Hvad er ransomware?

Ransomware-angreb er af flere organisationer udnævnt som en af de største cybertrusler mod virksomheder, både nu og i den nærmeste fremtid.

03-05-2022 - 6 minutters læsning. Under kategorien: hacking.

Hvad er ransomware?

Ransomware-angreb er af flere organisationer udnævnt som en af de største cybertrusler mod virksomheder, både nu og i den nærmeste fremtid. Det er derfor vigtigt, at virksomheder er bekendt med denne form for cybertrussel, og hvordan den kan påvirke virksomheden.

Definition af ransomware

Ransomware er en type af malware, dvs. skadelig software som virus eller orme, der inficerer en computer, server eller netværk. Ransomware kan opdeles i to typer; locker-ransomware og crypto-ransomware. Locker-ransomware krypterer ikke data eller filer, men det gør crypto-ransomware.

Når ransomware er blevet installeret på en enhed, f.eks. en computer, krypterer eller downloader ransomwaren filer og låser derefter ejeren ude af systemerne på computeren. Al data bliver altså utilgængeligt for ejeren. Dataene kan være dokumenter, billeder, videoer osv.

Derefter får ejeren, eller offeret, at vide, at de skal betale en løsesum for at få adgang til deres data igen.

Hvordan foregår ransomware-angreb?

Da ransomware er en type af malware, skal det inficere en enhed først. Det sker typisk gennem phishing, hvor en person klikker på et link i en phishing-mail og bliver sendt til en falsk hjemme, der begynder at downloade malware til enheden.

Det kan også ske ved, at en person downloader vedhæftede filer, der er inficeret med malware, fra en phishing e-mail eller fra falske pop-up reklamer på internettet.

Locker-ransomware, der ikke krypterer, vil begynde at downloade data og filer, og de it-kriminelle bag angrebet vil lede efter følsomme data eller brugerdata. De it-kriminelle vil derefter kontakte offeret og fortælle, hvilke slags data, de er kommet i besiddelse af.

De kan true med at offentliggøre dataene eller kontakte kunder eller samarbejdspartnere og fortælle dem, at offeret ikke passer på deres brugeres data. De it-kriminelle vil kræve en løsesum for ikke at føre deres trusler ud i livet.

Crypto-ransomware, der krypterer, vil kryptere alle filer og al data på tilgængelige drev og harddiske på enheden. De it-kriminelle vil derefter kontakte offeret og kræve en løsesum. Løsesummen vil give offeret dekrypteringsnøglen, der skal bruges til at dekryptere filerne og dataene.

Ofte vil der efter et ransomware-angreb komme en låseskræm frem på en af de låste enheder, der forklarer betingelserne og hvor mange penge, ofrene skal betale. Der vil også stå, hvordan ofrene kan købe kryptovaluta, typisk Bitcoins, til at betale med.

I visse tilfælde vil de it-kriminelle give ofrene et nummer til en falsk hotline, hvor de kan få hjælp til at købe Bitcoins og overføre penge. De it-kriminelle vil nogle gange frigive enkelte filer for at bevise, at de er i stand til at dekryptere filerne og dataene.

Skal løsesummen betales?

I mange år var der ingen garanti for, at de it-kriminelle ville sende en dekrypteringsnøgle og låse op for en virksomheds systemer, hvis den betalte løsesummen. Derfor var det generelle råd, at man aldrig burde betale løsesummen.

Dette ledte til en ændring i måden, hvorpå hackere udførte ransomware-angreb. Mange virksomheder betalte ikke løsesummen, hvilket fjernede indtægtskilden for hackerne. Derfor begyndte hackere at levere ransomware as a service (RaaS).

De it-kriminelle opererer i grupper

Flere og flere hackere arbejder i store grupper eller netværk, og hackere bag ransomware-angreb sælger nu ransomware as a service. Ransomware as a service er en form for software-løsning, der indeholder selve ransomwaren, som sælges til hackere, der ikke selv har evnerne til at designe ransomwaren.

