-
Hva er løsepengevirus ? Den komplette guiden
Løsepengevirus/Ransomware er en form for ondsinnet programvare som enten blokkerer tilgangen til et datasystem eller publiserer offerets data på nettet. Angriperen krever løsepenger fra offeret, og lover - ikke alltid sannferdig - å gjenopprette tilgangen til dataene mot betaling.
Siden 1980-tallet har det dukket opp stadig flere ulike løsepengevirus, men den virkelige muligheten for angriperne har økt etter introduksjonen av Bitcoin. Denne kryptovalutaen gjør det enkelt for angriperne å samle inn penger fra ofrene sine uten å gå gjennom tradisjonelle kanaler.
Angrep med løsepengevirus: Hvordan kommer den nettkriminelle inn?
Et løsepengevirusangrep begynner med at ondsinnet programvare lastes ned på en enhet. Eksempler på enhetstyper er bærbare datamaskiner, smarttelefoner eller stasjonære datamaskiner. Skadelig programvare lastes vanligvis ned på grunn av brukerfeil eller utilstrekkelige sikkerhetsprotokoller.
(Spear) Phishing-epost
Den vanligste måten å lure noen til å laste ned et ondsinnet program på, er å sende en e-post som inneholder et vedlegg eller en lenke til nedlastingen, en såkalt «phishing-e-post».
Infiserte nettsider og skadelig reklame/programvare
Infiserte nettadresser brukes ofte til å distribuere løsepengevirus. Hvis du klikker på en av disse lenkene, enten det er via en e-post eller et ubekreftet nettsted, kan det automatisk utløse en nedlasting av løsepengevirus til harddisken din, også kjent som en «drive-by-download». Bare det å besøke nettstedet uten å laste ned noe som helst kan føre til et løsepengevirusangrep.
Eksterne tilgangspunkter (RDP)
Stadig flere angrep får tilgang til bedrifter som har åpne og eksponerte eksterne tilgangspunkter, for eksempel RDP og VNC (Virtual Network Computing). RDP-passord kan finnnes ved et «brute force» angrep, hentes fra passordlekkasjer eller rett og slett kjøpes i undergrunnsmarkedet. Der de kriminelle tidligere satte opp et kommando og kontrollmiljø for løsepengeviruset og dekrypteringsnøklene, henvender de fleste kriminelle seg nå til ofrene med løsepengebrev som inkluderer en anonym e-postadresse, slik at de kriminelle kan holde seg bedre skjult.
Når løsepengevirus har infisert et system, tar det over enhetens kritiske prosesser og søker etter filer som kan krypteres. Skadevaren krypterer alle dataene på enheten eller sletter de filene den ikke kan kryptere. Den kan infisere alle eksterne enheter som er koblet til vertsmaskinen. For mer sofistikerte angrep er dette bare starten på en rekke hendelser som er beskrevet i Lockheed Martin Cyber Kill Chain®-rammeverket og MITRE ATT&CK®-kunnskapsbasen.
Ulike taktikker for løsepengevirus
Løsepengevirus kalles også utpressingsprogramvare. Cyberkriminelle bruker ulike taktikker for å få penger.
Kryptering av data
I mange tilfeller snakker eksperter også om krypteringstrojanere, siden utpressingen er basert på det faktum at dataene er kryptert og utilgjengelige for brukeren. Cyberkriminelle lover dekrypteringsnøkkel i bytte mot penger.
Datatyveri og eksfiltrering Leak ware eller Dox ware
En annen type skadelig programvare kalles leak ware eller Dox ware. Her truer angriperen med å frigjøre sensitive data på offerets harddisk med mindre det betales løsepenger. Ofte er målet e-post og Word-dokumenter, men det har også forekommet tilfeller av mobilvarianter der private meldinger, bilder og kontaktlister fra brukernes telefoner har blitt frigitt.
