NSEC SOC ser just nu en ökad aktivitet kring ransomware. Det är främst mail som används för att infektera datorer, och det är i huvudsak två typer av hot:

– Bifogade Word filer med skadliga makron

– Bifogade ZIP-filer med skadliga Javaskript

Vanliga rubriker för mail innehåller orden invoice och invoice <8-9 siffror>. Men vi har även sett andra varianter på rubrik och innehåll.

Bifogade word filer har ofta också ordet ”invoice” som filnamn. Bifogade ZIP-filer har oftare kortare filnamn, t ex kQBJ.zip.

Javaskripten tillhör familjen Nemucod, men är nya javaskript som inte alltid upptäcks av befintligt Antivirus. Word filerna tillhör W97M/downloader familjen, och likadant där att det är nya varianter som inte alltid upptäcks av befintligt Antivirus. Detektion kommer ofta ganska snabbt, men då har skadan ofta redan skett i form av krypterade filer.

Vid infektion så laddas ett ransomware ned som sedan krypterar filer, ofta med filändelserna .locky och .micro.

Viktiga rekommendationer:

– Blockera javaskript (.JS) filer både i zip-filer och som direkt bifogade i mail.

– Informera användare att inte klicka på bilagor om de inte absolut vet att de behöver en fil för sitt arbete eller förväntar sig informationen från en avsändare.

– Stäng av så att makron i Word inte frågar användaren om man vill aktivera makron. Då måste användaren köra makron genom menyerna i word istället, vilket minskar risken för att användarna klickar igenom alla rutor ovetandes.

– Överväg att blockera makron i bifogade word dokument för inkommande mail från externa parter. Dessa kan istället placeras i karantän eller vidarebefodras till en inkorg som någon IT-personal granskar och sedan skickar vidare.

mvh

NSEC SOC