Sverige | Svensk Lokationer

018 84 36 203 Påbörja Din Dataräddning
018 84 36 203
018 84 36 203
Påbörja Din Dataräddning

Den kompletta guiden om Ransomware

Written By: Ontrack

Date Published: november 25, 2024

Den kompletta guiden om Ransomware

Arrow Left Tillbaka till listningen
  • ransomware-1

    Vad är Ransomware? Den kompletta guiden

    Ransomware är en form av skadlig programvara utformad för att antingen blockera åtkomst till ett datorsystem genom att kryptera data eller för publicera ett offers data online. Angriparen kräver en lösensumma från offret och lovar – inte alltid sanningsenligt – att återställa åtkomsten till data efter betalning.
    Sedan 1980-talet, speciellt under det senaste decenniet, har man sett en ökning av olika ransomware. Det som gjorde möjligheterna för angriparna riktigt stora var introduktionen av Bitcoin. Denna kryptovaluta tillåter angripare att enkelt ta emot pengar från sina offer utan att gå via traditionella kanaler och därigenom riskera att bli upptäckta.

    Ransomware attacker: Hur kommer cyberbrottslingen in?

    En ransomware-attack börjar när skadlig programvara laddas ner till en enhet. Exempel är bärbara datorer, smartphones eller stationära datorer. Den skadliga programvaran laddas normalt ner på grund av att användaren blir lurad och tror att det som laddas ner är något helt ofarligt. Det kan även bero på ett otillräckligt tekniskt skydd till följd av bristande IT säkerhet.

(Spear) Phishing mail

Det vanligaste sättet att förmå någon att ladda ner ett skadligt program är att skicka ett e-postmeddelande som innehåller en bilaga eller en länk till det som ska laddas ned, ett så kallat ”phishing email” (nätfiske).

Infekterade webbsidor och Malvertising/Adware

Infekterade webbadresser används vanligtvis för att distribuera ransomware. Om du klickar på en av dessa länkar, antingen via ett e-postmeddelande eller en overifierad webbplats, kan det automatiskt utlösa en nedladdning av ransomware till din hårddisk, även känd som en "drive-by download". Att bara besöka webbplatsen utan att ens ladda ner något kan leda till en ransomware-attack.

Fjärråtkomstpunkter (RDP)

Ett ökande antal attacker får tillgång till företag som har öppna och exponerade fjärråtkomstpunkter, såsom RDP och virtuella nätverksdatorer (VNC). RDP-lösenord kan vara ”brute forced”, erhållas från lösenordsläckor eller helt enkelt köpas på svarta marknaden. Där tidigare ransomware-brottslingar skulle skapa en ”command-and-control environment” för ransomware och dekrypteringsnycklar, närmar sig nu de flesta brottslingar sina offermed ransom meddelanden som innehåller en anonym e-postadress, vilket gör att brottslingarna kan hålla sig bättre gömda.
När ransomware har infekterat ett system kommer det att ta över avancerade processer; söka efter filer att kryptera; skadlig programvara kommer att förstöra eller radera de filer som den inte kan kryptera. Det kan infektera alla externa enheter som är anslutna till värddatorn. För mer sofistikerade attacker är detta bara början på en serie händelser som beskrivs i Lockheed Martin Cyber Kill Chain® ramverket och MITER ATT&CK® kunskapsbas.

 

Olika ransomware-taktik

Ransomware kallas även utpressningsprogram. Cyberkriminella använder olika taktiker för att få pengar.

Krypterar data

I många fall talar experter också om krypteringstrojaner, eftersom utpressningen är baserad på det faktum att data är kodad och oåtkomlig för användaren. Dekrypteringsnyckel i utbyte mot pengar utlovas sedan.

Leak ware eller Dox ware

En annan typ av skadlig programvara kallas leak ware eller Dox ware. Det är här angriparen kommer att hota att offentliggöra känslig information från offrets hårddiskar om inte en lösen betalas. Ofta handlar det om e-post och Word-dokument, men det har även förekommit fall av mobilvarianter där privata meddelanden, bilder och kontaktlistor från användarnas telefoner har offentliggjorts.

Dox ware är en mer framgångsrik metod än ransomware när det gäller att få pengarna från offret. När det gäller ransomware klarar du dig så länge du har en backup som angriparen inte kommit åt att kryptera. Det hjälper inte i fallen med Dox ware, angripare har då data som offret inte vill ska offentliggöras och det finns inte mycket annat att göra än att betala.

Locking

Det har också förekommit fall där den skadliga programvaran visar ett meddelande som hävdar att användarens "Windows" är låst. Användaren uppmanas sedan att ringa ett telefonnummer till "Microsoft" och ange en sexsiffrig kod för att återaktivera systemet. Meddelandet hävdar att telefonsamtalet är gratis, men det är det inte. När användaren ringer numret, tar användaren ut höga avgifter för fjärrsamtal.