Ransomware as a service leveres altså af hackere, der er specialiseret i at udvikle ransomwaren, og bruges til at udføre angreb af andre hackere.

Hackere kan enten betale for ransomware as a service gennem en abonnementsordning eller gennem overskudsdeling, hvor de deler overskuddet fra løsesummen med de hackere, de får fået ransomwaren af.

Fordi betalingen af ransomware as a service via overskudsdeling afhænger af, at virksomhederne betaler løsesummen, garanterer hackerne bag ransomware-angreb, at virksomhederne får deres data tilbage, hvis de betaler.

Konsekvenser af et ransomware-angreb

En virksomhed, der bliver offer for ransomware, kan lide et stort økonomisk tab, da virksomhedens produktivitet typisk stopper under og kort efter angrebet.

Virksomheden kan også tabe meget data, som både kan være forretningsfølsomme eller personfølsomme oplysninger. Hvis hackerne frigiver dataene og/eller kontakter kunder og samarbejdspartnere, kan dette skade virksomhedens omdømme og stakeholdere kan miste tilliden til virksomheden.

I meget alvorlige sager kan virksomhederne risikere retssager, hvis stakeholdere sagsøger dem.

Ransomware stopper virksomhedens produktivitet, så det første skridt efter et angreb er at begrænse angrebet så meget som muligt. Derefter kan virksomheden enten gendanne filer og data fra sikkerhedskopier, som de forhåbentlig har, eller betale løsesummen.

Politiet eller efterretningstjenester kan blive involveret, men sporing af ransomware-hackere kræver mange ressourcer, der ofte forsinker virksomhedens genopretning til normal drift. Derudover er det meget svært at fange hackere, da de efterhånden er blevet eksperter i at skjule deres spor.

Eksempler på kendte typer af ransomware

WannaCry: Denne type af ransomware udnyttede et stort sikkerhedshul i Microsoft Windows operativsystem, kaldet EternalBlue, til at skabe en verdensomspændende ransomware-orm i 2017, der inficerede over 250.000 systemer, før en killswitch blev udløst.

NotPetya: Denne form for ransomware anses for at være en af de mest skadelige, der findes. NotPetya blev brugt i et verdensomspændende cyberangreb i 2017, der startede med at inficere systemer i Ukraine. NotPetya inficerer og krypterer den såkaldte ”master boot record” i Microsoft Windows-baserede systemer og udnytter samme sårbarhed som WannaCry for at sprede sig hurtigt.

Nogen klassificerer den som en ”wiper”, da skaden forvoldt af NotPetya ikke kan laves om, og ransomwaren er designet således, at det næsten er umuligt at gendanne de ramte systemer.

Det var også NotPetya, der ramte Mærsk i 2017 og kostede virksomheden mellem $250 og $300 millioner dollars.

CryptoLocker: Dette var en af de første typer af ransomware-angreb, der krævede kryptovaluta, i form af Bitcoin, for at dekryptere brugernes data.

Det blev spredt via en vedhæftet fil i e-mails, der angiveligt var fra FedEx og UPS, i 2013. Angrebet kostede ofrene omkring $27 millioner dollars i alt, inden et dekrypteringsværktøj blev udgivet i 2014.

Bad Rabbit: Bad Rabbit virker på samme som NotPetya, men er anderledes, da det er muligt for ofrene at få dekrypteret deres filer, hvis løsesummen betales. I de fleste tilfælde blev Bad Rabbit spredt via en falsk Flash player opdatering.

Beskyt dine filer og data

Der er flere måder, hvorpå en virksomhed kan øge deres sikkerhed og beskytte sig selv mod ransomware-angreb. Vi har lavet en guide til virksomheder med gode råd, som kan læses her: Sådan opbygger du en god ransomware beskyttelse.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg