Hvad er ransomware?

Ransomware er en type malware, som cyberkriminelle bruger til at inficere en enhed eller et netværk med skadelig software, som derefter krypterer filer og konverterer værdifulde data til ulæselig kode. Disse data tages så som gidsel af disse cyberkriminelle, som kun vil dekryptere dem, når de modtager en betaling.

Mange spørger: Er ransomware en virus? Svaret er nej. Ransomware og vira er begge former for malware, der har forskellige angrebsmetoder – en virus inficerer filer, hvor ransomware krypterer dem.

Organisationer kan blive ofre for et ransomware-angreb via phishing-mails, hvor en mail sendes med "lokkemiddel", der logger ofre, eller drive-by downloads:, hvor en bruger besøger et inficeret websted og uvidende downloader malwaren.

Hvad er firmaransomware?

Firmaransomware defineres som et ransomware-angreb mod en virksomhed eller organisation. De fleste ransomware-angreb er mod store virksomheder, da de har det største pengepotentiale for cyberkriminelle, men detaljerne varierer fra mål til mål.

Der er en grund til, at cyberkriminelle ofte angriber virksomheder og ikke privatpersoner – det har meget at gøre med, hvordan ransomware spredes samt forbrydelsens potentielle værdi. Så hvordan spreder den sig? Malwaren downloades til en enhed, når nogen åbner en mail og/eller klikker på en tvivlsom URL – en stor organisation med mange medarbejdere (dvs. flere folk, der kan klikke) giver flere muligheder for, at ransomware kan fæstne sig. Men store virksomheder kan have stærkere sikkerhed implementeret pga. af denne højere angrebsrisiko, og fordi de ofte har et større budget.

Store virksomheder er også mere udsatte for et ransomware-angreb pga. værdien af deres data. De har sandsynligvis flere følsomme data, så enhver forstyrrelse vil have større driftsomkostninger. Med dette in mente vil disse virksomheder være mere tilbøjelige til at betale løsepenge og betale et større beløb. Et ransomware-angreb mod et hospital vil f.eks. give et større udbytte for en cybertyv, end hvis målet er en lokal blomsterbutik.

Ransomwarens historie

Ransomwarens historie begynder efter alt at dømme i 1989 med en virus kendt som "AIDS Trojan". I et angreb iværksat af biologen Joseph Popp blev 20.000 diske med en trojansk virus distribueret til en WHO AIDS-konference. Når en maskine blev kompromitteret, blev der på skærmen vist en løsepengenote, som forlangte $189 sendt til en postboks i Panama.

Siden 80'erne har teknologien ændret sig gevaldigt, og cyberkriminelle har ikke længere brug for en postboks for at modtage betaling. Løsepenge forlanges nu i bitcoin, og malwaren tilpasses for at blive mere farlig og ødelæggende – inkl. at få ormeagtige kvaliteter og innovere deres infektionsteknikker. Ransomware-beskyttelse tilpasses også for at forsvare netværk bedre mod disse mere og mere sofistikerede angreb.

Typer af ransomware

Der findes flere typer ransomware – med angreb, der retter sig mod små og mellemstore virksomhed til store selskaber og offentlige sundhedsstyrelser. Løsepengenes beløb kan også variere lige fra nogle hundrede dollar til millioner.

Cryptolocker-ransomware

Cryptolocker har eksisteret siden 2013 og menes at være det første eksempel på ransomware efter det originale 1989-angreb. Med introduktionen af kryptovaluta i 2010'erne kunne de cyberkriminelle forlange løsepenge via en betalingsform, der ikke kan spores. Cryptolocker var det første ransomware-angreb, der anvendte avanceret kryptering og inkluderede en løsepengebesked med vejledning i at betale med bitcoin.

Malwarens angrebsperiode var fra september til den efterfølgende maj, hvor den inficerede 250.000 enheder, og forbryderne indkasserede mindst $3 mio. Cryptolocker kan detekteres af den løsepengebesked, der vises på skærmen.

Ryuk-ransomware

Ryuk-ransomware blev udviklet i 2018 og var baseret på et eksisterende Trojansk hest-program, Hermes, der først blev kendt i 2017. Selvom Hermes blev brugt i et angreb af en nordkoreansk statsfinansieret cyberforbrydergruppe, mener man nu, at malwaren blev udviklet i Rusland.

I 2021 blev der detekteret en ny "ormeagtig" variant af Ryuk, som automatisk kan transportere sig gennem flere enheder, mens programmer spreder kopier af unikke versioner af sig selv.

WannaCry-ransomware

Det er nemt at finde ud af, om din enhed er blevet inficeret med WannaCry-ransomware – du vil se linjen "Ups, dine vigtige filer er blevet krypteret". Angrebet blev først brugt i 2017, hvor over 230.000 computere blev inficeret på én dag.

I hvert angreb forlangte de cyberkriminelle $300 i bitcoin for at dekryptere deres filer, og kravet blev fordoblet, hvis pengene ikke blev betalt til tiden. WannaCry er også en ormebaseret malware, der automatisk kan bevæge sig gennem netværk.

