Om man inte är helt försiktig kan ens dator bli infekterad av skadlig kod genom helt vanlig användning. Från att surfa på nätet till att öppna ett dokument som skulle vara semesterplaneringen från en kollega. Förloppet kan gå väldigt snabbt och på flera olika sätt. MSB och Microsoft har listat de vanligaste metoderna kring hur skadlig kod körs på din dator. Konsekvensen av att den skadliga koden körts på din dator kan starkt variera – från obetydlig påverkan till förödande. Det beror främst på vilket program som körts, vad som fanns på din dator samt vad den har tillgång till.
Vanligtvis fångar antivirus skadliga program, men hotaktörer anpassar sig och skriver om programmen med särskilda tekniker för att hålla sig oupptäckta. Antivirus-skydd förlitar sig mycket på kända hot, tekniker och filegenskaper hos skadliga program. Dessa är grunden till signaturer som antivirus använder sig av för att upptäcka hot. Signaturerna kan vara ett definierat beteendemönster för när program körs, eller att ett program har exakt samma innehåll som ett känt virus. Uppdaterade signaturer och förändrade tekniker och metoder i skadliga program är en ständig kamp mellan katt och råtta.
Var uppmärksam
I de fall när antiviruset-skyddet inte lyckas upptäcka och förhindra skadliga program kan du ändå vara uppmärksam på några tydliga symtom:
- Det tar längre tid att starta upp och köra program
- Det går inte att stänga av eller avinstallera vissa program
- Plötsliga oförväntade omstarter
- Plötsliga program-krascher
- Ditt antivirusprogram har stängts av eller avinstallerats
- Förekomst och installation av okända och obehöriga program
- Din webbläsare är segare och skickar dig ständigt vidare till okända hemsidor
- Oförväntade ”pop-up” rutor som kan ha reklam
Om någon av dessa beteenden setts på din dator eller om du har en misstanke om annan illasinnad aktivitet, är det viktigt att inte få panik och göra något förhastat. Det kan ju vara ett naturligt beteende från datorn eller från godkänd installerad mjukvara.
Om datorn tillhör din organisation bör du kontakta utsedd avdelning eller kontaktperson för att rådfråga om hur du ska gå vidare. Om inte annat instrueras och datorn behöver undersökas vidare ska du koppla bort nätverket (sladd och trådlöst) men stäng inte av datorn. Det datorn håller i minnet när den är på kan vara en nyckelbit för incidentutredare och forensiker. Viktiga spår om hur det skadliga programmet kom till datorn, vad det programmet gör, och vem som kan ligga bakom det, kan finnas i minnet. Om datorn stängs av försvinner de pusselbitarna.
Assume breach – utgå från att du är under attack
I vissa fall kommer inga symptom från skadliga program att synas då det finns varianter som är bättre på att gömma sig än andra. De mest avancerade programmen som skapas av aktörer som är finansiellt drivna eller som agerar ur ett statsintresse, besitter oftast en större mängd resurser och kompetens samt ett rejält tålamod. De kan etablera ett fotfäste och hålla sig oupptäckta i it-miljöer i månader eller rent av år. De anpassar sitt angrepp efter verksamheten de ska angripa och deras mål kan vara stöld eller manipulering av data, göra resurser otillgängliga eller en kombination av detta.
När det inte finns logginsamling och övervakning, eller omfattande skydd för enheter med lösningar som Endpoint Detection and Response (EDR/XDR) är det utmanande att upptäcka hotens närvaro innan de utför sitt huvudsakliga syfte i miljön. När de väl är upptäckta kan alla digitala spår och bevis vara avgörande för att ta reda på vem hotaktören är och dennes motiv. Bevisen är viktiga för att kunna se om aktörerna fortfarande är närvarande och aktiva i din it-miljö samt för att kunna effektivt driva ut dem. Visar det sig att de redan uppnått sitt mål och inte längre är aktiva är det fortfarande lika viktigt att förstå sig på vilka de är för att förhindra dem vid eventuell återkomst samt snabbare upptäcka nya intrång.
Har din verksamhet ett pågående intrång?
Om du misstänker att en eller flera av era enheter är angripna, hör av dig direkt till oss på incident@basalt.se så hjälper vi er. Basalt har kompetensen att hantera incidenter och utföra forensiska undersökningar. Om vi identifierar att hotet är äkta och aktivt kommer vi att assistera er i att rensa bort hotet samt återställa er miljö och era resurser i den mån det går.