Utpressningsprogram: Vad det är och hur du skyddar dig själv

Ransomware is a type of malicious software or malware that virtually holds your data hostage, locking up your computer and threatening to keep it locked until you pay the attacker’s ransom. The International Business Machines Corporation (IBM) reports that in 2021, ransomware attacks accounted for 21% of all cyberattacks and resulted in a staggering USD 20 billion loss.

Vad är Ransomware?

Tidigare var ransomware-attacker enbart inriktade på att låsa en persons data eller enhet tills de betalade pengar för att låsa upp den. 

Numera tar dock cyberbrottslingarna saken till en helt ny nivå. X-Force Threat Intelligence Index 2022 avslöjade att praktiskt taget alla ransomware-attacker nu har antagit strategin "dubbel utpressning", som inte bara låser data utan också förväntar sig en lösensumma för att förhindra stöld. Dessutom introducerar dessa illvilliga cyberbrottslingar ytterligare ett hot i sin repertoar - trippelutpressningskampanjer som involverar DDoS-attacker (Distributed Denial of Service) - och de blir allt vanligare.

Ransomware och skadlig kod

För att bättre förstå ransomware måste vi först undersöka vad malware (skadlig programvara) är och vad det innebär.

Malware - en term som ger upphov till fler frågor än svar. Är det skadlig programvara, eller används den helt enkelt för skumma syften? Som med många aspekter av cybersäkerhet finns det inget enda svar på den här frågan; istället är det ett intrikat och komplext område där vi måste överväga flera faktorer. Programvaran kan vara illvillig i sig, men det är människan som använder programvaran som i slutändan avgör om och hur illvillig den kommer att vara.

Cyberhoten är breda, från destruktiva virus till listiga trojaner. Men det finns en unik variant som är ännu farligare än dessa - ransomware. Avslöja mysteriet bakom denna skadliga programvara och lär dig hur du skyddar dig mot den!

Hur fungerar utpressningstrojaner?

Ransomware är utformat för att låsa åtkomst till och allt innehåll i måldatorn eller nätverket tills angriparen får betalt. Ännu mer sofistikerade attacker kan initiera kryptering på disknivå med en sådan intensitet att det, utan att betala lösen, skulle vara omöjligt att dekryptera några filer. Från 2013 till 2020 noterade FBI:s Internet Crime Complaint Center en dramatisk ökning av 243% rapporterade ransomware-fall.

Till skillnad från andra former av cyberbrottslighet kräver ransomware att dess offer samarbetar med brottslingen för att det ska lyckas.

Som framgår av deras webbplats varnar FBI för att betala en lösensumma om en individ eller ett företag attackeras med ransomware. Genom att betala lösen finns det ingen garanti för att en organisation eller ett offer kommer att få tillgång till sina data, vilket gör det till en riskabel och opålitlig lösning. I vissa fall, där offren har betalat den lösensumma som angriparna kräver, får de tyvärr aldrig en legitim dekrypteringsnyckel för att låsa upp sina data. Även om de får en, är det möjligt att inte alla filer kan återställas. Genom att betala lösensumman ger du inte bara incitament för brottslingar att fortsätta utföra ransomware-attacker mot både organisationer och individer, utan du gör det också mer attraktivt för andra potentiella cyberbrottslingar.

Populära ransomware-varianter

Med många ransomware-varianter som finns är det inte konstigt att vissa är mer framgångsrika än andra. Faktum är att det finns några få utvalda som har stigit över resten när det gäller effektivitet och popularitet - vilket gör att de sticker ut från sina motsvarigheter.

1. Ryuk

Ryuk är en typ av ransomware som riktar sig till en viss typ av användare. Det levereras vanligtvis via ett e-postmeddelande eller någons inloggningsinformation för att komma in i ett system. När systemet är infekterat krypterar Ryuk vissa filer och ber sedan om pengar för att ge tillbaka dem.