Wiper

Skadlig programvara med enda syfte att permanent förstöra åtkomst till data genom att den skrivs över.

Dubbel och trippel utpressning

Med tiden har det uppstått nya taktiker som kombinerar datakryptering med stöld av data (dubbel utpressning). Dessutom utsätts den angripne för en distribuerad denial-of-service (DDoS) attack och resultatet blir ett tredubbelt angrepp.

 

Ransomware-hotgrupper och varianter

Hotet kommer från olika typer av aktörer med olika motiv och kompetensnivåer som varierar från främmande stater, kriminella, hacktivister, script kiddies, spänningssökare och insiders. Olika hotgrupper utvecklade många olika varianter av ransomware och nya skapas hela tiden. Dessa grupper specialiserar sig ofta och samarbetar med varandra.

A few examples of some famous ransomware variants developed by these groups over the last few years:
2024 AKIRA, SEXi ransomware
2023 Lockbit, AlpVM, Clop (sometimes written “Cl0p”, Royal 
2022 BlackBasta 
2021 Black cat
2020 NetWalker
2019 REvil /Sodinokibi , MedusaLocker, Maze, DoppelPaymer, Anatova
2018 Ryuk, GandCrab
2017 WannaCry, Dharma, BitPaymer, BadRabbit
2016 Petya NotPetya, Locky, Cerber
2015 SamSam
2014 Emotet
2013 Cryptolocker

En omfattande översikt över hotgrupperna och varianterna finns här: https://github.com/cert-orangecyberdefense/ransomware_map 

Är jag ett mål för ransomware?

I dagens ständigt uppkopplade samhälle är det inte längre frågan om huruvida ett företag kommer att utsättas för en attack, det är en fråga om när det kommer att ske.

När man följer nyhetsflödet förstår man att organisationer från en mängd olika sektorer och branscher har fallit offer för ransomware-attacker. Från sjukvård till flygbolag, angriparna verkar inte ha några preferenser för vilka de riktar in sig på, eller har de det?

En angripare kommer normalt att välja en organisation att slå till mot baserat på två saker:
1. Möjligheter att ta sig in i systemen
2. Potentiell ekonomisk vinning genom att offret betalar lösensumman

Möjligheter
Om en organisation har ett litet säkerhetsteam, saknar IT-resurser och har många användare som delar många filer, som till exempel ett universitet, kan en angripare se detta som ett enkelt mål.

Potentiell ekonomisk vinst
Organisationer som behöver omedelbar tillgång till sina filer, till exempel advokatbyråer eller statliga myndigheter kan vara mer benägna att betala en lösensumma snabbt. Organisationer med känsliga data kan också vara villiga att betala för att tysta ner händelsen snabbt och smidigt.

Ska jag betala lösensumman?

Man skulle kunna tycka att det är illa nog att behöva betala en lösensumma för att få tillgång till sina egna data, men det kan blekna i jämförelse med de faktiska följderna och kostnaderna efter en attack. Några exempel är:

  • Skadad och förstörd, eller helt förlorad, data
  • Produktionsbortfall
  • Störningar i den normala verksamheten efter attacken
  • IT forensiska utredningar
  • Räddning av förlorade data och rensning av skadlig kod från IT system
  • Skada på varumärket
  • Utbildning av anställda som direkt följd av attackerna

När du tar hänsyn till ovanstående är det inte konstigt att skadorna på grund av ransomware förutspås stiga. När du pratar med cyberbrottsexperter uppmanar de flesta dig att inte betala lösensummor eftersom finansiering av den brottsliga verksamheten bara kommer att bidra till att skapa mer ransomware. Trots detta är det många företag som ställer värdet på sina krypterade data mot lösensummans storlek. Men varför betalar organisationer sina angripare?

Även om att vägra betala ransomware föreslås för det bredare näringslivet, är det kanske inte det bästa sättet för företaget självt. När det finns en chans att företaget permanent kan förlora åtkomst till sina viktigaste data, ådra sig böter från tillsynsmyndigheter eller helt och hållet gå i konkurs kan företagens alternativ verka dystra. Valet mellan att betala en relativt blygsam lösensumma och kunna fortsätta sin verksamhet eller att vägra betala för att hjälpa det bredare näringslivet är en enkel fråga för väldigt många. I många fall är lösensumman satt till en punkt som tillräckligt låg för att understiga kostnaderna för att rekonstruera data eller helt enkelt börja om från noll. Det händer även att rabatter erbjuds om offret betalar inom en viss tid, till exempel tre dagar.

Med det i åtanke bygger vissa företag upp reserver av Bitcoin specifikt för dessa situationer.

Hur man förhindrar en ransomware-attack

Ransomware variants will target different business verticals. Those who are at risk should take precautions to reduce their risk and lessen the effects of an attack.One of the most important plans your organization should have in place is a Disaster Recovery Plan. If you don’t have one in place, the chances are that the consequences will be severe. Many  companies that experience data loss and downtime for ten or more days file for bankruptcy within 12 months.

