Cybertruslen er en trussel, der konstant forandrer og udvikler sig. Der kommer nye og mere snedige måder, hvorpå hackere kan infiltrere systemer, men de opdager også nye måder, de kan opnå adgang. En af de måder er royal ransomware.
Hacking der kan koste dyrt
Mange i cyberverden er bekendt med begrebet ransomware. For at genopfriske det, så er det i korte træk en metode hackere bruger til at tjene penge på din data. Når de har hacket sig adgang til dokumenter, filer og systemer, vil de låse offeret ude - og nægte dem adgang til dokumenterne eller kryptere dem, så man ikke kan se dem. Hackerne forlanger efterfølgende penge, eller en løsesum (jf. “ransom”), for at give adgang til dokumenterne igen. Mange vil betale de høje summer for at få deres dokumenter tilbage, så det er blevet en populær angrebsmetode for hackere.
Hackere bruger ofte ransomware-angreb på større virksomheder, da det er dér pengene og de vigtige informationer er. Et eksempel fra Danmark var i 2022, da 7-Eleven blev ramt af et ransomware-angreb. Samtlige 175 butikker blev lukket ned, fordi deres kassesystemer gik i sort. Her stod en hackergruppe bag, som forlangte 7 million kroner, betalt i kryptovaluta. For at 7-Eleven kunne åbne sine butikker igen, mente hackergruppen, at virksomheden skulle betale den høje løsesum.
- 7-Eleven valgte at forholde sig passivt til bagmændene. I stedet geninstallerede de programmer og systemer selv.
For at kunne gøre dette, kræver det at man har sikkerhedskopier af sine filer og data - hvis dette er tilfældet, kan man gendanne sikkerhedskopien, og dermed undgå at betale løsesummen.
En royal løsesum
Der dukkede en ny form for ransomware op i starten af 2022: Det var en type ransomware, der bragte store summer penge ind til hackergrupperne; nemlig, royal ransomware. Fordi den kostede virksomheder så mange millioner, blev royal ransomware kendt som en af de mest brutale hackingmetoder i 2022.
Hackergruppen Dev-0569, der også står bag royal ransomware metoden, tilføjede hele 43 nye virksomheder til deres offerliste - ved hver ransomware-angreb, forlangte de mellem 1.7 og 13 millioner kroner. Deres ofre var virksomheder fra hele verden, og de ramte ydermere en større teknikvirksomhed med en løsesum på hele 400 millioner kroner, for at give virksomheden deres data tilbage.
- Dev-0569 er en hackergruppe, der går efter de større virksomheder og organisationer. De forlanger derfor også større summer for at returnere dataen. Dev-0569 afviger mere fra den normale ransomware-metode, hvilket ses i deres opfindelse af royal ransomware-angrebene. Typisk vil hackergrupper lave angrebet som ransomware-as-a-service-angreb (RaaS).
RaaS er en forretningsmodel, som hackere bruger til at sælge og udleje ransomware til købere. RaaS er en af hovedårsagerne til, at ransomware-angreb er i så stor en stigning i cyberverden.
Men, Dev-0569 benytter ikke den klassiske RaaS. De køber tværtimod direkte adgang til virksomheders netværk. De køber disse informationer fra undergrundsaktører (Inital Access Brokers - IAB), og på den måde kan de styre angrebene inde fra virksomhedernes netværk.
Hacking indefra
Fordi hackergruppen får adgang til virksomheders netværk og systemer, vil de udnytte den interne adgang. En måde, hvorpå de spreder malware på, er at udnytte virksomhedens kontaktformular, som kunder bruger til at kontakte virksomheden. Når der bliver skrevet til virksomheden, kan hackergruppen udgive sig for at være dem, og på den måde dele mails, links og ondsindet software med kunden - uden kunden ved, at det er en hacker, der sidder bag den legitime mail.
En anden teknik hackere bruger ved royal ransomware er, at de sender varslinger ud til mennesker om, at deres antivirus-programmer udløber. Her bliver de opfordret til at trykke videre på en hjemmeside, eller ringe et nummer op. Sidstnævnte kaldes også callback phishing, hvor hackeren sidder i den anden ende af telefonen. Her får hackeren personoplysninger fra ofret, som er i den gode tro om, at de snakker med den rigtige kundeservice i virksomheden.
- Ved at sende de falske varslinger ud til folk, kan hackerne installere malware på ofrenes enheder, og dermed tilgå data. Derfor kan de både lave ransomware-angreb, men også overvåge vedkommendes enhed.
En af grundene til, at royal ransomware er så farligt er, at det kan sprede sig utrolig hurtigt i systemer. Førhen brugte hackergrupper kodningsmodulet BlackCat, men de skiftede over til et nyt kodningsmodul, nemlig Zeon. Zeon er et af de systemer, der kan overbelaste et offers computer hurtigere end andre. Den fordobler kodekæderne, for at kryptere et offers filer så hurtigt som muligt. Derfor er processen ved royal ransomware hurtigere end normalt.
Hvordan undgår jeg royal ransomware?
Mange af de ting, man kan gøre for at undgå royal ransomware, er det samme, man gør for at undgå almindelig hacking, phishing og malware.
Awareness-træning er den ultimative måde at beskytte sig på - det er de menneskelige fejl, der giver hackere adgang til mails, filer og systemer. Så ved at gennemgå awareness-træning, kan jeres virksomhed undgå hackerangreb.
Derudover er det også altid en god idé at have stærke kodeord og multi-faktor godkendelse til sine systemer og mail. På den måde sikrer man, at det er langt sværere for hackeren at tvinge sig adgang, end hvis man ikke havde MFA.
Man kan ydermere sørge for, at finde sine programmer og software fra legitime kilder. Dette giver måske sig selv, men nogle gange er hackere så dygtige, når de imitere udbyderne. Hvis man downloader indhold fra en hacket hjemmeside, giver man de ondsindede aktører direkte adgang til filer og software.
Til sidst anbefales det også, at man bruger antivirus programmer, der scanner din enhed for ondsindet software, og uregelmæssigheder i dine systemer. Derudover kan man også se, hvis man er blevet ramt af et royal ransomware-angreb. Her vil filerne og de krypterede mapper typisk slutte på
- “.royal”
- “.royal_w”
- “README.TXT”
Disse skal man altid være opmærksom på, og hvis uheldet er ude, så skal man kontakte sin IT-ansvarlige, så de kan hjælpe med at rense din enhed.
Dette blogindlæg er opdateret dn. 25-07-2023 af Caroline Preisler.
Caroline Preisler
Caroline er copywriter for Moxso udover hendes daglige studie. Hun er i gang med sin kandidat i Engelsk og specialiserer sig i oversættelse og sprogpsykologi. Begge felter arbejder med kommunikationen mellem mennesker, og hvordan man skaber en fælles forståelse – disse elementer bliver inkorporeret i arbejdet, som hun laver her hos Moxso.
Se alle indlæg af Caroline Preisler