Cyberangreb og cyberkriminelles metoder er i konstant udvikling og forandring. Det betyder, at angrebene bliver mere sofistikerede samtidigt med, at de får større omkostninger for ofrene. Multiple extortion ransomware er en relativt ny metode, der, kort sagt, indebærer ransomware-angreb kombineret med afpresningsteknikker for at øge presset på offeret.
Ransomware betragtes som en af de største cybertrusler mod virksomheder, og det kan have ødelæggende konsekvenser at blive udsat for multiple extortion ransomware. Læs med, når vi går i dybden med, hvad multiple extortion ransomware er, og hvordan din organisation kan undgå at blive offer.
Definitionen på ransomware
Ransomware er en type af malware - en ondsindet software - som inficerer en computer, server eller netværk. Man opdeler ransomware i locker-ransomware og crypto-ransomware, hvoraf den første ikke krypterer filer og data, mens crypto-ransomware gør.
Når først ransomware er installeret på ens computer, krypterer eller downloader den filer og låser derefter ejeren ude af systemerne. Med andre ord bliver dataen utilgængelig for ejeren. Offeret bliver herefter påkrævet at betale en løsesum, ofte i kryptovaluta, til bagmændene for at få sin data låst op igen. På den måde kan ransomware betragtes som en gidselsituation, hvor data, filer eller hele systemer tages som gidsel.
Ransomware-angreb indledes typisk med phishing, hvor et offer får sendt en mail med et ondsindet link eller vedhæftet fil. Når der klikkes på dette link eller filen, bliver der downloadet malware på enheden.
Hvad er et multiple extortion ransomware-angreb?
I et multiple extortion ransomware-angreb tages det klassiske ransomware-angreb til næste niveau. Det vil sige, at data, filer eller systemer låses eller krypteres, og der bliver fremsat krav om løsesum - ligesom på almindeligvis i ransomware.
Men multiple extortion ransomware tager skridtet videre. Der bliver derfor yderligere truet med eksempelvis at offentliggøre den stjålne data, som ofte vil indeholde følsomme eller fortrolige oplysninger, sælge den på the dark web eller måske slette den, hvis ikke der bliver betalt inden den fremsatte deadline.
Formålet med multiple extortion ransomware er således at presse offeret yderligere til at betale løsesum. Metoden kommer i kølvandet på usuccesfulde ransomware-angreb, hvor ofre i stedet for at betale løsesum har været i stand til at genskabe eller låse data eller systemer op på egen hånd, fordi man har haft opdaterede backups.
Et eksempel på dette er angrebet på den danske 7-Eleven kæde, som i august 2022 var ramt af et ransomware-angreb, der som konsekvens lukkede samtlige 175 butikker landet over. 7-Eleven formåede på egen hånd at komme tilbage i fuld drift ovenpå angrebet efter et par dage, uden at betale løsesum eller overhovedet indgå i dialog med bagmændene.
For mange organisationer vil det have ødelæggende konsekvenser, hvis fortrolige eller følsomme oplysninger bliver lækket - og netop derfor er multiple extortion ransomware så effektivt og farligt.
Forskellige typer afpresning
Der findes flere forskellige teknikker og metoder indenfor multiple extortion ransomware, som listet herunder:
-
Læk eller offentliggørelse af data: Denne metode handler om, at cyberkriminelle foruden kryptering eller låsning af filer truer med at lække eller offentliggøre data. Ved denne metode exfiltrerer de kriminelle bagmænd dataen før de låser eller krypterer den, så de er i stand til at lække eller sælge den.
-
DDoS: Ved denne metode truer bagmændene med at forstyrre driften af virksomhedens aktivitet som yderligere afpresning, hvis truslen om fx læk eller offentliggørelse slår fejl. Her udfører bagmændene et såkaldt DDoS-angreb eller overbelastningsangreb, som kan få serveren eller netværket til at bryde sammen.
