Ransomware: Hvad det er, og hvordan du beskytter dig selv

Ransomware er en type ondsindet software eller malware, der praktisk talt holder dine data som gidsel, låser din computer og truer med at holde den låst, indtil du betaler angriberens løsesum. International Business Machines Corporation (IBM) rapporterer, at i 2021 udgjorde ransomware-angreb 21% af alle cyberangreb og resulterede i et svimlende tab på 20 milliarder USD.

Hvad er Ransomware?

Tidligere var ransomware-angreb udelukkende rettet mod at låse en persons data eller enhed, indtil de betalte penge for at låse det op. 

I dag tager cyberkriminelle dog sagerne til et helt nyt niveau. X-Force Threat Intelligence Index 2022 afslørede, at stort set alle ransomware-angreb nu har vedtaget ‘dobbelt afpresning’-strategien, som ikke kun låser data, men også forventer en løsesum for at forhindre tyveri. Derudover introducerer disse ondsindede cyberkriminelle en yderligere trussel i deres repertoire – tredobbelt afpresningskampagner, der involverer Distributed Denial of Service (DDoS) angreb – og de bliver stadig mere almindelige.

Ransomware og Malware

For bedre at forstå ransomware, skal vi først undersøge, hvad malware (ondsindet software) er og dens implikation.

Malware – et begreb, der fremkalder flere spørgsmål end svar. Er det den ondsindede software, eller bliver den blot brugt til skumle formål? Som med mange aspekter af cybersikkerhed er der ikke ét enkelt svar på dette spørgsmål; i stedet er det et indviklet og komplekst område, hvor vi skal overveje flere faktorer. Softwaren kan være ondsindet i sig selv; dog er det mennesket, der opererer med den nævnte software, der i sidste ende er ansvarlig for at bestemme, om og hvordan den vil være ondsindet.

Cybertrusler er brede, fra destruktive vira til snedige trojanere. Men der er en unik stamme, der er endnu farligere end disse – ransomware. Afslør mysteriet bag denne ondsindede software, og lær hvordan du beskytter dig mod den!

Hvordan fungerer ransomware?

Ransomware er designet til at låse adgang og alt indhold inden for den målrettede computer eller netværk, indtil angriberen modtager betaling. Endnu mere sofistikerede angreb kan igangsætte disk-niveau kryptering med en sådan intensitet, at det uden at betale løsesummen ville være umuligt at dekryptere nogen filer. Fra 2013 til 2020 bemærkede FBI's Internet Crime Complaint Center en dramatisk stigning på 243% i rapporterede ransomware-forekomster.

I modsætning til andre former for cyberkriminalitet kræver ransomware, at dets ofre samarbejder med den kriminelle for at gøre det succesfuldt.

Som angivet på deres hjemmeside advarer FBI mod at betale en løsesum, hvis en person eller virksomhed bliver angrebet med ransomware. Ved at betale løsesummen er der ingen garanti for, at en organisation eller offer vil genvinde adgang til deres data, hvilket gør det til en risikabel og upålidelig løsning. Desværre, i nogle tilfælde, hvor ofre har betalt det løsesum, der kræves af angribere, modtager de stadig aldrig en legitim dekrypteringsnøgle til at låse deres data op. Selv hvis de får en, er det muligt, at ikke alle filer kan gendannes. Ved at betale løsesummen giver du ikke kun incitamenter til kriminelle til at fortsætte med at udføre ransomware-angreb på organisationer og enkeltpersoner, men du gør det også mere attraktivt for andre potentielle cyberkriminelle.

Populære ransomware-varianter

Med mange ransomware-varianter eksisterende er det ikke underligt, at nogle er mere succesfulde end andre. Faktisk er der et udvalgt få, der har hævet sig over resten med hensyn til effektivitet og popularitet – hvilket gør dem til at skille sig ud fra deres modparter.

1. Ryuk

Ryuk er en type ransomware, der målretter en bestemt type bruger. Det leveres normalt gennem en e-mail eller nogens loginoplysninger for at komme ind i et system. Når systemet er inficeret, krypterer Ryuk nogle filer og beder derefter om penge for at give dem tilbage.

