Hva er skadelig programvare?

Skadelig programvare bruker lureri for å hindre normal bruk av enheter. Når en nettkriminell har fått tilgang til enheten din gjennom én eller flere teknikker – som for eksempel phishing-e-post, infiserte filer, system- eller programvaresårbarheter, smittede USB-flash-enheter eller et skadelig nettsted – kapitaliserer de på situasjonen ved å starte flere angrep for å innhente kontolegitimasjon eller personopplysninger som kan selges, selge tilgang til databehandlingsressurser eller presse ofrene for penger.

Hvem som helst kan blir offer for angrep med skadelig programvare. Selv om du kanskje vet hvordan du skal oppdage noen av måtene angriperne retter seg mot ofre med skadelig programvare, er cyberkriminelle sofistikerte, og utvikler konstant metodene sine for å holde følge med forbedringer innen teknologi og sikkerhet. Angrep med skadelig programvare ser forskjellig ut og handler annerledes etter hvilken typen skadelig programvare det dreier seg om. Ofre for et rootkit-angrep vet for eksempel ikke nødvendigvis om det, fordi denne typen skadelig programvare er utviklet for å ligge lavt og forbli uoppdaget så lenge som mulig.

Det er mange typer skadelig programvare der ute – her er noen av de mest vanlige.


Annonseprogram

Annonseprogrammer installerer seg selv på en enhet uten eierens samtykke for å vise eller laste ned annonser, ofte i form av popup-vinduer, for å tjene penger på klikk. Disse annonsene reduserer ofte enhetens ytelse. Farligere typer annonseprogrammer kan også installere ekstra programvare, endre nettleserinnstillinger og gjøre enheter sårbare for andre angrep med skadelig programvare.


Botnett

Botnett er nettverk av infiserte enheter som kontrolleres eksternt av angripere. Disse nettverkene brukes ofte til storstilte angrep som distributed denial-of-service-agrep (DDoS), spam eller datatyverier.


Kryptojacking

Med kryptovalutaers økende popularitet har myntmining blitt en lukrativ geskjeft. Kryptojacking involverer å kapre enhets datakraft for å grave kryptovalutaer uten eierens viten, noe som betydelig reduserer ytelsen til det infiserte systemet. Infeksjoner av denne typen skadelig programvare begynner ofte med e-postvedlegg som prøver å installere skadelig programvare. Eventuelt kan nettsteder utnytte sårbarheter i nettlesere eller bruke databehandlingsstrøm og legge til skadelig programvare på enheter.

Ved å bruke komplekse matematiske beregninger opprettholder ondsinnede kryptojackere blockchain-boken, eller et desentralisert, digital registreringssystem, for å stjele datakraft som lar dem lage nye mynter. Myntmining bruker imidlertid betydelige mengder databehandlingsstrøm for å stjele relativt små mengder med kryptovaluta. Derfor opererer nettkriminelle ofte i team for å få mest mulig utbytte de så kan dele.

Likevel er ikke alle myntminere kriminelle. Det hender at enkeltpersoner og organisasjoner kjøper maskinvare og strøm til legitim myntmining. Handlingen blir kriminell når nettkriminelle infiltrerer bedrifters nettverk, uten at bedriften vet om det, for å bruke databehandlingsstrøm til mining.


Utnyttelser og utnyttelsessett

Utnyttelser drar nytte av sårbarheter i programvare for å omgå en datamaskins sikkerhetsbeskyttelse og installere skadelig programvare. Hackere som ønsker å skade, søker etter utdaterte systemer med kritiske sårbarheter. Så utnytter de disse ved å distribuere skadelig programvare. Ved å bruke shellcode under ugjerningene sine kan nettkriminelle laste ned mer skadelig programvare som infiserer enheter og infiltrerer organisasjoner.

Utnyttelsessett er automatiserte verktøy som brukes av cyberkriminelle for å finne og utnytte kjente programvaresårbarheter, noe som lar dem lansere angrep raskt og effektivt. Programvare som kan bli infisert omfatter Adobe Flash Player, Adobe Reader, nettlesere, Oracle Java og Sun Java. Angler/Axpergle, Neutrino og Nuclear er vanlige typer utnyttelsessett.

