Ransomware-angreb er af flere organisationer udnævnt som en af de største cybertrusler mod virksomheder, både nu og i cyberverdens fremtid. Det er derfor vigtigt, at virksomheder er bekendt med denne form for cybertrussel, og hvordan den kan påvirke virksomheden.
Definition af ransomware
Ransomware er en type af malware, dvs. skadelig software som virus eller orme, der inficerer en computer, server eller netværk. Ransomware kan opdeles i to typer; locker-ransomware og crypto-ransomware. Locker-ransomware krypterer ikke data eller filer, men det gør crypto-ransomware.
Når ransomware er blevet installeret på en enhed, f.eks. en computer, krypterer eller downloader ransomwaren filer og låser derefter ejeren ude af systemerne på computeren. Al data bliver altså utilgængeligt for ejeren. Dataene kan være dokumenter, billeder, videoer osv.
Derefter får ejeren, eller offeret, at vide, at de skal betale en løsesum for at få adgang til deres data igen.
Der findes mange forskellige former for malware, der, ligesom ransomware, gør stor skade på offeret:
- Spyware
- Adware
- Scareware
Hvordan foregår ransomware-angreb?
Da ransomware er en type af malware, skal det inficere en enhed først. Det sker typisk gennem phishing, hvor en person klikker på et link i en phishing-mail og bliver sendt til en falsk hjemmeside, der begynder at downloade malware til enheden.
Det kan også ske ved, at en person downloader vedhæftede filer eller trykker på links, der er inficeret med malware, fra en phishing e-mail eller fra falske pop-up reklamer på internettet.
Locker-ransomware er som sagt ransomware, der ikke krypterer filerne. Det vil derimod begynde at downloade data og filer, og de it-kriminelle bag angrebet vil lede efter følsomme data eller brugerdata. De it-kriminelle vil derefter kontakte offeret og fortælle, hvilke slags data, de er kommet i besiddelse af.
De kan true med at offentliggøre dataene eller kontakte kunder eller samarbejdspartnere og fortælle dem, at offeret ikke passer på deres brugeres data. De it-kriminelle vil kræve en løsesum for ikke at føre deres trusler ud i livet.
Crypto-ransomware er ransomware, der vil kryptere alle filer og al data på tilgængelige drev og harddiske på enheden, der bliver angrebet. De it-kriminelle vil derefter kontakte offeret og kræve en løsesum. Løsesummen vil give offeret dekrypteringsnøglen, der skal bruges til at dekryptere filerne og dataene.
Typisk vil der efter et ransomware-angreb komme en låseskræm frem på en af de låste enheder, der forklarer betingelserne og hvor mange penge, ofrene skal betale. Der vil også stå, hvordan ofrene kan købe kryptovaluta, typisk Bitcoins, til at betale med.
I visse tilfælde vil de it-kriminelle give ofrene et nummer til en falsk hotline, hvor de kan få hjælp til at købe Bitcoins og overføre penge. De it-kriminelle vil nogle gange frigive enkelte filer for at bevise, at de er i stand til at dekryptere filerne og dataene.
Skal løsesummen betales?
I mange år var der ingen garanti for, at de it-kriminelle ville sende en dekrypteringsnøgle og låse op for en virksomheds systemer, hvis den betalte løsesummen. Derfor var det generelle råd, at man aldrig burde betale løsesummen. En anden ting man bør gøre er, at have opdaterede sikkerhedskopier af sin data, så man kan gendanne eventuelt kompromitteret data.
Dette ledte til en ændring i måden, hvorpå hackere udførte ransomware-angreb. Mange virksomheder betalte ikke løsesummen, hvilket fjernede indtægtskilden for hackerne. Derfor begyndte hackere at levere ransomware-as-a-service (RaaS) eller malware-as-a-service (MaaS).
De it-kriminelle opererer i grupper
Flere og flere hackere arbejder i store grupper eller netværk, og hackere bag ransomware-angreb sælger nu ransomware-as-a-service. Ransomware-as-a-service er en form for software-løsning, der indeholder selve ransomwaren, som sælges til hackere, der ikke selv har evnerne til at designe ransomwaren.