Ryuk är ökänt för att vara en av de dyraste ransomware-sorterna, med genomsnittliga lösenkrav som överstiger $1 miljoner. På grund av detta riktar Ryuk-relaterade cyberbrottslingar regelbundet företag med tillgång till stora ekonomiska resurser för att möta dessa orimliga betalningar.

2.REvil (Sodinokibi)

REvil (även känd som Sodinokibi) är en skadlig ransomware-stam som främst plågar storskaliga företag.

Det ökända utpressningsprogrammet REvil, som drivs av den rysktalande gruppen sedan 2019, är ett av de mest ökända cyberhoten på internet idag. De har till exempel hållits ansvariga för betydande intrång som "Kaseya" och "JBS", vilket gör dem till ett allvarligt hot mot företag i många olika branscher.

Under de senaste åren har REvil gått head-to-head med Ryuk för titeln mest kostsamma ransomware. Rapporter har dykt upp om att denna skadliga programvara begärde lösenbetalningar på upp till $800,000.

Ursprungligen var REvil bara en annan traditionell ransomware-variant, men den har sedan dess utvecklats. För närvarande använder de Double Extortion-tekniken - inte bara krypterar filer utan stjäl också data från företag. Detta innebär att förutom att begära en lösen för att dekryptera data, kommer angripare att hota att offentligt avslöja den stulna informationen om en ytterligare betalning inte görs.

3. Labyrint

Maze ransomware har blivit känt för sitt innovativa sätt att utpressa. Det krypterar inte bara filer utan stjäl också känslig information från offrets dator och hotar att offentliggöra den eller sälja den om en lösensumma inte betalas. Denna hotfulla strategi försätter offren i en ännu svårare situation - antingen betalar man eller så får man stå ut med mycket högre kostnader på grund av ett dyrt dataintrång.

Även om Maze ransomware-gruppen har upplösts betyder det inte att ransomware-hot nu är föråldrade. Flera tidigare anslutna till Maze har övergått till att använda Egregor ransomware istället, och det spekuleras allmänt om att dessa tre varianter - Sekhmet är den tredje - delar en identisk upphovsman.

4. DearCry

In March 2021, Microsoft released critical updates for four vulnerabilities within their Exchange servers, yet before everyone could apply the fixes to protect themselves from potential harm; DearCry stepped in with a new ransomware variant specifically designed to exploit these weaknesses.

DearCry ransomware kan låsa många filer och lämna användare med en lösensumma på sina datorer som instruerar dem att kontakta operatörerna för att lära sig hur man återställer åtkomsten.

5. Lapsus$

Den sydamerikanska ransomware-gänget Lapsus$ har kopplats till cyberattacker mot anmärkningsvärda mål över hela världen. Med hot och risk för att känsliga data exponeras har cyberligan skapat sig ett namn genom att utpressa sina offer om inte deras krav uppfylls. De har skrytit med att ha penetrerat Nvidia, Samsung och Ubisoft, bland andra globala organisationer. Gruppen använder sig av stulen källkod för att få skadliga filer att framstå som legitim programvara.

6. Lockbit

LockBit är en programvara som skapades för att hindra människor från att komma åt data. Det har funnits sedan september 2019. Nyligen har det blivit en Ransomware-as-a-Service (RaaS). Det innebär att människor kan betala för att använda den för att hindra andra från att komma åt deras data.

Ransomware kostsamma konsekvenser

Människor som har att göra med ransomware är ofta försiktiga med att erkänna hur mycket lösen de har betalat. Som framgår av rapporten Definitive Guide to Ransomware 2022 har kraven på lösensummor ökat drastiskt; det som tidigare endast bestod av ensiffriga belopp har nu utökats till sju- och åttasiffriga belopp. I de mest extrema fallen kan företag behöva betala en rejäl lösensumma på 40-80 miljoner USD för att få tillbaka sina data. Men dessa betalningar är inte den enda kostnaden i samband med ransomware-attacker; andra direkta och indirekta kostnader kan förvärra en organisations ekonomiska börda. Enligt IBM:s studie Cost of Data Breach 2021 uppgick standardkostnaden för ransomware-attacker utan att inkludera lösensummor till svindlande 4,62 miljoner USD i genomsnitt.