Utnyttelser og utnyttelsessett er vanligvis avhengige av skadelige nettsteder eller e-postvedlegg, men noen ganger skjuler de seg også i annonser på legitime nettsteder.


Skadelig programvare uten filer

Denne typen cyberangrep gjelder i stor grad for skadelig programvare som ikke trenger filer, slik som infiserte e-postvedlegg, for å gjøre innbrudd i nettverk. De kan for eksempel komme gjennom ondsinnede nettverkspakker, eller mindre deler av et større datasett som overføres over et datanettverk, som utnytter en sårbarhet, og installerer deretter skadelig programvare som kun lever i kjerneminnet. Trusler uten filer er spesielt vanskelige å finne og fjerne. De fleste antivirusprogrammer er nemlig ikke utviklet for å kunne skanne fastvare.


Løsepengevirus

Ransomware er en type skadelig programvare som truer et offer ved å ødelegge eller blokkere tilgangen til kritiske data inntil det betales løsepenger. Menneskedrevne angrep med løsepengevirus sikter seg inn mot organisasjoner via vanlige feilkonfigurasjoner for system og sikkerhet. De infiltrerer organisasjonen og navigerer i bedriftsnettverket. De tilpasser seg miljøet og eventuelle svakheter. En vanlig måte å få tilgang til organisasjoners nettverk på for å kunne introdusere løsepengevirus er gjennom legitimasjonstyveri. Nettkriminelle kan stjele virkelige ansattes legitimasjon og slik få tilgang til kontoene deres.

Angripere som bruker menneskedrevne løsepengevirus, retter seg inn mot store organisasjoner. Disse kan nemlig betale mer i løsepenger enn de fleste enkeltpersoner, ofte flere titalls millioner kroner. På grunn av de store konsekvensene ved et brudd i denne skalaen, velger mange organisasjoner å betale løsepenger fremfor å risikere lekkasje av sensitive data eller ytterligere angrep. Betaling garanterer imidlertid ikke at man forhindrer noen av disse utfallene.

Etter hvert som omfanget av menneskestyrte løsepengeangrep øker, blir de kriminelle bak disse angrepene også mer organiserte. Mange løsepengeoperasjoner bruker nå en «løsepengevirus som en tjeneste»-modell, som betyr at en gruppe kriminelle utviklere lager selve løsepengeviruset, og deretter leier inn andre tilknyttede nettkriminelle for å hacke nettverket til en organisasjon og installere løsepengeviruset. Utbyttet deles mellom de to gruppene etter en avtalt fordeling.


Rootkit

Når nettkriminelle bruker rootkit, skjuler de skadelig programvare på enheter så lenge som mulig, noen ganger i flere år, som stjeler informasjon og ressurser fortløpende. Ved å fange opp og endre standardprosesser i operativsystemet kan et rootkit endre informasjonen enheten rapporterer om seg selv. Det kan eksempelvis hende at en enhet som er infisert med et rootkit ikke viser en nøyaktig liste over programmer som kjører. Rootkit kan også gi administrative eller høyere enhetsprivilegier til nettkriminelle, slik at de får fullstendig kontroll over en enhet og kan gjøre ting som å stjele data, spionere på offeret og installere enda mer skadelig programvare.


Spionprogram

Spionprogrammer innhenter personlig eller sensitiv informasjon uten brukerens viten, ofte ved å spore nettleservaner, påloggingsinformasjon eller økonomisk informasjon, som kan brukes til identitetstyveri eller selges til tredjeparter.


Angrep på forsyningskjeder

Denne typen skadelig programvare rettes mot programvareutviklere og leverandører ved å få tilgang til kildekoder, utviklingsprosesser eller oppdateringsmekanismer i legitime apper. Når nettkriminelle finner usikre nettverksprotokoller, ubeskyttet serverinfrastruktur eller usikker kodepraksis, bryter de seg inn, endrer kildekoder og skjuler skadelig programvare i utviklings- og oppdateringsprosesser. Når den kompromitterte programvaren sendes videre til kunder, infiserer den også kundenes systemer.


