\/21\/detecting-and-protecting-when-remote-desktop-protocol-rdp-is-open-to-the-internet\/\" target=\"_blank\" rel=\"noopener\">hur du f\u00e5ngar loggh\u00e4ndelser med l\u00e5g ljudniv\u00e5<\/a> relaterade till f\u00f6rs\u00f6k och lyckade RDP-sessioner. <a href=\"https:\/\/www.cyberdrain.com\/documenting-with-powershell-documenting-remote-access\/\" target=\"_blank\" rel=\"noopener\">Det h\u00e4r skriptet fr\u00e5n PowerShell-experten Kelvin Tegelaar<\/a> g\u00e5r vidare genom att dokumentera om olika fj\u00e4rr\u00e5tkomstverktyg \u00e4r installerade (Remote Desktop, Teamviewer, Connectwise ScreenConnect med fler) och loggar det n\u00e4r anslutningen lyckas.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Uth\u00e5llighet<\/h3>\n<p><strong>Misst\u00e4nkt skapande av schemalagda arbetsuppgifter<\/strong>: Ett av de vanligaste s\u00e4tten f\u00f6r angripare att f\u00e5 en l\u00e5ngvarig n\u00e4rvaro i ett system.<\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker misst\u00e4nkt skapande av schemalagda arbetsuppgifter:<\/strong> \u00d6vervaka och varna f\u00f6r detta genom att sp\u00e5ra Windows Event IDs 4698 och 4700 eller genom att <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-3-monitoring-creation-of-scheduled-tasks\/\" target=\"_blank\" rel=\"noopener\">anv\u00e4nda Kelvin Tegelaars PowerShell-skript h\u00e4r<\/a>.<\/li>\n<\/ul>\n<p><strong>Ov\u00e4ntad programvara f\u00f6r fj\u00e4rr\u00e5tkomst:<\/strong> En annan taktik som har blivit allt vanligare \u00e4r att angriparna installerar programvara fr\u00e5n tredje part, till exempel AnyDesk (den i s\u00e4rklass mest popul\u00e4ra), Atera, TeamViewer och Splashtop.<\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker ov\u00e4ntad programvara f\u00f6r fj\u00e4rr\u00e5tkomst:<\/strong> Dessa \u00e4r popul\u00e4ra verktyg bland IT-partners, men om du INTE anv\u00e4nder n\u00e5gra av dessa \u00e4r det en bra id\u00e9 att regelbundet \u00f6vervaka och flagga f\u00f6r deras n\u00e4rvaro. \u00c4ven <a href=\"https:\/\/www.cyberdrain.com\/documenting-with-powershell-documenting-remote-access\/\" target=\"_blank\" rel=\"noopener\">h\u00e4r kan Kelvins skript anv\u00e4ndas<\/a> (se kommentaren fr\u00e5n Luke Whitlock f\u00f6r en \u00e4ndring som \u00f6vervakar AnyDesk).<\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Dessutom kan du \u00f6vervaka Windows Event ID 7045.\u00a0 <\/span><\/p>\n<p>&nbsp;<\/p>\n<h3>Upptrappning av privilegier \/ tillg\u00e5ng till autentiseringsuppgifter<\/h3>\n<p><strong>Extrahering av autentiseringsuppgifter fr\u00e5n Windows Local Security Authority Subsystem (LSASS):<\/strong> Det finns andra s\u00e4tt f\u00f6r angripare att skrapa autentiseringsuppgifter, men detta \u00e4r ett av de absolut vanligaste s\u00e4tten.<\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker LSASS-missbruk:<\/strong> Ett bra s\u00e4tt att \u00f6vervaka eller blockera f\u00f6rs\u00f6k att stj\u00e4la autentiseringsuppgifter fr\u00e5n LSASS \u00e4r att utnyttja <a href=\"https:\/\/docs.microsoft.com\/en-us\/microsoft-365\/security\/defender-endpoint\/attack-surface-reduction-rules-reference?view=o365-worldwide#block-credential-stealing-from-the-windows-local-security-authority-subsystem\" target=\"_blank\" rel=\"noopener\">Microsofts regler f\u00f6r minskning av attackytan (ASR<\/a> ) (Windows 10 build 1709 \/ Windows Server build 1809 eller h\u00f6gre kr\u00e4vs): Andra ASR-regler \u00e4r ocks\u00e5 utm\u00e4rkta f\u00f6r att blockera en m\u00e4ngd vanliga f\u00f6rs\u00f6k att k\u00f6ra skadlig kod och f\u00e5 initial \u00e5tkomst (t.ex. blockera Office-program fr\u00e5n att skapa underprocesser, blockera JavaScript eller VBScript fr\u00e5n att starta nedladdat k\u00f6rbart inneh\u00e5ll osv.). Se det h\u00e4r inl\u00e4gget fr\u00e5n Palantirs s\u00e4kerhetsteam som delar sin <a href=\"https:\/\/blog.palantir.com\/microsoft-defender-attack-surface-reduction-recommendations-a5c7d41c3cf8\" target=\"_blank\" rel=\"noopener\">bed\u00f6mning av ASR-reglernas inverkan och rekommenderade inst\u00e4llningar<\/a>.M\u00e5nga EDR-verktyg erbjuder ocks\u00e5 liknande blockerings- och detektionsfunktioner f\u00f6r att skydda LSASS.