Hva er løsepengevirus?

Løsepengevirus er en type skadelig programvare som nettkriminelle bruker til å infisere enheter eller nettverk med skadelige programmer som krypterer filer og konverterer verdifulle data til uleselig kode. Dataene holdes deretter som gissel av de nettkriminelle, og de dekrypterer dem ikke før de får utbetalt løsepenger.

Mange spør om løsepengevirus fungerer som andre virus. Det gjør de ikke. Løsepengevirus og vanlige datavirus er begge typer av skadelig programvare, men de har ulike angrepsmetoder. Vanlige virus infiserer filer, mens løsepengevirus krypterer dem.

Bedrifter kan bli offer for angrep med løsepengevirus via phishing i e-post, der en e-postmelding som inneholder et lokkemiddel sendes for å lure ofrene. Det kan også skje via nedlastinger der brukeren går til et infisert nettsted og laster ned den skadelige programvaren uten å være klar over det.

Hva er løsepengevirus mot bedrifter?

Bedriftsrettede løsepengevirus angriper firmaer, virksomheter eller organisasjoner. De fleste løsepengevirusangrepene rammer større bedrifter, siden det kan gi større fortjeneste for nettkriminelle, men angrepene kan ha mange ulike mål.

Det er en grunn til at nettkriminelle heller angriper bedrifter enn privatpersoner. Det har med måten løsepengevirus spres på og den potensielle verdien av kriminaliteten. Hvordan sprer det seg? Den skadelige programvaren lastes ned når noen åpner en e-post og/eller klikker på en tvilsom nettadresse. Derfor gir en større organisasjon med flere ansatte som kan klikke flere muligheter for at løsepengevirus skal få fotfeste. Samtidig har større bedrifter ofte sterkere sikkerhetstiltak på grunn av den høyere angrepsrisikoen, og fordi de har større budsjetter.

Større bedrifter er også mer utsatt for slike angrep på grunn av verdien av dataene de har. De har som regel større mengder med sensitive data, så avbrudd påfører høyere kostnader. Med tanke på dette er det mulig at større bedrifter er tilbøyelige til å betale løsepenger og betale mer når de først gjør det. For eksempel vil et angrep på et sykehus sannsynligvis ha større inntektsmuligheter for en datatyv enn et angrep på en lokal blomsterforretning.

Historikk

De fleste mener at historien til løsepengevirus startet i 1989 med et virus kjent som AIDS-trojaneren. Angrepet ble planlagt av biologien Joseph Popp, og det ble utført ved at 20 000 disketter som inneholdt et trojanervirus ble distribuert på en AIDS-konferanse i regi av Verdens helseorganisasjon. Når en datamaskin ble angrepet, ble det vist et løsepengekrav på skjermen som forlangte at 189 dollar ble sendt til en postboks i Panama.

Siden 80-tallet har teknologien blitt mer avansert, og nettkriminelle trenger ikke lenger å bruke postbokser for å motta betaling. Løsepenger kreves nå i bitcoin, og programvaren tilpasses for å bli stadig farligere og mer ødeleggende, ved blant annet å bruke egenskapene til dataormer og nyskapende infeksjonsteknikker. Beskyttelsen mot løsepengevirus tilpasses også for å forsvare nettverk bedre mot stadig mer avanserte angrep.

Typer løsepengevirus

Det finnes flere typer løsepengevirus. Angrepene kan ramme både små og mellomstore bedrifter, store konsern og offentlig helsevesen. Størrelsen på løsepengekravene kan variere fra noen hundre dollar til flere millioner.

Cryptolocker-løsepengevirus

Cryptolocker har eksistert siden 2013 og er trolig det første eksempelet på løsepengevirus etter det opprinnelige angrepet i 1989. Etter at kryptovaluta ble tilgjengelig fra rundt 2010, kunne nettkriminelle kreve løsepenger via betalingsmetoder som ikke kan spores. Cryptolocker var det første løsepengevirusangrepet som brukte avansert kryptering og inneholdt løsepengekrav i bitcoin.

Den skadelige programvaren holdt angrepene gående fra september til mai året etter og infiserte 250 000 enheter, og de kriminelle som stod bak fikk utbetalt minst tre millioner dollar. Cryptolocker oppdages ved at et løsepengekrav vises på skjermen.