Falsk teknisk kundestøtte

Falsk teknisk støtte er et bransjeomfattende problem. Skremselstaktikker brukes for å prøve å lure brukere til å betale for unødvendig tekniske støtte. Reklamen kan gå på at «tjenestene» kan rette opp i oppdiktede problemer på enheter, plattformer eller programvare. Med denne typen skadelig programvare ringer en nettkriminell direkte til en person og later som de er en ansatt i et programvareselskap, eller lager klikkbare annonser som ser ut som systemvarsler. Så snart de får tillit, oppfordrer angriperne ofte potensielle ofre til å installere apper eller gi ekstern tilgang til enhetene sine.


Trojanere

Trojanere utgir seg for å være legitim programvare for å lure folk til å laste dem ned. Så snart de er lastet ned, kan de:
 

• Laste ned og installere mer skadelig programvare slik som virus eller ormer.
• Bruke den infiserte enheten til klikksvindel ved å kunstig øke antall klikk på en knapp, annonse eller kobling.
• Registrere tastetrykkene dine og nettsteder du ser på.
• Sende informasjon (slik som passord, påloggingsinformasjon og nettleserlogg) om den infiserte enheten til hackere.
• Gi nettkriminelle kontroll over infiserte enheter.
   

Ormer

Ormer kommer oftest via e-postvedlegg, tekstmeldinger, fildelingsprogrammer, sider på sosiale medier, delinger i nettverk og flyttbare stasjoner. De sprer seg utover nettverk ved å utnytte sikkerhetssårbarheter og kopiere seg selv. Visse ormtyper kan stjele sensitiv informasjon, endre sikkerhetsinnstillingene eller hindre deg i å få tilgang til filer. I motsetning til virus, krever ikke ormer noen menneskelig interaksjon for å spre seg—de replikerer seg selv.


Virus

Virus er en av de eldste formene for skadelig programvare, utviklet for å forstyrre eller ødelegge data på infiserte enheter. De infiserer vanligvis et system og kopierer seg selv når et offer åpner ondsinnede filer eller e-postvedlegg.

Skadelig programvare kan forårsake betydelig skade for virksomheter, med konsekvenser som strekker seg utover det innledende angrepet og inkluderer:
 

• Økonomiske tap. Økonomiske tap, inkludert løsepenger, kostnader til gjenoppretting og tapt inntekt under nedetiden er vanlige konsekvenser av angrep med skadelig programvare.
• Databrudd og personvernsaker. Skadelig programvare kan føre til datatyveri, som kompromitterer sensitiv informasjon som kundedata eller immaterielle rettigheter.
• Driftsmessige forstyrrelser. Angrep kan stanse virksomhetens drift når de ansatte forhindres fra tilgang til kritiske systemer eller data.
• Omdømmeskade. Hvis et angrep blir offentlig kjent kan det skade tillit, kunderelasjoner og langsiktige forretningsutsikter.

Tidlig oppdagelse av skadelig programvare er avgjørende for å minimere skaden på systemene dine. Skadelig programvare medfører ofte subtile tegn, som treg ytelse, hyppige krasj og uventede popup-vinduer eller programmer, noe som kan signalisere at enheten er kompromittert.

Bedrifter bruker en rekke verktøy for å oppdage skadelig programvare, inkludert antivirusprogramvare, brannmurer, systemer for endepunktsoppdagelse og -svar (EDR), tjenester for administrert oppdagelse og respons (MDR), løsninger for utvidet oppdagelse og svar (XDR) og prosesser for jakt på datatrusler. Mens EDR fokuserer på å oppdage og svare på trusler på endepunktsnivå, går XDR ut over endepunkter for å samle signaler på tvers av flere områder, som for eksempel e-post, identiteter og skyapper, for å gi en omfattende oversikt over trusler. MDR kombinerer disse verktøyene med ekspertledet overvåkings- og svartjenester, for å gi virksomheter ekstra støtte i håndteringen av trusler.