Ryuk er berygtet for at være en af de dyreste ransomware-varianter, med gennemsnitlige løsesumskrav, der overstiger 1 million USD. På grund af dette målretter Ryuk-relaterede cyberkriminelle regelmæssigt virksomheder med adgang til rigelige finansielle ressourcer til at imødekomme disse ublu betalinger.

2. REvil (Sodinokibi)

REvil (også kendt som Sodinokibi) er en ondsindet ransomware-stamme, der hovedsageligt plager store virksomheder.

Berygtede REvil ransomware, drevet af den russisktalende gruppe siden 2019, er en af de mest berygtede cybertrusler på internettet i dag. For eksempel er de blevet holdt ansvarlige for betydelige brud som ‘Kaseya’ og ‘JBS’, hvilket gør dem til en alvorlig trussel mod virksomheder på tværs af adskillige industrier.

I løbet af de sidste par år har REvil stået ansigt til ansigt med Ryuk om titlen som den dyreste ransomware. Der er rapporter om, at denne ondsindede software har anmodet om løsesumbetalinger på op til 800.000 USD.

Oprindeligt var REvil blot en anden traditionel ransomware-variant, men den har siden udviklet sig. I øjeblikket bruger de Double Extortion-teknikken – ikke kun krypterer filer, men stjæler også data fra virksomheder. Dette betyder, at udover at anmode om en løsesum for at dekryptere data, vil angribere true med at offentliggøre de stjålne oplysninger, hvis en yderligere betaling ikke foretages.

3. Maze

Maze ransomware har opnået berygtelse for sin innovative tilgang til afpresning. Det krypterer ikke kun filer, men stjæler også følsomme data fra offerets computer og truer med at offentliggøre eller sælge dem, hvis en løsesum ikke betales. Denne truende strategi sætter mål i en endnu sværere situation – enten betale eller stå over for meget højere omkostninger på grund af et dyrt databrud.

Selvom Maze ransomware-gruppen er opløst, betyder det ikke, at ransomware-trusler nu er forældede. Flere tidligere tilknyttede Maze har skiftet til at bruge Egregor ransomware i stedet, og det er bredt spekuleret, at disse tre varianter – Sekhmet som den tredje – deler en identisk ophavsmand.

4. DearCry

I marts 2021 udgav Microsoft kritiske opdateringer for fire sårbarheder inden for deres Exchange-servere, men før alle kunne anvende rettelserne for at beskytte sig mod potentiel skade, trådte DearCry ind med en ny ransomware-variant specifikt designet til at udnytte disse svagheder.

DearCry ransomware kan låse mange filer, hvilket efterlader brugere med en løsesumseddel på deres computere, der instruerer dem i at kontakte dets operatører for at lære, hvordan de kan gendanne adgang.

5. Lapsus$

Den sydamerikanske ransomware-bande, Lapsus$, er blevet forbundet med cyberangreb på bemærkelsesværdige mål verden over. Med intimidering og potentialet for eksponering af følsomme data har cyberbanden etableret et navn for sig selv ved at afpresse sine ofre, medmindre deres krav bliver opfyldt. De har pralet af at have trængt ind i Nvidia, Samsung og Ubisoft, blandt andre globale organisationer. Denne gruppe udnytter stjålet kildekode til at få ondsindede filer til at fremstå som legitim software.

6. Lockbit

LockBit er software, der blev skabt for at forhindre folk i at få adgang til data. Det har eksisteret siden september 2019. For nylig er det blevet til en Ransomware-as-a-Service (RaaS). Dette betyder, at folk kan betale for at bruge det til at forhindre andre i at få adgang til deres data.

Ransomware dyre konsekvenser

Folk, der beskæftiger sig med ransomware, er ofte tilbageholdende med at indrømme, hvor meget løsesum de har betalt. Som skitseret i rapporten Definitive Guide to Ransomware 2022 er løsesumskravene steget drastisk; hvad der tidligere kun udgjorde encifrede betalinger, er nu udvidet til syv- og ottecifrede beløb. I de mest ekstreme tilfælde kan virksomheder have brug for at betale en heftig løsesum på 40-80 millioner USD for at få deres data tilbage. Men disse betalinger er ikke den eneste omkostning forbundet med ransomware-angreb; andre direkte og indirekte omkostninger kan forstærke en organisations økonomiske byrde. Som rapporteret i IBM's Cost of Data Breach 2021-undersøgelse udgjorde de gennemsnitlige omkostninger ved ransomware-angreb uden at inkludere løsesumbetalinger en svimlende 4,62 millioner USD i gennemsnit.