Dox ware er anerkjent som en mer effektiv skadelig programvare enn løsepengevirus - når det gjelder å få penger fra offeret. Med løsepengevirus kan du ta separate sikkerhetskopier av data som ikke lenger er tilgjengelige, men med Dox ware er det lite å gjøre, bortsett fra å betale, når angriperen først har informasjon som offeret ikke ønsker skal offentliggjøres.
Locking
Det har også forekommet tilfeller der skadelig programvare viser en melding som hevder at brukerens «Windows» er låst. Brukeren oppfordres deretter til å ringe et «Microsoft»-telefonnummer og taste inn en sekssifret kode for å reaktivere systemet. Meldingen hevder at telefonsamtalen er gratis, men dette er ikke sant. Mens brukeren ringer det falske «Microsoft»-nummeret, påløper det kostnader for langdistansesamtaler.
Wiper
Skadelig programvare som har som eneste formål å ødelegge tilgangen til data permanent.
Dobbel og trippel utpressing
Med tiden har det dukket opp nye taktikker som kombinerer datakryptering med datatyveri (dobbel utpressing) og distribuert denial-of-service (DDoS-angrep) (trippel utpressing).
Trusselgrupper og varianter av løsepengevirus
Trusselen kommer fra ulike typer aktører med ulike motiver og ferdighetsnivåer, alt fra nasjonalstatlige aktører, kriminelle, hacktivister, script kiddies/spenningssøkere og innsidere. Ulike trusselgrupper har utviklet mange forskjellige varianter av løsepengevirus, og det kommer stadig nye varianter. Disse gruppene spesialiserer seg ofte og samarbeider.
Noen eksempler på noen kjente varianter av løsepengevirus som er utviklet av disse gruppene de siste årene:
2024 AKIRA, SEXi ransomware
2023 Lockbit, AlpVM, Clop (sometimes written “Cl0p”, Royal
2022 BlackBasta
2021 Black cat
2020 NetWalker
2019 REvil /Sodinokibi , MedusaLocker, Maze, DoppelPaymer, Anatova
2018 Ryuk, GandCrab
2017 WannaCry, Dharma, BitPaymer, BadRabbit
2016 Petya NotPetya, Locky, Cerber
2015 SamSam
2014 Emotet
2013 Cryptolocker
En omfattende oversikt over trusselgrupper og varianter finner du her: https://github.com/cert-orangecyberdefense/ransomware_map
Er jeg et mål for løsepengevirus?
I dagens nettverden er ikke spørsmålet om en organisasjon vil bli angrepet, men når og hvor godt forberedt den vil være.
Hvis du leser nyheter, har du sikkert lagt merke til at organisasjoner fra en rekke ulike sektorer og bransjer har blitt utsatt for løsepengevirusangrep. Angriperne ser ikke ut til å ha noen preferanser når det gjelder hvem de angriper, eller har de det?
En angriper vil normalt velge en organisasjon å angripe basert på to ting:
1. Mulighet
2. Potensiell økonomisk gevinst
Mulighet
Hvis en organisasjon har et lite sikkerhetsteam, mangler IT-ressurser og har en brukerbase som deler mange filer, f.eks. et universitet, kan en angriper se på dette som et enkelt mål.
Potensiell økonomisk gevinst
Organisasjoner som trenger umiddelbar tilgang til filene sine, f.eks. advokatfirmaer eller offentlige etater, kan være mer tilbøyelige til å betale løsepenger raskt. Organisasjoner med sensitive data kan også være villige til å betale for å holde nyheten om datainnbruddet hemmelig.
Bør jeg betale løsepenger?
