Angrebet af ransomware – sådan kom de videre

Arkitema angrebet af ransomware

“Der er sket noget mærkeligt. Der er en fil jeg ikke kan åbne og den hedder noget mærkeligt til efternavn – nemlig .encrypted,” lød det fra en medarbejder en helt almindelig torsdag formiddag i det store, danske arkitektfirma Arkitema. Firmaet var blevet angrebet af ransomware. “Det bliver en hård weekend!” tænkte it-chefen.

 

Arkitema er et succesrigt arkitektfirma med 500 medarbejdere og med kontorer i Danmark, Norge og Sverige. At de skulle blive angrebet af ransomware var ikke med i planen. Ikke desto mindre skete det – to gange. “Første gang var det ikke så alvorligt – anden gang var det skidt, ” fortæller Michael Morgen, CIO i Arkitema.

Den torsdag, medarbejderen ringede til it-afdelingen, var anden gang, det skete- og angrebet blev en dyr omgang for arkitekterne.

Efter angrebet af ransomware: Medarbejderne gik hjem

“Vi har så ekstremt store datamængder at det tager lang tid at danne sig overblikket over hvad der er ødelagt. Så vi fandt ud af, at vi lige så godt kunne restore alt. De fleste medarbejdere gik  hjem – for de kunne ikke lave noget. Og i løbet af et par timer var det tomt på kontoret.”  Michael og it-afdelingen var til gengæld ikke hjemme i to døgn. 

Læs også: Er du godt nok sikret mod ransomware? Her er fem lette tips til hvad du kan gøre

En dyr episode

Firmaet kunne godt restore sine data, da de havde en god backup-funktion.  Men det tog tid at komme i gang med arbejde igen: “Vi havde et produktionstab på tre-fire timer – og reelt set kunne  medarbejderne ikke komme videre med at arbejde før næste dag. Der gik en lille uges tid før vi var tilbage 100 pct, ” fortæller Michael Morgen.

Alt i alt estimerer han, at nedetiden kostede firmaet en million kroner i tabt arbejdsfortjeneste.

Var godt beskyttede – men ikke godt nok

Men hvordan kunne det overhovedet lade sig gøre at få ransomware ind i systemet? For Arkitema havde både firewall, antispambeskyttelse og virusbeskyttelse.

“Problemet er at det er meget svært at beskytte sig mod at blive angrebet af ransomware. Men vi fandt så efterfølgende ud af, at der var faktisk nogen yderligere ting, vi kunne gøre for at sikre os i fremtiden,” fortæller Michael Morgen.

Jeg har brugt en del tid på at ændre brugernes mindset. At hvis det ser mærkeligt, ud, ja så ER det mærkeligt, aldrig klikke på et link i en mail og så videre,

Købte stort ind på it-beskyttelse allerede om mandagen

Allerede om mandagen efter incidenten skred de til handling. “Vi besluttede os for at investere i iboss,” fortæller CIO’en.

iboss Firesphere er en løsning som giver virksomheder et ekstra sikkerhedslag ved at  overvåge trafikken på samtlige 65535 netværksporte – begge veje og både TCP og UDP. Udover malware scanning og sandboxing reagerer iboss Firesphere på risikabel trafik ved at advare om eller isolere maskiner.

Arkitema har nu også slået flere funktioner til i deres Sophos firewall  – nemlig web filtering, antivirus, antispam, antispyware – og har hele to Sophos-bokse stående, så den ene overtager, hvis den anden er ude af funktion et øjeblik. I alt bruger de tre forskellige virusscannere mellem internettet og arbejdspladserne.

Læs også: Sophos Intercept X beskytter mod alle former for ransomware

Læs også: “Fiks det, Finn” – sådan bruger fem virksomheder Sophos til at holde ondskaben fra døren

Fokus på medarbejdernes opførsel

Et andet vigtigt ‘antisnavs’-parameter er brugernes opførsel.

“Jeg har brugt en del tid på at ændre brugernes mindset. At hvis det ser mærkeligt, ud, ja så ER det mærkeligt, aldrig klikke på et link i en mail og så videre,” fortæller CIO’en.

Hvordan er det gået efter de nye tiltag blev sat iværk?

“Jeg får en rapport fra iboss, hvor jeg kan se hvad den stopper. Og det er alt muligt mærkeligt. Siden vi fik ibossen ind har vi overhovedet ikke oplever noget som helst. Så dybest set holder iboss skidt og snavs fra vores systemer,” siger Michael Morgen.

Nyheder om IT-sikkerhed direkte i din indbakke