Sodinokibi-ransomware

Sodinokibi er en familie af ransomware, der går efter Windows-enheder. Efter at være blevet inficeret med Sodinokibi-ransomware, også kendt som REvil, vil du se en løsepengebesked på skærmen, som forlanger bitcoin for at dekryptere alle dine filer. Denne malware går efter alt på en enhed, undtagen hvad der er angivet i dens konfigurationsfil. Malwaren blev første gang brugt i 2019.

Dharma- og Phobos-ransomware

Dharma-ransomware, også kendt som CrySiS. er kendt for at angribe små til mellemstore virksomheder og kræve mindre i løsepenge for at øge chancen for, at ofrene betaler.

Ransomwaren angriber typisk via Remote Desktop Protocol og blev først detekteret i 2016. Malwaren var grundlaget for udviklingen af Phobos-ransomware, som fungerer på samme måde.

Petya-ransomware

Petya-ransomware skal kryptere filer for at fungere, og selvom anden malware kan kryptere specifikke kritiske data, kan Petya gå efter hele din harddisk og forhindre din enhed i at tænde. Ransomwaren blev først brugt i 2016, men skabte sig et navn i 2017 med en ny variant kendt som GoldenEye.

Cerber-ransomware

Cerber er et eksempel på ransomware-as-a-service (RaaS) baseret på software-as-a-service-modellen. Malwareskaberne licenserer Cerber til andre cyberkriminelle og i bytte får de en andel af løsepengene. Når først en enhed er inficeret, viser den løsepengebeskeden med kravene på skærmen. Malwaren kan også kryptere filer på alle ikke-tilknyttede netværksshares.

Locky-ransomware

Locky-ransomware, der først blev detekteret i 2016, spreder sig via mails. Den er kendt for at angribe et hospital i Los Angeles med krav om $17.000. Det blev fulgt op af angreb på flere andre sundhedsorganisationer. Der har dog ikke været nogen højprofilerede angreb via Locky siden den første bølge.

Casestudier om ransomware

Ransomware har haft en kæmpe indvirkning på den digitale verden og har indkasseret milliarder af dollar fra ofre gennem årene. Lad os kigge på nogle af de største eksempler på de mest ødelæggende og dyre ransomware-angreb:

• September 2013, Cryptolocker: Cryptolocker-malwaren blev frigivet som den første ransomware efter AIDS Trojan i 1989. For at stoppe denne ransomware blev FBI og Interpol involveret.
• Maj 2017, NHS: Under et globalt WannaCry-angreb blev Storbritanniens sundhedsvæsen offer for et af de mest ødelæggende ransomware-eksempler i historien. Da deres systemer var nede, blev aftaler aflyst, og medarbejder måtte ty til papir og kuglepen. I alt inficerede WannaCry-angrebet 200.000 computere på tværs af 150 lande, hvilket kostede $4 milliarder – £92 ($120 millioner) for NHS.
• Marts 2018, Atlanta: Byen Atlantas kommune blev angrebet af SamSam-ransomware i 2018. Myndighederne brugte flere penge på at reagere på angrebet ($2,6 millioner) end de faktiske løsepenge på ca. $50.000.
• Maj 2019, Baltimore: Hackere gik efter byen Baltimore i 2019 med en ransomware kaldet RobbinHood, som angreb de fleste af bystyrets computere. De kriminelle forlangte 13 bitcoin ($76.280) og oplyste, at prisen ville stige, hvis betalingen ikke faldt inden for 4 dage, og ellers vil alle data blive slettet permanent efter 10 dage. Systemerne blev senere genoprettet, uden at byen betalte løsepengene.
• Juni 2020, University of California San Francisco: Universitetet betalte $1,14 millioner efter en månedslang kamp med Netwalker-ransomware. De første løsepenge lød på $4 millioner, men universitetet forhandlede prisen ned.
• September 2020, DUC: Ryuk-angrebet på Tyskland sundhedsklinik, Düsseldorf University Clinic, førte til en patients død, da vekommende ikke kunne få den nødvendige behandling.
• April 2021, Quanta: Det nye ransomware-angreb via Sodinokobi bevirkede, at Macbook-producenten Quanta skulle betale $50 millioner i løsepenge. Virksomheden nægtede at betale beløbet, og de cyberkriminelle frigav Macbook-oplysninger til offentligheden.

Omkostningerne ved et ransomware-angreb

Det er skidt for din virksomheds økonomi, hvis den bliver ramt af et ransomware-angreb – ikke kun pga. selve løsepengene, men du kan også risikere bøder fra databeskyttelsesmyndigheder eller miste forretning pga. den negative påvirkning på kundetilliden.

I følge Cybersecurity Ventures anslås omkostningerne ved globale ransomware-angreb at ligge i omegnen af $20 milliarder i 2021, og en virksomhed menes at blive ramt af malware hvert 11. sekund. Derudover får europæiske virksomheder flere GDPR-bøder for dårlig sikkerhed. I 2020 stod British Airways til at skulle betale £20 millioner (173 mio. kr) i bøde fra myndighederne – men bøden lød oprindeligt på £183 millioner (1,6 mia. kr).