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>F\u00f6rsvar undvikande<\/h3>\n<p><b>Inaktivera\/avinstallera antivirus och andra s\u00e4kerhetsverktyg:<\/b><span style=\"font-weight: 400;\"> Varf\u00f6r ska du f\u00f6rs\u00f6ka ta dig f\u00f6rbi s\u00e4kerhetsverktygen n\u00e4r du helt enkelt kan st\u00e4nga av dem?<\/span><\/p>\n<ul>\n<li><b>Hur man uppt\u00e4cker manipulering av antivirusprogram:<\/b><a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-chapter-2-anti-virus-installation-status\/\" target=\"_blank\" rel=\"noopener\"> <span style=\"font-weight: 400;\">Kolla in detta manuskript fr\u00e5n Kelvin Tegelaar<\/span><\/a><span style=\"font-weight: 400;\">, eller, om du har en,<\/span><a href=\"https:\/\/www.ninjaone.com\/sv\/blog\/vad-bor-du-overvaka-med-din-rmm-losning\/\"> <span style=\"font-weight: 400;\">dra nytta av din RMM<\/span><\/a><span style=\"font-weight: 400;\"> f\u00f6r att regelbundet meddela om s\u00e4kerhetsverktygen \u00e4r installerade och\/eller k\u00f6rs.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Uppt\u00e4ckande<\/h3>\n<p><b>Ov\u00e4ntad anv\u00e4ndning av verktyg f\u00f6r portscanning och n\u00e4tverksidentifiering: <\/b><span style=\"font-weight: 400;\">N\u00e4r ett strandhuvud v\u00e4l har etablerats m\u00e5ste angriparna se sig omkring f\u00f6r att se var de har landat och identifiera de b\u00e4sta m\u00f6jligheterna till sidof\u00f6rflyttning. M\u00e5nga kommer att anv\u00e4nda sig av inbyggda Windows-verktyg som nltest.exe, ipconfig, whoami etc. samt ADFind. Andra anv\u00e4nder verktyg f\u00f6r portscanning som Advanced IP Scanner.<\/span><\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker misst\u00e4nkta portscanners och spaningsverktyg:<\/strong> Om du inte anv\u00e4nder verktygen regelbundet kan du, precis som med fj\u00e4rr\u00e5tkomstverktyg, testa att \u00f6vervaka dem och skapa varningar och automatiseringsregler f\u00f6r att proaktivt blockera dem.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Sidof\u00f6rflyttning<\/h3>\n<p><b>Misst\u00e4nkt anv\u00e4ndning av Cobalt Strike: <\/b><span style=\"font-weight: 400;\">Cobalt Strike \u00e4r en &#8221;programvara f\u00f6r simulering av motst\u00e5ndare&#8221; som tyv\u00e4rr har blivit lika popul\u00e4r bland angripare som den var f\u00f6r den avsedda m\u00e5lgruppen penetrationstestare. Det g\u00f6r det otroligt l\u00e4tt att utf\u00f6ra en m\u00e4ngd olika taktiker efter exploateringen och dyker regelbundet upp som ett missbrukat verktyg i incidenter med ransomware.<\/span><\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker Cobalt Strike:<\/strong> M\u00e5nga EDR-verktyg och s\u00e4kerhetsforskare har sina webbplatser f\u00f6r att uppt\u00e4cka Cobalt Strike-anv\u00e4ndning. <a href=\"https:\/\/github.com\/MichaelKoczwara\/Awesome-CobaltStrike-Defence\" target=\"_blank\" rel=\"noopener\">H\u00e4r finns en stor samling resurser som kan hj\u00e4lpa dig att g\u00f6ra detsamma<\/a>.<\/li>\n<\/ul>\n<p><b>Ov\u00e4ntad programvara f\u00f6r fj\u00e4rr\u00e5tkomst: <\/b><span style=\"font-weight: 400;\">Se avsnittet om fj\u00e4rr\u00e5tkomst i avsnittet &#8221;Persistens&#8221; ovan.