DCH Hospitals-sagen

DCH er et regionalt medicinsk center i Tuscaloosa, Alabama, der har været i drift siden 1923.

Den 1. oktober 2019 blev DCH Hospitals angrebet af ransomware. Alt elektronisk var nede. De kunne ikke tage imod nye patienter og måtte bruge alt papir til alt.

En repræsentant fra DCH afslørede, at systemet blev kompromitteret, da nogen åbnede og interagerede med en beskadiget e-mail-vedhæftning. Heldigvis blev ingen patientoplysninger kompromitteret.

DCH Hospital System kan prale af tre store hospitaler – DCH Regional Medical Center, Northport Medical Center og Fayette Medical Center – der betjener en stor del af Vest-Alabama. Disse tre medicinske faciliteter tilbyder over 850 senge og tager imod mere end 32.000 patienter årligt.

Lørdag den 5. oktober, for hurtigt at genvinde adgang til deres systemer, valgte DCH Hospitals at betale løsesummen og få en dekrypteringsnøgle fra angriberne. De har dog besluttet ikke at afsløre, hvor meget de betalte. Da sundhedssystemer er kritiske og følsomme, gør de det til nemme mål for ransomware-angreb. Ofte finder disse organisationer det mere fordelagtigt at betale løsesummen end at konfrontere potentielt datatab eller forstyrrelser. De fortrolige oplysninger, der er gemt i deres systemer, er for værdifulde til at miste. Den ondsindede ransomware, der blev brugt til at bryde sikkerheden i DCH Hospital, blev uvidende faciliteret af en medarbejder, der åbnede en phishing-e-mail med en forurenet vedhæftning. Dette gjorde det muligt for malwaren at få adgang og efterfølgende inficere deres computernetværk.

5 trin til at forhindre at blive et ransomware-offer

1. Uddan dine medarbejdere om cybersikkerhedstrusler.

For at beskytte os mod cyberangreb og for at kunne identificere deres forekomst på arbejdspladsen, skal vi anerkende vores individuelle ansvar for cybersikkerhed. Hver medarbejder bør modtage specialiseret træning i at identificere og forhindre trusler i cyberspace. Men det er i sidste ende op til den enkelte at tage den information, de har modtaget, for nøjagtigt at vurdere potentielle risici i deres daglige liv. Hændelsen på DCH Hospitals er et vigtigt eksempel på, hvor værdifuldt det kan være at have en personlig forståelse af cybersikkerhed.

Virksomheden skal informere medarbejderen om de potentielle risici ved at åbne e-mail-vedhæftninger fra ukendte afsendere, især i et arbejdsmiljø. Når du er i tvivl, er det altid bedst at konsultere nogen med erfaring, før du åbner nogen beskeder, links eller vedhæftninger. Mange virksomheder har en intern it-afdeling, der vil tage imod rapporter om et phishing-forsøg for at bekræfte, om det er legitimt over for medarbejderen. Hvis beskeden kommer fra en pålidelig kilde som din bankkonto-udbyder eller bekendte, du kender personligt, skal du kontakte dem direkte og bekræfte, at de sendte beskeden og dens indhold, før du klikker på nogen links. På denne måde kan du beskytte dig selv mod potentielle cyberangreb.

2. Sikkerhedskopier dine filer.

Hvis du nogensinde bliver målrettet af ransomware eller har mistet nogle data i et angreb og ikke ønsker at betale løsesummen, er det vigtigt at have en sikker sikkerhedskopi af dine mest værdifulde oplysninger.

For at minimere konsekvenserne af et ondsindet angreb burde DCH Hospitals have taget forebyggende foranstaltninger og sikkerhedskopieret deres væsentlige filer før hændelsen. En sikkerhedskopi ville have gjort det muligt for dem at forblive åbne og fortsætte driften uden afbrydelse på grund af ransomware.