Når uvanlig aktivitet oppdages kan kjøring av fulle systemskanninger og gjennomgang av logger bidra til å bekrefte tilstedeværelsen av skadelig programvare. EDR spiller en kritisk rolle i denne prosessen ved å identifisere og isolere kompromitterte endepunkter, mens XDR utvider oppdagelsen på tvers av organisasjonen, og gir ende-til-ende-innsikt i angrep. MDR-tjenester forbedrer denne prosessen ytterligere med kontinuerlig overvåking og ekspertanalyse, og gir raskere og mer effektive responser. Sammen gir disse verktøyene og tjenesten en enhetlig tilnærming til oppdagelse og utbedring av trusler fra skadelig programvare, og hjelper virksomheter med å begrense skadene og opprettholde sikkerheten.

For å forhindre skadelig programvare må man ha en proaktiv tilnærming til sikkerhet, og effektiv fjerning er avhengig av rask oppdagelse og handling. Organisasjoner kan blokkere eller oppdage angrep med skadelig programvare gjennom en kombinasjon av antivirusprogrammer og avanserte løsninger for trusseloppdagelse og respons, som er en omfattende måte å identifisere og utbedre trusler raskt på.

Dette er noen av måtene man kan forhindre et angrep med skadelig programvare:


Installer et antivirusprogram

Den beste formen for beskyttelse er forebygging. Organisasjoner kan blokkere eller oppdage mange angrep med skadelig programvare med en klarert sikkerhetsløsning som inkluderer tjenester for beskyttelse mot skadelig programvare, som for eksempel Microsoft Defender for endepunkt. Når du bruker antivirusprogram, vil enheten din først skanne alle filer og koblinger du prøver å åpne, for å sikre at de er trygge. Hvis en fil eller en nettside er skadelig, varsler antivirusprogrammet deg og anbefaler at du ikke åpner den. Disse programmene kan også fjerne skadelig programvare fra enheter som allerede er infisert.


Implementer e-post- og endepunktsbeskyttelser

Bidra til å forhindre angrep med skadelig programvare med XDR-løsninger som Microsoft Defender for XDR. Disse enhetlige løsningene for sikkerhetshendelser gir en helhetlig og effektiv måte å beskytte seg mot og svare på avanserte cybertrusler. XDR er bygget på grunnlag av MDR, som kombinerer ekspertledet overvåking med avanserte oppdagelsesverktøy, og løfter sikkerheten til neste nivå ved å integrere signaler på tvers av endepunkter, e-post, identiteter og skyprogrammer. Denne utvidede innsikten gjør det mulig for organisasjoner å identifisere og avbryte sofistikerte angrep raskere, og med større presisjon.

Som en del av Microsoft Defender XDR bruker Microsoft Defender for endepunkt sensorer for endepunktsadferd, skysikkerhetsanalyse og trusselinformasjon for å hjelpe organisasjoner med å forhindre, oppdage, undersøke og svare på avanserte trusler.


Sørg for regelmessig opplæring

Sørg for at ansatte er informert om hvordan de oppdager tegn til phishing og andre cyberangrep med opplæringsøkter som oppdateres jevnlig for å dekke nye utviklinger i angrepstaktikker. Dette lærer dem ikke bare tryggere praksis i jobben, men også hvordan de kan bruke personlige enheter på en tryggere måte. Verktøy for simulering og opplæring bidrar med å simulere virkelige trusler i miljøet ditt, og tilordne opplæring til sluttbrukere basert på resultatene.


Benytt deg av sikkerhetskopier i skyen

Når du overfører data til skybaserte tjenester, kan du enkelt sikkerhetskopiere data for tryggere oppbevaring. Hvis dataene dine senere utsettes for skadelig programvare, bidrar disse tjenestene til omfattende og umiddelbar gjenoppretting.


Ta i bruk en nulltillitsmodell

En nulltillitsmodell evaluerer alle enheter og brukere for risiko før de får tilgang til programmer, filer, databaser og andre enheter, og reduserer sannsynligheten for at en skadelig identitet eller enhet får tilgang til ressurser og kan installere skadelig programvare. Eksempelvis har implementering av flerfaktorautentisering, én av komponentene i en nulltillitsmodell, vist seg å redusere effektiviteten av identitetsangrep med mer enn 99 %. Hvis du vil evaluere organisasjonens modenhetsnivå for nulltillit, kan du ta vår modenhetsvurdering for nulltillit.


