België (Nederlands)
Belgique (français)
Česká republika
Danmark
Deutschland
España
France
Italia
Magyarország
Nederland
Norge
Polska
Portugal
România
Schweiz (Deutsch)
Slovensko (česky)
South Africa
Suisse (français)
Suomi
Sverige
Türkiye
United Arab Emirates
Utpressningstrojaner och dess inverkan på ditt företag
Utpressningstrojaner är ett hot mot alla företag. På grund av ineffektiv eller utebliven utbildning och obefintliga antivirusprogram är vissa organisationer dock mer sårbara än de kanske inser. I den här artikeln kommer vi att beskriva vad utpressningstrojaner är, hur de attackerar nätverk och hur du kan skydda ditt företag mot detta ständigt närvarande hot.
Vad är en utpressningstrojan?
Utpressningstrojaner är en typ av skadlig kod som cyberbrottslingar använder för att smitta en enhet eller ett nätverk med skadlig programvara, som sedan krypterar filer och konverterar värdefulla data till oläslig kod. Dessa data hålls sedan som gisslan av cyberbrottslingar, som endast kommer att dekryptera dem mot en avgift.
Många undrar om utpressningstrojaner är samma sak som virus. Svaret är nej. Både utpressningstrojaner och virus är dock en form av skadlig kod, men de har olika attackmetoder – ett virus smittar filer medan utpressningstrojaner krypterar dem.
Organisationer kan falla offer för en attack med utpressningstrojaner genom nätfiskemeddelanden, där ett e-postmeddelande skickas som ”bete” för att locka till sig offer, eller så kallad ”drive-by-nedladdning”, vilket innebär att användaren besöker en smittad webbplats och oavsiktligt laddar ned den skadliga koden.
Vad är en företagsutpressningstrojan?
Företagsutpressningstrojaner definieras som en attack med utpressningstrojaner mot ett företag eller en organisation. De flesta attacker med utpressningstrojaner sker mot storföretag eftersom dessa är lönsammast för cyberbrottslingarna, men attackerna kan skilja sig åt beroende på målet.
Det finns en anledning till att cyberbrottslingar tenderar att attackera företag och inte individer – det har mycket att göra med hur utpressningstrojaner sprids och brottets potentiella värde. Så hur sprids den? Den skadliga koden laddas ner till en enhet när någon öppnar ett e-postmeddelande och/eller klickar på en tvivelaktig webbadress – i allmänhet ger en större organisation med fler anställda (därav fler människor som klickar) fler möjligheter för utpressningstrojanen att få fäste. Större företag kan dock ha starkare säkerhetsåtgärder på plats, med anledning av denna högre angreppsrisk, och eftersom de dessutom har en större budget att röra sig med.
Större företag är också mer i riskzonen för en attack med utpressningstrojaner på grund av värdet på deras data. De kommer sannolikt att ha större mängder känsliga data, så eventuella störningar innebär större kostnader för verksamheten. Med detta i åtanke kan dessa företag vara mer benägna att betala lösensumman samt villiga att betala en större summa. Till exempel skulle en attack med utpressningstrojaner mot ett sjukhus sannolikt resultera i en större lösensumma för en cybertjuv än om de attackerade en lokal blomsterhandel.
Utpressningstrojanens historia
Enligt de flesta uppgifter börjar historien bakom utpressningstrojaner år 1989 med ett virus som kallas för ”AIDS-trojanen”. I en attack som utfördes av biologen Joseph Popp distribuerades 20 000 disketter som innehöll ett trojanskt virus under en av Världshälsoorganisationens AIDS-konferenser. När en dator hade smittats visades ett utpressningsmeddelande på skärmen med ett krav om att skicka 189 dollar till en postbox i Panama.
Sedan 80-talet har tekniken utvecklats och cyberbrottslingar behöver inte längre använda en postbox för att få sina lösensummor. Lösensummor begärs nu i Bitcoin och den skadliga koden har utvecklats till att bli både farligare och mer destruktiv – inklusive maskliknande egenskaper och nya vägar för att smitta. Skyddet mot utpressningstrojaner anpassas också för att kunna försvara nätverk bättre mot dessa allt mer sofistikerade attacker.
Olika typer av utpressningstrojaner
Det finns flera typer av utpressningstrojaner – och attackerna riktas mot såväl små och medelstora företag som storskaliga bolag och statliga vårdgivare. Storleken på lösensumman kan också variera, från hundratals dollar till flera miljoner.