Ransomware-as-a-service leveres altså af hackere, der er specialiseret i at udvikle ransomwaren, og bruges til at udføre angreb af andre hackere.
Hackere kan enten betale for ransomware-as-a-service gennem en abonnementsordning eller gennem overskudsdeling, hvor de deler overskuddet fra løsesummen med de hackere, de får fået ransomwaren af.
Fordi betalingen af ransomware-as-a-service via overskudsdeling afhænger af, at virksomhederne betaler løsesummen, garanterer hackerne bag ransomware-angreb, at virksomhederne får deres data tilbage, hvis de betaler.
Konsekvenser af et ransomware-angreb
En virksomhed, der bliver offer for ransomware, kan lide et stort økonomisk tab, da virksomhedens produktivitet typisk bliver afbrudt under og i en kort periode efter angrebet.
Virksomheden kan også tabe meget data, som både kan være forretningsfølsomme eller personfølsomme oplysninger. Hvis hackerne frigiver dataene og/eller kontakter kunder og samarbejdspartnere, kan dette skade virksomhedens omdømme og stakeholders kan miste tilliden til virksomheden.
I meget alvorlige sager kan virksomhederne risikere retssager, hvis stakeholders sagsøger dem.
Ransomware stopper virksomhedens produktivitet, så det første skridt efter et angreb er at begrænse angrebet så meget som muligt. Derefter kan virksomheden enten gendanne filer og data fra sikkerhedskopier, som de forhåbentlig har, eller betale løsesummen.
Politiet eller efterretningstjenester kan blive involveret, men sporing af ransomware-hackere kræver mange ressourcer, der ofte forsinker virksomhedens genopretning til normal drift. Derudover er det meget svært at fange hackere, da de efterhånden er blevet eksperter i at skjule deres spor.
Eksempler på kendte typer af ransomware
WannaCry: Denne type af ransomware udnyttede et stort sikkerhedshul i Microsoft Windows styresystemet, kaldet EternalBlue, til at skabe en verdensomspændende ransomware-orm i 2017, der inficerede over 250.000 systemer, før en killswitch blev udløst.
NotPetya: Denne form for ransomware anses for at være en af de mest skadelige, der findes. NotPetya blev brugt i et verdensomspændende cyberangreb i 2017, der startede med at inficere systemer i Ukraine. NotPetya inficerer og krypterer den såkaldte ”master boot record” i Microsoft Windows-baserede systemer og udnytter samme sårbarhed som WannaCry for at sprede sig hurtigt.
Nogen klassificerer den som en ”wiper”, da skaden forvoldt af NotPetya ikke kan laves om. Ransomwaren er designet således, at det næsten er umuligt at gendanne de ramte systemer.
Det var også NotPetya, der ramte Mærsk i 2017 og kostede virksomheden mellem $250 og $300 millioner dollars.
CryptoLocker: Dette var en af de første typer af ransomware-angreb, der krævede kryptovaluta, i form af Bitcoin, for at dekryptere brugernes data.
Det blev spredt via en vedhæftet fil i e-mails, der angiveligt var fra FedEx og UPS, i 2013. Angrebet kostede ofrene omkring $27 millioner dollars i alt, inden et dekrypteringsværktøj blev udgivet i 2014.
Bad Rabbit: Bad Rabbit virker på samme som NotPetya, men er anderledes, da det er muligt for ofrene at få dekrypteret deres filer, hvis løsesummen betales. I de fleste tilfælde blev Bad Rabbit spredt via en falsk Flash player opdatering.
Der er flere danske og internationale virksomheder der senere hen er blevet ramt af cyberangreb, hvor hackeren har brugt ransomware. Det er bl.a. Forsvaret, 7Eleven og Google.
Beskyt dine filer og data
Der er flere måder, hvorpå en virksomhed kan øge deres sikkerhed og beskytte sig selv mod ransomware-angreb. Vi har lavet en guide til virksomheder med gode råd, som kan læses her: Sådan opbygger du en god ransomware beskyttelse.
Dette blogindlæg er opdateret dn. 24-07-2023 af Sofie Meyer.
Sofie Meyer
Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.
Se alle indlæg af Sofie Meyer