Fallet med DCH-sjukhusen

DCH är ett regionalt medicinskt centrum i Tuscaloosa, Alabama, med verksamhet sedan 1923.

Den 1 oktober 2019 attackerades DCH Hospitals av utpressningstrojaner. Allt elektroniskt var nere. De kunde inte ta emot några nya patienter och var tvungna att använda papper för allt.

En representant från DCH avslöjade att systemet äventyrades när någon öppnade och interagerade med en skadad e-postbilaga. Lyckligtvis äventyrades ingen patientinformation.

DCH Hospital System har tre stora sjukhus - DCH Regional Medical Center, Northport Medical Center och Fayette Medical Center - som betjänar en stor del av West Alabama. De tre sjukhusen har över 850 bäddar och tar emot mer än 32.000 patienter årligen.

On Saturday, October 5th, in order to swiftly regain access to their systems, DCH Hospitals opted to pay the ransom and obtain a decryption key from the attackers. However, they have decided not to disclose how much they paid. As healthcare systems are critical and sensitive, they make easy targets for ransomware attacks. Often, these organizations find paying the ransom more beneficial than confronting potential data loss or disruptions. The confidential information stored in their systems is too valuable to lose. The malicious ransomware utilized to breach the security of DCH Hospital was unknowingly facilitated by an employee who opened a phishing email containing a contaminated attachment. This enabled the malware to gain access and subsequently infect their computer network.

5 steg för att förhindra att bli offer för ransomware

1. Utbilda dina anställda om cybersäkerhetshot.

För att skydda oss mot cyberattacker och för att kunna identifiera förekomsten av sådana på arbetsplatsen måste vi erkänna vårt individuella ansvar för cybersäkerheten. Alla medarbetare bör få specialutbildning i hur man identifierar och förebygger hot från cyberrymden. Men det är i slutändan upp till varje individ att använda den information de har fått för att göra en korrekt bedömning av potentiella risker i sitt dagliga liv. Incidenten på DCH Hospitals är ett viktigt exempel på hur värdefullt det kan vara att ha en personlig förståelse för cybersäkerhet.

Företaget måste informera den anställde om de potentiella riskerna med att öppna e-postbilagor från okända avsändare, särskilt i en arbetsmiljö. I tveksamma fall är det alltid bäst att rådfråga någon med erfarenhet innan man öppnar meddelanden, länkar eller bilagor. Många företag har en egen IT-avdelning som tar emot alla rapporter om nätfiskeförsök för att bekräfta om det är legitimt för den anställde. Om meddelandet kommer från en tillförlitlig källa, t.ex. din bank eller bekanta som du känner personligen, ska du kontakta dem direkt och bekräfta att de har skickat meddelandet och dess innehåll innan du klickar på eventuella länkar. På så sätt kan du skydda dig mot potentiella cyberattacker.

2. Säkerhetskopiera dina filer.

Om du någonsin utsätts för ransomware eller om du förlorar data i en attack och inte vill betala lösensumman är det viktigt att ha en säker säkerhetskopia av din mest värdefulla information.

För att minimera konsekvenserna av en skadlig attack borde DCH Hospitals ha vidtagit förebyggande åtgärder och säkerhetskopierat sina viktiga filer före händelsen. En säkerhetskopia skulle ha gjort det möjligt för dem att hålla öppet och fortsätta verksamheten utan avbrott på grund av ransomware.

3. Håll din programvara uppdaterad.

Cyberbrottslingar utnyttjar ofta befintliga svagheter för att införa skadlig programvara i en enhet eller ett system. Säkerhetsbrister som inte åtgärdats, eller nolldagssårbarheter, kan vara farliga eftersom de antingen inte är kända av branschen för digital säkerhet eller är identifierade men ännu inte åtgärdade. Vissa ransomware-grupper har observerats köpa underrättelser om nolldagssårbarheter från cyberbrottslingar, som de använder för sina skadliga operationer. Det är också känt att hackare kan utnyttja patchade säkerhetsbrister för att ta sig in i system och utföra attacker. 