Utpressningstrojanen Cryptolocker
Cryptolocker har funnits sedan 2013 och tros vara det första exemplet på en utpressningstrojan efter den inledande attacken 1989. När kryptovalutorna gjorde intåg på 2010-talet kunde cyberbrottslingar kräva lösensumman via en ospårbar betalningsmetod. Cryptolocker var den första attacken med utpressningstrojaner som använde avancerad kryptering samt inkluderade ett utpressningsmeddelande med instruktioner om att betala i Bitcoin.
Den skadliga koden användes i attacker från september till följande maj. Under denna period smittade den 250 000 enheter och brottslingarna kom över minst 3 miljoner dollar. Cryptolocker känns igen på utpressningsmeddelandet som visas på skärmen.
Utpressningstrojanen Ryuk
Utpressningstrojanen Ryuk började spridas 2018 och baserades på ett befintligt trojansk häst-program, Hermes, som man noterade för första gången 2017. Hermes användes i en attack av en nordkoreansk cyberbrottsgrupp som finansierades av staten, men idag är det en allmän uppfattning att den skadliga koden utvecklades i Ryssland.
2021 upptäcktes en ny ”maskliknande” variant av Ryuk, som automatiskt färdas över flera enheter eftersom programmet sprider kopior av unika versioner av sig självt.
Utpressningstrojanen WannaCry
Det är lätt att veta om din enhet har smittats av utpressningstrojanen WannaCry – du kommer att se meningen ”Oops, your important files are encrypted” (”hoppsan, dina viktiga filer har krypterats”). Attacken användes första gången 2017, då över 230 000 datorer smittades på en dag.
I varje attack kräver cyberbrottslingarna 300 dollar i Bitcoin för att dekryptera filerna, men lösensumman fördubblas om den ursprungliga summan inte betalas i tid. WannaCry är också en maskbaserad skadlig kod som automatiskt kan färdas mellan nätverk.
Utpressningstrojanen Sodinokibi
Sodinokibi är en familj av utpressningstrojaner som riktar in sig på Windows-enheter. När man drabbas av utpressningstrojanen Sodinokibi, även känd som REvil, visas ett utpressningsmeddelande på skärmen där Bitcoin krävs i utbyte mot att dekryptera filerna. Denna skadliga kod riktar in sig på allt på en enhet, förutom det som anges i dess konfigurationsfil. Den användes första gången 2019.
Utpressningstrojanerna Dharma och Phobos
Utpressningstrojanen Dharma, även känd som CrySiS, är känd för att attackera små till medelstora företag och kräva mindre lösensummor för att öka sannolikheten att offren betalar
Utpressningstrojanen attackerar vanligtvis via Remote Desktop Protocol och upptäcktes första gången 2016. Den skadliga koden utgjorde grunden till utpressningstrojanen Phobos, som fungerar på ett liknande sätt.
Utpressningstrojanen Petya
Utpressningstrojanen Petya måste kryptera filer för att fungera. Medan annan skadlig kod kan kryptera specifika kritiska data riktar Petya in sig på hela hårddisken och stoppar enheten från att slås på. Denna utpressningstrojan användes första gången 2016, men blev känd 2017 i form av en ny variant med namnet GoldenEye.
Utpressningstrojanen Cerber
Cerber är ett exempel på ransomware-as-a-service (RaaS), som baseras på software-as-a-service-modellen. Skaparna av den skadliga koden licensierar Cerber till andra cyberbrottslingar och får en andel av lösensumman som betalning. När en enhet har smittats visas Cerbers utpressningsmeddelande på skärmen. Den skadliga koden kan även kryptera filer på alla omappade nätverksresurser.
Utpressningstrojanen Locky
Utpressningstrojanen Locky upptäcktes första gången 2016 och sprids via e-post. Den är känd för att ha riktat in sig på ett sjukhus i Los Angeles med ett utpressningskrav på 17 000 dollar. Detta följdes av attacker mot många andra vårdinrättningar. Det har dock inte förekommit några högprofilerade attacker med Locky sedan den första vågen.
Fallstudier av utpressningstrojaner
Utpressningstrojaner har haft en enorm inverkan på den digitala världen och inbringat miljarder dollar från sina offer under årens gång. Låt oss ta en titt på några exempel av de mest destruktiva och kostsamma attackerna med utpressningstrojaner:
- September 2013, Cryptolocker: Den skadliga koden Cryptolocker var den första utpressningstrojanen i dess rätta bemärkelse efter AIDS-trojanen 1989. FBI och Interpol jobbade med att stoppa denna utpressningstrojan.
- Maj 2017, NHS: Under en global WannaCry-attack föll den brittiska sjukvårdsmyndigheten National Health Service offer för ett av de mest omfattande exemplen på attacker med utpressningstrojaner i landet. Medan systemen låg nere ställdes patientmöten in och personalen fick ta till penna och papper. Totalt smittade WannaCry-attacken 200 000 datorer i 150 länder, vilket kostade 4 miljarder dollar – 92 miljoner pund enbart för NHS.