Man skulle tro at det å betale løsepenger for å få tilgang til dataene dine var ille nok, men det kan blekne i forhold til de faktiske skadekostnadene som er forbundet med et angrep. Ytterligere konsekvenser inkluderer:
- Skade og ødeleggelse (eller tap) av data
- Tapt produktivitet
- Forstyrrelser i den normale forretningsdriften etter angrepet
- Kriminalteknisk etterforskning
- Gjenoppretting og sletting av data og systemer som er infisert
- Skader på omdømmet
- Opplæring av ansatte som direkte respons på angrepene
Når man tar det ovennevnte i betraktning, er det ikke rart at skadene som følge av løsepengevirus spås å øke. Når du snakker med eksperter på nettkriminalitet, oppfordrer de fleste deg til ikke å betale løsepenger, ettersom finansiering av løsepengevirusangripere bare vil bidra til å skape mer løsepengevirus, selv om mange organisasjoner går imot dette rådet og veier kostnaden for de krypterte dataene opp mot løsepengene som blir krevd. Men hvorfor betaler organisasjoner angriperne?
Selv om det anbefales å nekte å betale løsepengevirus for næringslivet, er det ikke sikkert at det er den beste løsningen for virksomheten selv. Når det er en sjanse for at virksomheten permanent kan miste tilgangen til viktige data, pådra seg bøter fra tilsynsmyndigheter eller gå konkurs helt, kan alternativene virke dystre. Valget mellom å betale et relativt beskjedent løsepengebeløp og fortsette virksomheten, eller å nekte å betale for å hjelpe det øvrige næringslivet, er for de fleste en no brainer. I enkelte tilfeller av løsepengevirus er løsepengene som kreves, ofte satt så høyt at det lønner seg for angriperen, men samtidig så lavt at det ofte er billigere enn om offeret skulle betale for å rekonstruere de tapte dataene. Noen ganger tilbys det også rabatter hvis offeret betaler innen en viss tidsramme, f.eks. tre dager.
Med dette i tankene bygger noen selskaper opp reserver av Bitcoin spesielt for betaling av løsepenger.
Slik forebygger du angrep med løsepengevirus
Ulike varianter av løsepengevirus retter seg mot ulike bransjer. De som er i faresonen, bør ta forholdsregler for å redusere risikoen og dempe virkningene av et angrep. En av de viktigste planene organisasjonen din bør ha på plass, er en plan for gjenoppretting etter en katastrofe. Hvis du ikke har en slik plan på plass, er sjansen stor for at konsekvensene blir alvorlige. Mange selskaper som opplever datatap og nedetid i ti dager eller mer, går konkurs innen 12 måneder.
Plan for gjenoppretting etter en katastrofe (Disaster Recovery Plan)
En plan for gjenoppretting etter en katastrofe beskriver ulike scenarier for å gjenoppta arbeidet raskt etter en katastrofe, f.eks. et løsepengevirusangrep. En viktig del av en virksomhets kontinuitetsplan bør ta høyde for tilstrekkelig IT-gjenoppretting og forebygging av datatap. En plan for gjenoppretting etter en katastrofe beskriver ulike scenarier for hvordan arbeidet kan gjenopptas raskt etter en katastrofe, f.eks. et løsepengevirusangrep. En viktig del av organisasjonens kontinuitetsplan bør omfatte en plan for gjenoppretting etter en katastrofe, som gir mulighet for tilstrekkelig IT-gjenoppretting og forebygging av datatap.
Husk å holde planen oppdatert og også ha noen trykte versjoner. For hvis den ligger på en kryptert server eller harddisk, er selv den beste nødplan ubrukelig. Hvis du ikke har en katastrofeplan, kan du laste ned vår gratis mal her.
Andre anbefalinger inkluderer:
-
Sørg for at du har oppdaterte sikkerhetskopier som ikke er online og en god rutine for restore av data - på denne måten kan du gjenopprette filene dine fra en sikkerhetskopi å få tilbake tilgangen til dataene dine hvis noe skulle skje.
-
Vær forberedt ved å teste sikkerhetskopiene regelmessig. Organisasjoner må være kjent med hva som er lagret i sikkerhetskopieringsarkivene, og sørge for at de mest kritiske dataene er tilgjengelige hvis løsepengevirus skulle ramme sikkerhetskopiene.