Ryuk-løsepengevirus

Ryuk-angrep startet i 2018 og var basert på et eksisterende trojaner-program kalt Hermes, som ble brukt for første gang i 2017. Selv om Hermes ble brukt av en gruppe nordkoreanske nettkriminelle, ble den skadelige programvaren mest sannsynlig utviklet i Russland.

I 2021 ble det oppdaget en ny ormlignende variant av Ryuk som automatisk kunne gå fra enhet til enhet og spre seg ved å kopiere unike versjoner av programmet på hver enhet.

WannaCry-løsepengevirus

Det er lett å se at datamaskinen har blitt infisert av WannaCry-løsepengeviruset, siden teksten «Oops, your important files are encrypted» blir vist på skjermen. Det første angrepet kom i 2017, og over 230 000 datamaskiner ble infisert på én dag.

I hvert angrep krevde de nettkriminelle 300 dollar i bitcoin for å dekryptere filene, og løsepengekravet doblet seg hvis betaling ikke ble gjort innen fristen. WannaCry er også en ormbasert skadelig programvare som sprer seg automatisk på nettverk.

Sodinokibi-løsepengevirus

Sodinokibi er en familie med løsepengevirus som rammer Windows-enheter. Når datamaskinen infiseres av Sodinokibi, som også er kjent som REvil, vises et løsepengeviruskrav på skjermen som ber om bitcoin for å dekryptere filene igjen. Denne skadelige programvaren angriper alt på datamaskinen unntatt det som står på listen i konfigurasjonsfilen. Løsepengeviruset ble brukt første gang i 2019.

Dharma- og Phobos-løsepengevirus

Dharma-løsepengeviruset er også kjent som CrySiS, og det angriper som regel små og mellomstore bedrifter og ber om mindre løsepenger for å øke sannsynligheten for at ofrene skal betale.

Løsepengeviruset angriper vanligvis via RDP (Remote Desktop Protocol i Windows) og ble oppdaget første gang i 2016. Den skadelige programvaren ble brukt som grunnlag for utviklingen av Phobos-løsepengeviruset, som fungerer på lignende måte.

Petya-løsepengevirus

Petya må kryptere filer for å fungere, og mens annen skadelig programvare ofte krypterer bestemte kritiske data, kan Petya ramme hele harddisken og blokkere enheten slik at den ikke kan slås på. Løsepengeviruset ble brukt for første gang i 2016, men det ble mer kjent i 2017 med en ny variant som het GoldenEye.

Cerber-løsepengevirus

Cerber er et eksempel på løsepengevirus som en tjeneste, som er basert på konseptet programvare som en tjeneste. Skaperne av den skadelige programvaren lisensierer Cerber til andre nettkriminelle og får til gjengjeld en andel av løsepengebetalingen. Når enheten er infisert, viser Cerber et løsepengekrav på skjermen. Den skadelige programvaren kan også kryptere filer på nettverksmapper som ikke er koblet til som nettverksstasjon.

Locky-løsepengevirus

Locky-løsepengeviruset ble oppdaget i 2016 og spres via e-post. Det er kjent for å ha rammet et sykehus i Los Angeles med et løsepengekrav på 17 000 dollar. Det ble fulgt opp med angrep på flere andre helseforetak. Etter den opprinnelige bølgen har det imidlertid ikke vært noen betydelige angrep med Locky.

Store løsepengevirushendelser

Løsepengevirus har hatt stor påvirkning på vår digitale verden, og ofrene har betalt flere milliarder dollar i løsepenger gjennom årene. Her er en oversikt over de største eksemplene på de mest skadelige og kostbare angrepene med løsepengevirus:

• September i 2013 – Cryptolocker: Cryptolocker-programvaren var den første som ble beskrevet som et løsepengevirus etter AIDS-trojaneren i 1989. FBI og Interpol ble involvert for å stoppe dette løsepengeviruset.
• Mai i 2017 – NHS: Som en del av et verdensomspennende WannaCry-angrep ble det offentlige helsesystemet i Storbritannia (NHS) offer for et av de skadeligste eksemplene på løsepengevirus noensinne i landet. Systemene ble satt ut av spill, avtaler ble annullert og ansatte måtte jobbe videre med penn og papir. WannaCry-angrepet infiserte totalt 200 000 datamaskiner i 150 land og kostet totalt fire milliarder dollar, hvorav 120 millioner for NHS.
• Mars i 2018 – Atlanta: Myndighetene i Georgias hovedstad ble rammet av SamSam-løsepengeviruset i 2018. Myndighetene brukte mer penger på å håndtere angrepet (2,6 millioner dollar) enn størrelsen på løsepengekravet (rundt 50 000 dollar).
• Mars i 2019 – Baltimore: Hackere angrep myndighetene i Baltimore med løsepengeviruset RobbinHood, og det rammet de fleste av datamaskinene som tilhørte byens offentlige myndigheter. Angriperne krevde 13 bitcoin (rundt 76 000 dollar på den tiden) og sa at prisen ville øke hvis de ikke fikk betaling innen fire dager og at filene ville blir slettet permanent etter ti dager. Systemene ble til slutt gjenopprettet uten at myndighetene betalte løsepenger.
• Juni i 2020 – University of California San Francisco: Universitetet betalte 1,14 millioner dollar etter å ha kjempet forgjeves i en måned mot Netwalker-løsepengeviruset. Det opprinnelige løsepengekravet var på fire millioner dollar, men universitetet forhandlet ned beløpet.
• September i 2020 – DUC: Ryuk-angrepet på universitetsklinikken i Düsseldorf i Tyskland førte til at en pasient døde på grunn av at nødvendig behandling ikke var tilgjengelig.
• April i 2021 – Quanta: Dette løsepengevirusangrepet brukte Sodinokobi til å kreve Macbook-produsenten Quanta for løsepenger på 50 millioner dollar. Selskapet nektet å betale kravet, og de nettkriminelle offentliggjorde dermed Macbook-informasjon.

Kostnadene av løsepengevirus

Det er dårlig nytt for en bedrifts økonomi å bli offer for angrep med løsepengevirus. Det gjelder ikke bare selve løsepengene, for bedriften kan risikere bøter fra personvernmyndigheter og tape inntekter på runn av redusert kundetillit.

I følge Cybersecurity Ventures er kostnaden av løsepengevirusangrep beregnet til 20 milliarder dollar for 2021, og det antas at angrep med løsepengevirus mot bedrifter skjer hvert 11. sekund. I tillegg til dette risikerer europeiske bedrifter ytterligere GDPR-bøter for manglende sikkerhet rundt personvern. I 2020 ble British Airways ilagt en bot på 20 millioner britiske pund av myndighetene. Det opprinnelige kravet var på 183 millioner pund.

Økonomisk tap er ikke alt, for mange bedrifter strever med å få i gang driften igjen etter angrep, spesielt mindre bedrifter. Rundt 60 % av små bedrifter legger ned driften etter at de har blitt offer for et datasikkerhetsbrudd. I 2020 stengte telefonsalgfirmaet The Heritage Company i Arkansas i USA dørene etter å ha blitt rammet av et datasikkerhetsbrudd forårsaket av løsepengevirusangrep i 2019. Løsepengevirus påfører bedriften kostnader i form av håndtering av angrep, gjenopprettingstiltak og tap av kunder, og det er en påkjenning som er krevende å komme over.

Hvordan rammes bedrifter av løsepengevirus?

Nå en bedrift mangler effektive sikkerhetstiltak, blir den sårbar overfor nettangrep.

Manglende opplæring av ansatte kan gjøre bedriften svært utsatt. Hvis de ansatte ikke vet hvordan de skal gjenkjenne mistenkelig e-post, oppdage løsepengevirus eller rapportere problemer, kan de risikere å infisere enheter og hele nettverket. De er kanskje ikke klar over at enhetene de bruker kan være utsatt for angrep eller at Mac og Linux også kan få løsepengevirus. Selv om disse to operativsystemene er kjent for sterkere innebygd sikkerhet enn Windows, kan de likevel risikere trusler mot datasikkerheten.