Hvis pengetab ikke er nok, kæmper mange virksomheder med at komme ovenpå igen – især de små. Ca. 60% af små virksomheder må dreje nøglen om efter at have været offer for et databrud. I 2020 lukkede The Heritage Company, et telemarketingfirma i Arkansas, efter dets ransomware-databrud i 2019. Uanset om det er prisen ved at håndtere angrebet, arbejdet med genoprettelse eller tabet af kunder, kan et ransomware-angreb i høj grad belaste en virksomhed.

Hvordan får en virksomhed ransomware?

Når en virksomheder mangler effektive sikkerhedstiltag, bliver den sårbar over for cyberangreb.

Medarbejderes manglende viden er en stor sårbarhed for virksomheder. Hvis de ansatte ikke ved, hvordan de spotter en mistænkelig mail, detekterer ransomware og rapporterer et problem, risikerer de at inficere enhed og hele netværket. Medarbejderne ved muligvis ikke, at deres enheder er sårbare over for angreb, eller risiciene ved ransomware for Macs eller Linux-ransomware. Selvom disse to operatører har ry for at have stærkere indbygget sikkerhed end Windows, kan de stadig blive udsat for en cybertrussel.

Tredjepartsapps kan også være et indgangspunkt, hvorfra cyberkriminelle kan penetrere dit netværk. Det er måske nemmere for dem at tilgå en app end dit system og bruge denne åbning til at inficere dine enheder med malware.

Selvom medarbejdere kan skabe sårbarheder, vil en sikker virksomhed have et fungerende antivirusværktøj implementeret, som kan beskytte mod potentiel skadelig software, når den ved en fejl bliver downloadet. Software skal opdateres (eller "patches") jævnligt for at rette fejl og afhjælpe sårbarheder – ikke-opdateret software kan føre til revner i dit forsvar.

Sådan forhindrer du et ransomware-angreb

Der er mange effektive måder at beskytte din virksomhed mod et ransomware-angreb på og undgå at blive et mål. Som med mange andre cyberangreb får kriminelle adgang til et netværk pga. dårlige IT-praksisser. Disse inkluderer:

• Utilstrækkelig oplæring af medarbejdere
• Svage loginoplysninger
• For meget adgang til tredjepartsapps
• En mangel på effektive firewalls
• Ikke at bruge en antivirus
• Ikke at opdatere eller rette software

Derfor er driftssikkerhed afgørende. Oplæring af medarbejdere og stærke loginoplysninger går hånd i hånd. Medarbejdere skal vide, hvordan de bedst tilgår netværket, især når de arbejder eksternt, samt, hvordan de spotter phishing-mails, rapporterer mistænkelig aktivitet og opretter stærke adgangskoder. Alt dette bør være forklaret i en forretningskontinuitetsplan – og selvom forebyggelse er bedre end behandling, hjælper det også at have planer for IT-katastrofeberedskab og forretningskontinuitet implementeret. Andre vigtige tiltag til at forhindre et ransomware-angreb inkluderer:

Tegn på, at din virksomhed er blevet ramt af ransomware

Der er mange tydelige tegn på, at en computer er blevet kompromitteret af ransomware – den mest åbenlyse er løsepengebeskeden. Her er nogle andre almindelige indikatorer:

• At modtage spear-phishing og spoofing-mails er et tegn på, at du er blevet et mål for cyberkriminelle
  • Hvis du bliver offer for små test-cyberangreb, der ikke synes særligt bekymrende, kan det være cyberkriminelle, der finder sårbarheder i dit system, før de iværksætter et storstilet angreb.
• Din antivirus advarer dig om mistænkelig aktivitet
• Du underrettes om mistænkelige loginforsøg, som du ikke genkender
• At bemærke ny software på dit netværk
  • Programmer til softwarefjernelse såsom GMER, PC Hunter og Process Hacker bruges ofte af cyberkriminelle til at fjerne eksempelvis din Windows 10-ransomware-beskyttelse
  • Programmer som Microsoft Process Explorer og MimiKatz kan bruges til at stjæle loginoplysninger.

Hvad du skal gøre, hvis du bliver angrebet

Hvis du udsættes for et ransomware-angreb, skal du gøre følgende:

1. Rapportér angrebet.Sørg for, at medarbejderne ved, hvordan de genkender og advarer teamet om et cyberangreb.
2. Forstå situationen, og detekter malwaren. Prøv at detektere den malware, der har inficeret dit system, så du bedst ved, hvordan du beskytter dig selv og/eller fjerner den
3. Luk ned for infektionens kilde. Find den enhed, der var det første angrebspunkt, og fjern den helt fra netværket for at reducere risikoen for spredning af malware
4. Begræns angrebet. Frakobl alle andre enheder på netværket, der kan være sårbare over for angrebet, for at forhindre ransomwaren i at sprede sig yderligere
5. Forsøg at dekryptere dataene og fjerne ransomwaren. Dette bør kun forsøges af et dygtigt sikkerhedsteam, da du ellers kan risikere at forværre situationen
6. Brug en tredjepart. En tredjepartsspecialist kan muligvis hjælpe med at gendanne dine filer, så du ikke behøver at betale løsepenge