- Mars 2018, staden Atlanta: Stadsförvaltningen i den amerikanska delstaten Georgias huvudstad drabbades 2018 av utpressningstrojanen SamSam. Man spenderade en större summa på att bekämpa attacken (2,6 miljoner dollar) än den lösensumma som krävdes (ca 50 000 dollar).
- Maj 2019, staden Baltimore: Hackare riktade in sig på staden Baltimore 2019 med en utpressningstrojan vid namn RobbinHood, som angrep de flesta av stadsförvaltningens datorer. Brottslingarna krävde 13 bitcoin (då värda 76 280 dollar) och sa att summan skulle öka om den inte betalades inom fyra dagar och att samtliga data skulle raderas permanent efter 10 dagar. Systemen återställdes så småningom utan att staden betalade lösensumman.
- Juni 2020, University of California, San Francisco: Högskolan betalade 1,14 miljoner dollar efter en månadslång kamp med utpressningstrojanen Netwalker. Den ursprungliga lösensumman var 4 miljoner dollar, men universitetet förhandlade ner priset.
- September 2020, Universitätsklinikum Düsseldorf. DUC: Ryuk-attacken mot universitetssjukhuset i den tyska staden Düsseldorf ledde till att en patient avled eftersom hen inte kunde få tillgång till livsnödvändig vård.
- April 2021, Quanta: Den nyliga attacken med utpressningstrojanen Sodinokobi ställde Macbook-tillverkaren Quanta inför ett utpressningskrav på 50 miljoner dollar. Företaget vägrade att betala och cyberbrottslingarna släppte Macbook-information till allmänheten.
Kostnaderna för en attack med utpressningstrojaner
Att falla offer för en attack med utpressningstrojaner är dåliga nyheter för ditt företags ekonomi – inte bara på grund av själva lösensumman, utan även för att du kan dömas till böter från dataskyddsmyndigheter eller förlora kunder på grund av minskat förtroende.
Enligt Cybersecurity Ventures uppskattades kostnaden för globala attacker med utpressningstrojaner till 20 miljarder dollar år 2021, och ett företag tros angripas av skadlig kod var 11:e sekund. Utöver det riskerar europeiska företag ytterligare GDPR-böter för dålig säkerhetsverksamhet. År 2020 dömdes British Airways till böter på 20 miljoner pund från tillsynsmyndigheten – det ursprungliga bötesbeloppet var dock 183 miljoner pund.
Det är inte bara en fråga om att förlora stora summor pengar, utan det kan även bli kämpigt att återhämta sig – framför allt för mindre företag. Omkring 60 % av småföretagen lägger ned sin verksamhet efter att ha fallit offer för dataintrång. 2020 lade The Heritage Company, ett Arkansas-baserat telemarketingföretag, ned verksamheten i sviterna av utpressningstrojanen de drabbades av 2019. Oavsett om det handlar om kostnaden för att hantera attacken, återställningen av verksamheten eller själva förlusten av kunder kan återhämtningen efter en utpressningstrojan bli en stor utmaning för företag.
Hur drabbas ett företag av utpressningstrojaner?
När ett företag saknar effektiva säkerhetsåtgärder blir det sårbart för cyberattacker.
Brist på personalutbildning är en avgörande sårbarhet för företag. Om anställda inte vet hur man identifierar ett misstänkt e-postmeddelande, upptäcker utpressningstrojaner eller rapporterar problem löper de risk att smitta enheter och hela nätverket. Personalen kanske inte är medveten om att deras enheter är mottagliga för attacker eller riskerna med utpressningstrojaner på Mac och Linux. Även om dessa två system anses ha bättre inbyggd säkerhet än Windows är de fortfarande i riskzonen för cyberhot.
Tredjepartsappar kan också vara en ingångspunkt från vilken cyberbrottslingar kan penetrera nätverket. De kan ha lättare att komma åt en app än ditt system och använda den här öppningen för att smitta dina enheter med skadlig kod.
Personal skapar sårbarheter, men ett säkert företag har vanligen ett fungerande antivirus på plats som kan skydda mot potentiell skadlig programvara när den laddas ned av misstag. Programvara måste uppdateras regelbundet (eller ”patchas”) för att åtgärda buggar och sårbarheter – föråldrad programvara kan leda till sårbarheter i skyddet.