-
Kontakt til offerets kunder eller andre interessenter: For at øge presset kan bagmændene true med at kontakte organisationens kunder eller øvrige relevante interessenter direkte. Denne trussel kan være effektiv, fordi kontakt til kunder kan have alvorlige konsekvenser for en organisations omdømme.
-
Kontakt til offerets konkurrenter: Bagmændene kan true med at sælge den stjålne data til organisationens konkurrenter, som potentielt kan være interesserede i at få indblik i fortrolig forretningsinformation.
Listen er ikke udtømmende, og multiple extortion ransomware kan således involvere forskellige taktikker for at øge presset på et offer. Bagmændene kan tage en eller flere teknikker i brug.
Sådan forebygger du multiple extortion ransomware
Multiple extortion ransomware-angreb er ekstremt farlige og omkostningsfulde for ofrene. Desværre kan European Union Agency for Cybersecurity (ENISA) i deres seneste rapport om trusselsbilledet i 2022 berette om, at der er en stigende tendens til ransomware med afpresning, og at metoderne hertil er under konstant udvikling og dermed bliver mere hyppige, farlige og aggressive.
Heldigvis kan man som organisation tage nogle forholdsregler, som minimerer risikoen for, at det skulle ske. Vi anbefaler følgende:
Brug sikkerhedssoftware
Antivirusprogrammer er essentielle for at holde malware ude af systemerne. I forlængelse heraf er det vigtigt ofte at køre en scanning på enhedernes operativsystem for at undgå virus. Indholdsfiltre på organisationens e-mailservere er også vigtige at have, da de kan være med til at forhindre phishingmails i at finde vej til medarbejdernes indbakker.
Husk regelmæssige opdateringer
Det er vigtigt at opdatere systemerne regelmæssigt for at holde virus og malware ude. På den måde er man nemlig sikker på at have de nyeste sikkerhedsopdateringer, hvilket gør systemerne mindre sårbare.
Husk backups
Det er godt at have en backup af al data og filer, og at den opbevares på et offline netværk eller en ekstern harddisk. På den måde er man bedre stillet i tilfælde af et cyberangreb, og man risikerer således ikke at miste alt.
Sørg for at have en beredskabsplan
Som organisation er det vigtigt at have en drejebog over potentielle trusler og sårbarheder vedrørende cybersikkerheden.
Ved at være forberedt på den måde kan man nemlig udarbejde en beredskabsplan, som indebærer en klar plan over, hvordan man skal agere i tilfælde af et sikkerhedsbrud. Dette gør, at man kan håndtere og afværge et eventuelt angreb effektivt og hurtigst muligt.
Det er desuden vigtigt at teste beredskabsplanen, så alle relevante medarbejdere er klar over, hvordan de skal agere og kommunikere videre til andre i tilfælde af et cyberangreb.
Sørg for at dine medarbejdere er bekendt med cybertruslen
Et vigtigt værktøj er at træne medarbejdere i cybersecurity awareness herunder i at identificere phishingmails. Det kan man gøre ved at modtage simulerede phishingmails i indbakken. Ifølge internetudbyderen Verizon skyldes 82% af alle sikkerhedsbrud og -hændelser nemlig et menneskeligt element, dvs. personlige phishingmails eller menneskelige fejl. Ligeledes indledes ransomware-angreb typisk med phishing.
Når man modtager mails, er det en god idé at tjekke e-mailadressen på afsenderen, da den ofte vil kunne afsløre, om det er en legitim afsender eller ej. Her skal man holde øje med domænenavnet, dvs. det, der kommer efter “@”. Herudover er det et godt trick at holde musen over linket uden at klikke. På den måde vil du nemlig kunne læse URL’en og se, om den er legitim eller fører til en ondsindet side.
Kilder
- ENISA, “ENISA Threat Landscape 2022.”
- Verizon, “2022 Data Breach Investigations Report.”
Emilie Hartmann
Emilie er ansvarlig for Moxsos content- og kommunikationsindsats. Hun brænder for at øge opmærksomheden på den menneskelige del af cybersikkerhed og forbinde mennesker og teknologi.
Se alle indlæg af Emilie Hartmann