-
Gjennomfør brukeropplæring for å sikre at alle ansatte kan oppdage et potensielt angrep. Sørg for at de ansatte kjenner til beste praksis for å unngå å laste ned løsepengevirus ved et uhell eller åpne nettverket for utenforstående.
-
Implementer sikkerhetsretningslinjer. Bruk den nyeste programvaren mot virus, skadevare og endepunktsdeteksjon, og overvåk den jevnlig for å forhindre infeksjoner.
-
Sørg for at du har innholdsskanning og -filtrering på e-postserverne dine. Skann alle innkommende e-poster for kjente trusler, og blokker alle typer vedlegg som kan utgjøre en trussel.
-
Utvikle IT-policyer som begrenser infeksjoner på andre nettverksressurser. Bedrifter bør iverksette sikkerhetstiltak, slik at hvis én enhet blir infisert med løsepengevirus, kan det ikke spre seg til hele nettverket.
-
Sikre ressursene til hendelsesteam og Ontrack-spesialister på datarekonstruksjon i rolige tider med hovedserviceavtaler for nødstilfeller.
-
Kommunikasjon er nøkkelen under en krise. Opprett e-postadresser til bruk i krisesituasjoner (for de viktigste beslutningstakerne) som er adskilt fra bedriftsmiljøet, f.eks. hos en gratis sky-e-postleverandør som gmx. yahoo osv. Legg inn disse, inkludert påloggingsdata, i beredskapsplanen. En felles whatsapp-gruppe for hele bedriften har også vært nyttig for berørte bedrifter. En ekstern fildelingsserver er også nyttig. Dette gjør kommunikasjonen raskere og enklere etter en hendelse.
Reduser eksponeringen for cyberrisiko: håndter datas livssyklus
Mange organisasjoner tenker ofte ikke på håndtering av data gjennom hele livssyklusen. Men uten en strategi for datalivssyklusen utsetter organisasjonen seg for alvorlige sikkerhetsrisikoer og kostnader. I dag er prisen for ineffektiv sikring av data «for høy».
Det er ikke bare løsepengevirusangrep organisasjoner må være på vakt mot, men datainnbrudd, skadet omdømme, tapte kunder, nedetid og store bøter er alle potensielle risikoer for en organisasjon som ikke håndterer dataenes livssyklus på en effektiv måte. De organisasjonene som tar seg tid til å investere den nødvendige innsatsen og de nødvendige ressursene i datalivssyklusadministrasjon, kan minimere risikoen og kostnadene knyttet til forretningskritiske data i alle ledd.
Hvordan Ibas Ontrack har hjulpet organisasjoner som er rammet av løsepengevirus
Hos Ibas Ontrack sporer vi kontinuerlig ulike typer løsepengevirus. Løsepengevirus endres og utvikler seg hele tiden, så vi ønsker å sørge for at vi følger med på og studerer de siste endringene og fremskrittene. Ved å studere løsepengevirus og de stadig skiftende formene av dem får vi mer kunnskap og erfaring, noe som øker sannsynligheten for at vi kan rekonstruere data som har gått tapt som følge av et angrep. Når det gjelder utilgjengelige data, er det alltid best å kontakte en ekspert. Hvis du blir angrepet av løsepengevirus, kontakt Ibas Ontrack for en kostnadsffri konsultasjon om hvordan du kan få hjelp til å få tilgang til dataene dine.
Nedenfor finner du noen eksempler på vellykkede tilfeller der vi har gjenopprettet data etter løsepengevirus.
Cyberattack on VMware Datastore and Virtual Backups
Data Recovery from Malware-Infected Virtual Files
Hospital databases rescued from ransomware
Merge files of damaged backup with corresponding virtual files
Rescued MS SQL database from encrypted virtual backup on QNAP
Taking Advantage of Hackers’ Mistakes in a Ransomware Attack
Visit our Ransomware Recovery page