Bli med i en gruppe for informasjonsdeling

Grupper for informasjonsdeling, vanligvis organisert etter bransje eller geografisk plassering, oppmuntrer organisasjoner som er organisert på lignende måter til å jobbe sammen mot løsninger for cybersikkerhet. Gruppene tilbyr også organisasjonene andre fordeler, som hendelsesrespons og digitale etterforskningstjenester, nyheter om de nyeste truslene og overvåking av offentlige IP-områder og -domener.


Lagre sikkerhetskopier frakoblet

Fordi noen typer skadelig programvare forsøker å finne og slette eventuelle nettbaserte sikkerhetskopier, er det lurt å lagre en oppdatert, frakoblet sikkerhetskopi av sensitive data, som du jevnlig tester for å sikre at den kan gjenopprettes dersom du utsettes for et angrep fra skadelig programvare.


Hold programvaren oppdatert

I tillegg til å holde antivirusløsninger oppdatert (vurder bruk av automatiske oppdateringer for å forenkle dette), må du sørge for å laste ned og installere andre system- og programvareoppdateringer så snart de er tilgjengelige. Dette bidrar til å begrense eventuelle sårbarheter i sikkerheten som nettkriminelle kan utnytte for å oppnå tilgang til nettverket eller enhetene dine.


Lag en plan for hendelsesrespons

En beredskapsplan for hendelser gir deg trinn som kan følges i ulike angrepsscenarioer, slik at du kan komme tilbake til normal og sikker drift så raskt som mulig.

Skadelig programvare er ikke alltid enkelt å oppdage. Særlig gjelder dette for skadelig programvare uten filer. Det er lurt av både organisasjoner og enkeltpersoner å være på vakt hvis mengden med popup-annonser øker, hvis nettlesere omdirigeres, hvis der dukker opp mistenkelige innlegg på kontoer i sosiale medier, eller der kommer meldinger om kompromitterte kontoer eller enhetssikkerhet. Endringer i enhetens ytelser, som at den kjører mye saktere, kan også være et tegn på infeksjon av skadelig programvare.

For mer sofistikerte angrep mot organisasjoner som antivirusprogrammer ikke klarer å oppdage og blokkere, gir verktøy for administrasjon av sikkerhetsinformasjon og -hendelser (SIEM) og utvidet oppdagelse og svar (XDR) sikkerhetsansvarlige skydrevne sikkerhetsmetoder for endepunkter som bidrar til å oppdage og svare på angrep mot endepunktsenheter. Fordi denne typen angrep er mangefasetterte, der nettkriminelle ikke bare prøver å få kontroll over enheter, bidrar SIEM og XDR til at organisasjoner kan se et større bilde av angrepet på tvers av alle områder – inkludert enheter, e-post og programmer.

Ved å bruke SIEM- og XDR-verktøy, som for eksempel Microsoft Sentinel,Microsoft Defender XDR og Microsot Defender for skyen, får man antivirusfunksjoner. Sikkerhetseksperter bør sørge for at enhetsinnstillingene alltid er oppdatert slik at de samsvarer med de nyeste anbefalingene. Slik kan de bidra til å forebygge trusler fra skadelig programvare. Et av de viktigste stegene for å forberede seg på et angrep med skadelig programvare er å utvikle en plan for hendelsesrespons – en detaljert og strukturert tilnærming som organisasjoner bruker for å administrere og redusere innvirkningen av cyberangrep, inkludert infeksjon med skadelig programvare. Den skisserer bestemte trinn for å identifisere, begrense og fjerne trusler, samt gjenopprette fra skadene som er forårsaket. Ved å ha en veldefinert plan for hendelsesrespons blir det enklere for virksomheter å minimere nedetid, redusere økonomisk tap og beskytte sensitive data ved å sikre at alle teammedlemmer vet sin rolle og sine ansvarsområder under en cyberkrise. Denne proaktive forberedelsen er nøkkelen til å bevare forretningskontinuiteten.