<\/span><\/p>\n<p><b>Misst\u00e4nkta fj\u00e4rr\u00e5tkomstanslutningar:<\/b><span style=\"font-weight: 400;\"> Det kan handla om anv\u00e4ndning av RDP, SMB, VNC med mera <\/span><\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker misst\u00e4nkta fj\u00e4rr\u00e5tkomstanslutningar:<\/strong> Se den h\u00e4r <a href=\"https:\/\/attack.mitre.org\/techniques\/T1021\/\" target=\"_blank\" rel=\"noopener\">listan med \u00f6vervakningsid\u00e9er fr\u00e5n MITRE<\/a> (t.ex. skapande av n\u00e4tverksanslutningar, \u00e5tkomst till n\u00e4tverksandelar etc.) och g\u00e5 ner till delteknikerna f\u00f6r att f\u00e5 specifika uppgifter om missbruk av RDP, SMB, VNC, SSH etc.<\/li>\n<\/ul>\n<p><b>Misst\u00e4nkt anv\u00e4ndning av PsExec: <\/b><span style=\"font-weight: 400;\">PsExec \u00e4r ett annat inbyggt Microsoft-verktyg som angriparna har b\u00f6rjat missbruka. Det g\u00f6r det m\u00f6jligt att utf\u00f6ra kommandon eller skript p\u00e5 distans som SYSTEM.<\/span><\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker PsExec-missbruk:<\/strong> V\u00e5r <a href=\"https:\/\/www.cyberdrain.com\/monitoring-with-powershell-monitoring-psexec-execution\/\" target=\"_blank\" rel=\"noopener\">Kelvin har ocks\u00e5 ett manus f\u00f6r detta<\/a> (f\u00f6r det \u00e4r klart att han har det). Du kan ocks\u00e5 hitta <a href=\"https:\/\/www.praetorian.com\/blog\/threat-hunting-how-to-detect-psexec\/\" target=\"_blank\" rel=\"noopener\">ytterligare Windows Event IDs och \u00e4ndringar i registret som du kan \u00f6vervaka h\u00e4r<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>Exfiltrering av data<\/h3>\n<p><b>Misst\u00e4nkta utg\u00e5ende anslutningar och trafikspikar:<\/b><span style=\"font-weight: 400;\"> F\u00f6r att f\u00e5 st\u00f6rre inflytande \u00f6ver offren blir det allt vanligare att angriparna inte bara krypterar data utan ocks\u00e5 exfiltrerar dem f\u00f6rst. Det ger dem ytterligare ett hot om att s\u00e4lja uppgifterna eller l\u00e4gga ut dem p\u00e5 n\u00e4tet <\/span><\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker dataexfiltration:<\/strong> Indikatorer p\u00e5 potentiell dataexfiltration kan vara stora toppar i utg\u00e5ende trafik, ov\u00e4ntade anslutningar till offentliga IP-adresser, ovanligt anv\u00e4nda portar, stora volymer av DNS-fr\u00e5gor, misst\u00e4nkta fil\u00e4ndelser f\u00f6r k\u00e4llfiler (.rar, .7z, .zip, etc.), med mera. N\u00e4tverks\u00f6vervakning och brandv\u00e4ggsregler kan t\u00e4cka upp f\u00f6r det mesta h\u00e4r. Fler id\u00e9er finns i <a href=\"https:\/\/attack.mitre.org\/tactics\/TA0010\/\" target=\"_blank\" rel=\"noopener\">avsnittet &#8221;Exfiltration&#8221; i MITRE ATT&amp;CK<\/a>.<\/li>\n<\/ul>\n<p><b>Missbruk av inbyggda verktyg och verktyg f\u00f6r fil\u00f6verf\u00f6ring med \u00f6ppen k\u00e4llkod:<\/b><span style=\"font-weight: 400;\"> Angripare \u00e4lskar att anv\u00e4nda legitima verktyg som kan hj\u00e4lpa dem att sm\u00e4lta in i m\u00e4ngden. N\u00e4r det g\u00e4ller dataexfiltrering ing\u00e5r Microsoft BITS, curl.exe, Rclone, Mega (MegaSync och MegaCmd) med flera.<\/span><\/p>\n<ul>\n<li><strong>Hur man uppt\u00e4cker misst\u00e4nkt anv\u00e4ndning av fil\u00f6verf\u00f6ring:<\/strong> Angripare kan g\u00f6ra sig besv\u00e4ret att byta namn p\u00e5 dessa program, men vissa g\u00f6r det helt enkelt inte, s\u00e5 en bra utg\u00e5ngspunkt \u00e4r att blockera och\/eller \u00f6vervaka och varna f\u00f6r deras anv\u00e4ndning. F\u00f6r mer avancerade id\u00e9er f\u00f6r uppt\u00e4ckt av granul\u00e4rt material, se f\u00f6ljande: <a href=\"https:\/\/research.nccgroup.com\/2021\/05\/27\/detecting-rclone-an-effective-tool-for-exfiltration\/\" target=\"_blank\" rel=\"noopener\">detecting Rclone<\/a>, <a href=\"https:\/\/redcanary.com\/blog\/rclone-mega-extortion\/\" target=\"_blank\" rel=\"noopener\">detecting Mega and Rclone<\/a>, och <a href=\"https:\/\/attack.mitre.org\/techniques\/T1197\/\" target=\"_blank\" rel=\"noopener\">MITRE ATT&amp;CK ID T1197<\/a>.