Det är viktigt att använda uppdateringar regelbundet för att skydda mot ransomware-attacker som riktar sig mot sårbarheter i programvara och operativsystem.

4. Installera och uppdatera cybersäkerhetsverktyg

Det är viktigt att uppgradera cybersäkerhetsverktygen - anti-malware och antivirusprogram, brandväggar, säkra webbgateways samt företagslösningar som endpoint detection and response (EDR) och extended detection and response (XDR), som kan hjälpa säkerhetsteamen att upptäcka skadlig aktivitet i realtid.

5. Implementera policyer för åtkomstkontroll

Organisationer bör implementera multifaktorautentisering, nollförtroendearkitektur, nätverkssegmentering och relaterade skyddsåtgärder för att skydda sårbar data och hindra kryptomaskar från att överföras till andra maskiner i nätverket.

Ransomware riktar sig även till enskilda personer.

I allmänhet fokuserar ransomware-berättelser på efterdyningarna av hackningar av företag eller sjukvårdssystem; det är dock viktigt att inse att individer inte är immuna mot dessa attacker. Faktum är att de förekommer oftare än du kanske tror. Individer måste vara medvetna om ransomware's verkliga fara när de använder internet, eftersom det kan riskera deras säkerhet och säkerhet.

Cyberbrottslingar använder två huvudsakliga metoder när de distribuerar utpressningstrojaner: kryptering och låsskärm.

Kryptering ransomware

Cyberbrottslingar riktar främst in sig på specifika filer som sparats lokalt på enheter via krypteringsutpressning. För att välja ut dessa dokument använder angriparen phishing-trick eller andra former av skadlig programvara för att undersöka sitt mål. När filerna är krypterade kommer offret att kräva en lösensumma för att få den dekrypteringsnyckel som krävs för att få tillgång till deras data. Hackare använder vanligtvis den här strategin för att komma åt konfidentiell eller känslig information som företag försöker skydda. Detta tillvägagångssätt har blivit populärt bland illvilliga parter, vilket gör företag och organisationer till ett vanligt mål.

Lås skärm ransomware

Omvänt krypterar ransomware för låsskärm specifika filer och gör en användares enhet helt obrukbar. Locking-screen ransomware låser upp din enhet och visar ett meddelande på helskärm som inte kan flyttas och inte kan minimeras. Du blir ombedd att betala en lösensumma för att låsa upp systemet eller hämta förlorade data eller filer.

Dessa program använder ofta skrämseltaktik för att pressa dig att göra betalningar, till exempel en tickande klocka som varnar för att den kommer att radera alla dina filer om tiden går ut. Cyberangripare försöker ofta skrämma individer genom att fabricera historier om att deras enheter är kopplade till olagliga aktiviteter eller olämpligt material och hotar att rapportera dem till myndigheterna om offret inte betalar. För att ytterligare tvinga offren att betala lösensumman utnyttjar vissa ransomware-utvecklare pornografiska bilder och hotar att offret inte kan ta bort det utan betalning.

I slutändan

Genom att implementera effektiva cybersäkerhetsåtgärder, t.ex. genom att regelbundet uppdatera programvara och säkerhetsverktyg, tillämpa policyer för åtkomstkontroll och vara medveten om de olika taktiker som används av dessa skadliga program, kan du skydda ditt företag mot ransomware-attacker. Dessutom bör privatpersoner vidta proaktiva åtgärder för att skydda sina enheter från ransomware-attacker - bland annat genom att vara försiktig när man öppnar e-postmeddelanden eller klickar på länkar från okända källor. Med medvetenhet och försiktiga metoder kan vi alla bidra till att minska hotet från ransomware i vår digitala värld.