Hvis du bekymrer deg for at du kan ha blitt offer for et angrep med skadelig programvare, har du heldigvis måter å oppdage og fjerne den på. Umiddelbare tiltak inkluderer:
 

• Kjøring av antivirusprodukter, som det som tilbys integrert i Windows, for å skanne etter skadelige programmer eller kode. Hvis programmet oppdager skadelig programvare vises typen, samt forslag til fjerning. Når du har fjernet den, må du sørge for å holde programvaren oppdatert og i gang for å forhindre fremtidige angrep.
• Isolering av påvirkede systemer. Sørg for at skadelig programvare ikke kan spre seg, ved å slå av det påvirkede systemet eller deaktivere systemets nettverkstilkobling. Siden ondsinnede angripere kan overvåke organisasjonens kommunikasjon for bevis på at angrepet er oppdaget, bør det brukes atypiske enheter og metoder – som telefonsamtaler eller fysiske møter – for å diskutere neste steg.
• Varsling av interessenter. Følg varslingsveiledningen i planen for hendelsesrespons for å iverksette tiltak for begrensning, utbedring og gjenoppretting. Du bør også rapportere hendelsen til Cybersecurity and Infrastructure Security Agency, ditt lokale FBI-feltkontor, FBIs Internet Crime Complaint Center eller ditt lokale feltkontor for US Secret Service. Sørg for å overholde lovgivning om datainnbrudd og bransjeforskrifter for å unngå ytterligere ansvar.

Etter hvert som teknologien utvikler seg fortsetter skadelig programvare å tilpasse seg, og blir stadig mer sofistikert og vanskeligere å oppdage. Ved å forstå fremtidige trender blir det enklere for virksomheter å holde følge med truslene.

Fremvoksende typer av skadelig programvare blir stadig mer sofistikerte, og er ofte utviklet for å omgå tradisjonelle sikkerhetstiltak gjennom ulike skjulingsmetoder. Disse teknikkene inkluderer polymorfisk skadelig programvare, som endrer kodestrukturen ved hver infeksjon for å gjøre den vanskeligere å oppdage. Et annet eksempel er skadelig programvare som skjuler seg i legitime prosesser, eller som bruekr kryptering for å skjule det skadelige innholdet. Filfri skadelig programvare, som opererer direkte i minnet uten å etterlate spor, unngår også oppdagelse av tradisjonelle antivirusprogrammer. For å bekjempe disse fremvoksende truslene, må organisasjoner ha avanserte løsninger som KI-drevne verktøy for cybersikkerhet, som ikke bare forbedrer oppdagelses- og utbedringsinnsatsen, men som også gjør det mulig med automatisk angrepsforstyrrelse. Disse verktøyene kan isolere infiserte enheter og suspendere kompromitterte kontoer i sanntid, slik at pågående trusler stoppes og skaden begrenses.

Disse verktøyene forbedrer oppdagelsesandelen ved å oppdage avvik eller uvanlig atferd som kan indikere et angrep, selv før tradisjonelle metoder kan oppdage dem. KI-modeller kan også forutsi potensielle trusler ved å lære fra tidligere angrep, og på dem måten muliggjøre forebyggende tiltak. I tillegg forbedrer maskinlæringsalgoritmer oppdagelsesevnen kontinuerlig, og hjelper sikkerhetsteamet med å holde følge med fremvoksende trusler ved å forutsi og forhindre angrep før de skjer.

For å beskytte mot trusler fra skadelig programvare nå og i fremtiden, kan organisasjoner bruke en KI-drevet enhetlig SecOps-plattform fra Microsoft. Denne løsningen integrerer avansert, KI-assistert trusseloppdagelse og automatiserte svar for å bekjempe fremvoksende typer skadelig programvare. Den samler endepunktsoppdagelse, trusselinformasjon og skysikkerhet, og tilbyr en enhetlig plattform for å oppdage, svare på og forhindre angrep med skadelig programvare i sanntid. Ved å gi omfattende innsikt og automatisert beskyttelse på tvers av nettverk, bidrar denne plattformen til at virksomheter kan styrke forsvaret mot fremvoksende trusler.