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2>L\u00e4gg till ett lager av ransomware-uppt\u00e4ckning som \u00e4r hanterbart och skalbart<\/h2>\n<p><span style=\"font-weight: 400;\">Att aktivt \u00f6vervaka och varna f\u00f6r den h\u00e4r typen av aktiviteter kan vara en utmaning f\u00f6r organisationer som inte har en kunnig och utbildad dedikerad resurs. I m\u00e5nga fall kan det vara en bra l\u00f6sning att samarbeta med r\u00e4tt experter p\u00e5 entreprenad <\/span><\/p>\n<p><span style=\"font-weight: 400;\">F\u00f6r fler exempel p\u00e5 automatiseringar som IT-teams kan utnyttja med Ninja, se <\/span><a href=\"https:\/\/www.ninjaone.com\/sv\/blog\/vad-bor-du-overvaka-med-din-rmm-losning\/\"><span style=\"font-weight: 400;\">&#8221;What Should You Be Monitoring with Your RMM? 28 Recommendations.&#8221;<\/span><\/a><\/p>\n<p><span style=\"font-weight: 400;\">NinjaOne samarbetar ocks\u00e5 med Bitdefender f\u00f6r att tillhandah\u00e5lla en integrerad anti-ransomware-l\u00f6sning som en del av v\u00e5r enhetliga plattform f\u00f6r IT-hantering. Genom att inkludera<\/span><span style=\"font-weight: 400;\"> Ninja + Bitdefender GravityZone + Ninja Data Protection hj\u00e4lper <a href=\"https:\/\/www.ninjaone.com\/sv\/ransomware\/\">NinjaOne Protect-paketet<\/a> till att f\u00f6rebygga, uppt\u00e4cka och reagera p\u00e5 ransomware-attacker, vilket potentiellt kan minska den skadliga inverkan p\u00e5 ditt f\u00f6retag. <\/span><\/p>\n<p><span style=\"font-weight: 400;\">Starta en <\/span><a href=\"https:\/\/www.ninjaone.com\/sv\/kostnadsfri-provperiod-formular\/\"><span style=\"font-weight: 400;\">gratis provperiod<\/span><\/a><span style=\"font-weight: 400;\"> med NinjaOne Protect idag. <\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>H\u00e4r \u00e4r ett dussintal s\u00e4tt f\u00f6r IT-teams av alla storlekar att inr\u00e4tta automatiserade varningar f\u00f6r att uppt\u00e4cka ransomware-attacker innan det \u00e4r f\u00f6r sent.\u00a0\u00a0 Det \u00e4r galet att t\u00e4nka sig att det i maj var fem \u00e5r sedan WannaCry-utbrottet bidrog till att g\u00f6ra ransomware till ett k\u00e4nt namn. P\u00e5 m\u00e5nga s\u00e4tt k\u00e4nns det som om det [&hellip;]<\/p>\n","protected":false},"author":28,"featured_media":260710,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"","_lmt_disable":"","footnotes":""},"categories":[4365,3113],"tags":[],"class_list":["post-149751","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sakerhet","category-rmm-sv"],"acf":[],"modified_by":null,"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/posts\/149751","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/users\/28"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/comments?post=149751"}],"version-history":[{"count":0,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/posts\/149751\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/media\/260710"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/media?parent=149751"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/categories?post=149751"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ninjaone.com\/sv\/wp-json\/wp\/v2\/tags?post=149751"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}