3. Hold din software opdateret.

Cyberkriminelle udnytter ofte eksisterende svagheder til at introducere skadelig software i en enhed eller et system. Uopdaterede eller zero-day sikkerhedsfejl kan være farlige, da de enten ikke er kendt af den digitale sikkerhedsindustri eller identificeret, men ikke adresseret. Visse ransomware-grupper er blevet observeret købe efterretninger om zero-day sårbarheder fra cyberkriminelle, som de bruger til deres ondsindede operationer. Det er også kendt, at hackere kan udnytte opdaterede sikkerhedsfejl til at trænge ind i systemer og iværksætte angreb. 

Det er essentielt at anvende opdateringer regelmæssigt for at beskytte mod ransomware-angreb, der målretter software- og operativsystemsvulnerabiliteter.

4. Installer og opdater cybersikkerhedsværktøjer

Det er essentielt at opgradere cybersikkerhedsværktøjer – anti-malware og antivirussoftware, firewalls, sikre webgateways samt virksomhedsløsninger som endpoint detection and response (EDR), extended detection and response (XDR), som kan hjælpe sikkerhedsteams med at opdage ondsindet aktivitet i realtid.

5. Implementer adgangskontrolpolitikker

Organisationer bør implementere multifaktor-autentificering, zero-trust arkitektur, netværkssegmentering og relaterede sikkerhedsforanstaltninger for at beskytte sårbare data og forhindre kryptoworms i at bevæge sig til andre maskiner på netværket.

Ransomware målretter også enkeltpersoner.

Generelt fokuserer ransomware-historier på eftervirkningerne af hacks mod virksomheder eller sundhedssystemer; det er dog vigtigt at anerkende, at enkeltpersoner ikke er immune over for disse angreb. Faktisk forekommer de oftere, end man måske tror. Enkeltpersoner skal være opmærksomme på den reelle fare ved ransomware, når de bruger internettet, da det kan risikere deres sikkerhed og tryghed.

Cyberkriminelle bruger to hovedmetoder, når de implementerer ransomware: kryptering og låseskærm.

Kryptering ransomware

Cyberkriminelle målretter hovedsageligt specifikke filer gemt lokalt på enheder via kryptering ransomware. For at udvælge disse dokumenter bruger angriberen phishing-tricks eller andre former for ondsindet software til at undersøge deres mål. Når filerne er krypteret, vil offeret kræve en løsesum for at modtage dekrypteringsnøglen, der kræves for at få adgang til deres data. Hackere bruger typisk denne strategi for at få adgang til fortrolige eller følsomme oplysninger, som virksomheder forsøger hårdt at beskytte. Denne tilgang er blevet populær blandt ondsindede parter, hvilket gør virksomheder og organisationer til et almindeligt mål.

Låseskærm ransomware

Omvendt krypterer låseskærm ransomware specifikke filer og gør en brugers enhed fuldstændig ubrugelig. Låseskærm ransomware vil låse din enhed og vise en fuldskærmsmeddelelse, der er ubevægelig og umulig at minimere. Du vil blive bedt om at betale en løsesum for at låse systemet op eller gendanne mistede data eller filer.

Disse programmer anvender ofte frygttaktikker for at presse dig til at foretage betalinger, såsom et tikkende ur, der advarer om, at det vil slette alle dine filer, hvis tiden løber ud. Cyberangribere forsøger ofte at intimidere enkeltpersoner ved at fabrikere historier om, at deres enheder er forbundet med ulovlige aktiviteter eller upassende materiale og truer med at rapportere dem til myndighederne, hvis offeret ikke betaler. For yderligere at tvinge ofre til at betale løsesummen udnytter nogle ransomware-udviklere pornografisk billedmateriale og truer med, at offeret ikke kan fjerne det uden betaling.

I sidste ende

Implementering af effektive cybersikkerhedsforanstaltninger, såsom regelmæssig opdatering af din software og sikkerhedsværktøjer, håndhævelse af adgangskontrolpolitikker og at være opmærksom på de forskellige taktikker, der bruges af disse ondsindede programmer, for at beskytte din virksomhed mod ransomware-angreb. Derudover bør enkeltpersoner tage proaktive skridt for at beskytte deres enheder mod ransomware-angreb – herunder udvise forsigtighed, når de åbner e-mails eller klikker på links fra ukendte kilder. Med bevidsthed og forsigtige praksis kan vi alle hjælpe med at reducere truslen fra ransomware i vores digitale verden.