Apper fra andre leverandører kan også være en inngangsport som nettkriminelle kan utnytte for å trenge inn på nettverket. Det kan være enklere å få tilgang til en app enn systemet, og denne åpningen kan bli brukt til å infisere bedriftens enheter med skadelig programvare.

Ansatte kan forårsake sårbarheter, men en sikker bedrift bør ha et fungerende antivirusverktøy på plass som kan beskytte mot potensielt skadelig programvare som uforvarende lastes ned. Programvare må oppdateres regelmessig for å fikse feil og rette opp sårbarheter. Manglende oppdateringer kan føre til sprekker i forsvaret.

Forebygge angrep med løsepengevirus

Det er flere virkningsfulle måter å beskytte bedriften mot løsepengevirus på og unngå å bli et mål for angripere. Mange nettangrep rammer ved at kriminelle får tilgang til nettverk på grunn av dårlig IT-praksis. Dette kan være forårsaket av:

• manglende opplæring av ansatte
• svake passord
• for mye tilgang gitt til tredjepartsapper
• mangel på effektive brannmurer
• mangel på antivirus
• programvare som ikke er oppdatert

Det er derfor operasjonssikkerhet er så viktig. Opplæring av ansatte og sikker pålogging må gå hånd i hånd. De ansatte må få opplæring i hvordan de kobler seg til nettverket på best mulig måte, spesielt når de jobber hjemmefra eller på farten, og de må lære å oppdage phishing i e-post, rapportere problemer og opprette sterke passord. Alt dette bør beskrives i en plan for driftskontinuitet, og selv om forebygging er bedre enn bekjempelse, så hjelper det å ha planer for IT-nødgjenoppretting og driftskontinuitet på plass. Andre viktige tiltak for å forebygge angrep med løsepengevirus:

Tegn på at bedriften har blitt rammet av løsepengevirus

Det finnes flere tegn på at en datamaskin har blitt utsatt for løsepengevirus, og løsepengekrav som vises på skjermen er det mest åpenbare. Her er noen andre vanlige tegn:

• Hvis du mottar e-post som forsøker seg på spydfisking («spear-phishing)» og forfalskning, er det et tegn på at nettkriminelle har deg i siktet.
  • Hvis du har blitt offer for test-nettangrep i liten skala som ikke er bekymrende i seg selv, kan det være et tegn på at nettkriminelle prøver å finne sårbarheter i bedriftens systemer før et angrep i større skala settes i gang.
• Antivirusprogrammet varsler deg om mistenkelig aktivitet.
• Du mottar varsler om mistenkelige påloggingsforsøk som du ikke kjenner igjen.
• Ny programvare dukker opp på nettverket.
  • Programvare for fjerning av andre programmer, for eksempel GMER, PC Hunter og Process Hacker brukes ofte av nettkriminelle til å fjerne blant annet løsepengevirusbeskyttelsen i Windows 10.
  • Programmer som Microsoft Process Explorer og MimiKatz kan brukes til å stjele påloggingsopplysninger.

Hva bør man gjøre hvis bedriften har blitt angrepet?

Det er viktig å gjøre dette hvis du har blitt rammet av et angrep med løsepengevirus:

1. Rapporter angrepet. Sørg for at de ansatte vet hvordan man kjenner igjen et angrep og hvordan de skal rapportere det.
2. Forstå situasjonen, og påvis den skadelige programvaren. Prøv å oppdage den skadelige programvaren som har infisert systemet, slik at bedriften kan beskytte seg og gjøre tiltak for å fjerne den.
3. Slå av kilden til infeksjonen. Finn enheten som ble angrepet først, og koble den fra nettverket for å redusere risikoen for spredning av den skadelige programvaren.
4. Begrens angrepet. Koble fra alle enheter på nettverket som kan være sårbare overfor angrepet for å hindre løsepengeviruset i å spre seg videre.
5. Forsøk å dekryptere dataene og fjerne løsepengeviruset. Dette bør bare gjøres av et kompetent sikkerhetsteam, ellers kan man gjøre vondt verre.
6. Bruk ekstern hjelp. En ekstern spesialist kan være i stand til å gjenopprette filene deres, slik at bedriften ikke behøver å betale løsepenger.