Så skyddar du dig mot en attack med utpressningstrojaner
Det finns många effektiva sätt att skydda företaget mot en attack med utpressningstrojaner och undvika att bli en måltavla. Likt fallet är med många cyberattacker får kriminella tillgång till ett nätverk på grund av dålig IT-praxis. Detta inbegriper:
- Undermålig personalutbildning
- Svaga inloggningsuppgifter
- För mycket beviljad åtkomst till tredjepartsappar
- Brist på effektiva brandväggar
- Inget antivirus
- Programvara som inte uppdateras regelbundet
Därför är operativ säkerhet av största vikt. Utbildning av personal och genomtänkta åtkomstbehörigheter går hand i hand. Personalen måste utbildas i hur man bäst får åtkomst till nätverket, särskilt när man arbetar på distans, samt hur man upptäcker nätfiskemeddelanden, rapporterar misstänkt aktivitet och skapar starka lösenord. Allt detta bör definieras i en affärskontinuitetsplan – och även om det är bättre att förebygga än att bota hjälper det också att ha planer för IT-katastrofåterställning och affärskontinuitet på plats. Andra viktiga åtgärder för att förhindra en attack med utpressningstrojaner inbegriper:
Säkerhetskopior
En säkerhetsrelaterad verksamhetsplan bör innehålla säkerhetskopiering av data för att minimera effekten av en attack – ju mer regelbundet data säkerhetskopieras, desto färre data riskerar att försvinna vid en attack. Genom att använda molnsäkerhetskopior lagras dina säkerhetskopior separat från ditt nätverk, vilket innebär att de inte kommer att påverkas av några intrång.
Säkerhet i flera lager
Utpressningstrojaner utvecklas ständigt, vilket betyder att säkerheten måste vara robust och mångsidig för att möta denna utmaning. Genom att utveckla en säkerhetsstrategi med flera lager som inkluderar slutpunktsskydd tillsammans med data- och nätverkssäkerhet kan ditt företag skydda sig mot hot från alla håll.
Installera uppdateringar och säkerhetskorrigeringar
Effektiv uppdateringshantering är avgörande för att skydda sig mot sårbarheter i både programvara och maskinvara. Den goda nyheten är att verktyg kan ställas in för automatisk nedladdning och installering av uppdateringar så snart de blir tillgängliga, vilket säkerställer att varje enhet som används av anställda är uppdaterad och skyddad mot nya hot.
Tecken på att ditt företag har drabbats av en utpressningstrojan
Det finns många tecken på att en dator har kapats av en utpressningstrojan – det mest uppenbara är utpressningsmeddelandet. Här är några andra vanliga indikatorer:
- Att få harpunfiskemeddelanden och andra bedrägliga meddelanden är ett tecken på att man är i cyberbrottslingarnas sikte.
- Att falla offer för småskaliga testattacker utan större påverkan kan betyda att cyberbrottslingar letar efter sårbarheter i ditt system för att senare genomföra en storskalig attack
- Ditt antivirus varnar dig för misstänkt aktivitet
- Du meddelas om misstänkta inloggningsförsök som du inte känner igen
- Du lägger märke till ny programvara på ditt nätverk
- Borttagningsprogram för programvara, såsom GMER, PC Hunter och Process Hacker, används ofta av cyberbrottslingar för att till exempel ta bort ditt skydd mot utpressningstrojaner i Windows 10
- Applikationer som Microsoft Process Explorer och MimiKatz kan användas för att stjäla inloggningsuppgifter.
Vad ska man göra om man angrips
Om du har blivit utsatt för en attack med utpressningstrojaner bör du vidta dessa viktiga åtgärder:
- Rapportera attacken. Se till att personalen vet hur de ska känna igen, och varna, teamet för en cyberattack
- Förstå situationen och identifiera den skadliga koden. Försök att identifiera den skadlig koden som har smittat ditt system så att du bäst vet hur du ska skydda dig och/eller agera för att ta bort den
- Stäng av källan till smittan. Lokalisera enheten som var den första angreppspunkten och koppla bort den från nätverket för att minska risken för att skadlig kod sprids
- Inneslut attacken. Koppla bort alla andra enheter i nätverket som kan vara sårbara för attacken för att förhindra att utpressningstrojanen sprider sig vidare
- Försök att dekryptera data och ta bort utpressningstrojanen. Detta bör endast utföras av ett kompetent säkerhetsteam, annars riskerar du att förvärra situationen
- Använd en tredje part. En tredjepartsspecialist kanske kan hjälpa till att återställa dina filer så att du inte behöver betala lösensumman
Utpressningstrojaner är en typ av skadlig kod som cyberbrottslingar använder för att smitta en enhet eller ett nätverk med skadlig programvara, som sedan krypterar filer och konverterar värdefulla data till oläslig kod. Dessa data hålls sedan som gisslan av cyberbrottslingar, som endast kommer att dekryptera dem mot en avgift.