Disaster Recovery Plan

En DRP, disaster recovery plan, beskriver olika scenarier för att snabbt kunna återuppta arbetet efter en katastrof, till exempel efter en ransomware-attack. En viktig del i en organisations DRP är att beskriva och möjliggöra återställning av data. Den bör även innehålla förebyggandende åtgärder för att undvika dataförluster till följd av angrepp. En DRP beskriver en mängd olika scenarier för att snabbt återuppta arbetet efter en IT incident, så som ransomware-attacker.

Kom ihåg att hålla planen uppdaterad och att den senaste versionen även finns utskriven på papper. Om den bara sparats på en server som nu blivit krypterad så är även den bästa planen värdelös. Om du inte har en DRP kan du ladda ner vår kostnadsfria mall här.

Andra rekommendationer inkluderar:

  1. Se till att du har uppdaterade säkerhetskopior som inte är online hela tiden. När du blivit attackerad är detta det viktigaste av allt. Har du en säkrad backup och en rutin för återläsning som du tränat på och testat så har du den snabbaste och bästa lösningen för att återställa alla dina viktiga data.

  2. Var förberedd genom att testa säkerhetskopior regelbundet. Alla måste vara bekanta med vad som lagrats var och se till att den mest kritiska informationen är tillgänglig när attackerna riktar in sig på just backuperna.

  3. Genomför användarutbildning för att säkerställa att alla anställda kan upptäcka en potentiell attack. Se till att användarna är medvetna om hur de undviker att oavsiktligt ladda ner ransomware eller öppna nätverket för utomstående.

  4. Implementera säkerhetspolicyer. Uppdatera och använd den senaste programvaran för antivirus, anti-malware och intrångsskydd. Övervaka ständigt för att undvika att bli infekterad.

  5. Se till att du har innehållsskanning och filtrering på dina e-postservrar. Skanna alla inkommande e-postmeddelanden efter kända hot och blockera alla typer av bilagor som kan utgöra ett hot.

  6. Utveckla IT-policyer som hindrar attacken från att spridas genom nätverket. Företag bör införa skyddsåtgärder, så om en enhet blir infekterad med ransomware genomsyrar den inte hela nätverket.

  7. Försäkra dig om att du har serviceavtal med, och kontaktuppgifter till, dataräddningsspecialister som Ibas Ontrack. Detta arbete måste inledas i god tid innan du blir attackerad.

  8. Kommunikation är nyckeln under kriser. Skapa e-postadresser för användning i nödsituationer (för de viktigaste beslutsfattarna) som är åtskilda från företagsmiljön, till exempel hos en molnleverantör som gmail, yahoo etcetera. Ange dessa, inklusive inloggningsuppgifterna, i din disaster recovery plan. En företagsövergripande WhatsApp-grupp har också varit avgörande för många företag. En extern fildelningsserver är också till hjälp. Detta snabbar upp och underlättar kommunikationen efter en incident.

Minska exponeringen för cyberrisk: hantera datalivscykeln

Hantering av data över hela dess livscykel är ibland inte prioriterat för företag och andra organisationer. Men utan en strategi för hur data ska hanteras genom hela livscykeln, utsätter en organisation sig för allvarliga säkerhetsrisker och kostnader. Idag kan kostnaderna bli enorma om man inte skyddar sitt data genom hela livscykeln och sedan raderar den på rätt sätt.

Det är inte bara ransomware-attacker som företag och organisationer måste se upp med, dataintrång, skadat rykte, förlorade kunder, driftstopp och höga böter är alla potentiella risker för en organisation som inte hanterar data på ett tillräckligt säkert sätt. De som tar sig tid att investera nödvändiga ansträngningar och resurser i datalivscykelhantering kan minimera riskerna och kostnaderna för sin affärskritiska data i alla skeden.

Hur Ibas Ontrack har hjälpt organisationer som drabbats av ransomware

På Ibas Ontrack lär vi oss kontinuerligt mer om olika typer av Ransomware. Ransomware förändras och utvecklas hela tiden, så vi försäkrar oss alltid om att vi är uppdaterade och att vi har den senaste teknologin till hands. Att studera ransomware och dess ständigt föränderliga former ger ytterligare kunskap och erfarenhet, vilket leder till en högre sannolikhet att vi kommer att kunna rädda data som har gått förlorad till följd av en attack. När det kommer till förlorade data är det alltid bäst att kontakta en expert. Om du befinner dig under en ransomwareattack, kontakta Ibas Ontrack direkt för kostnadsfri rådgivning kring hur du kan återfå tillgången till dina data.

Nedan är några exempel på framgångsrika dataräddningar som vi genomfört efter ransomwareattacker.

Cyberattack on VMware Datastore and Virtual Backups

Data Recovery from Malware-Infected Virtual Files

Hospital databases rescued from ransomware

Merge files of damaged backup with corresponding virtual files

Rescued MS SQL database from encrypted virtual backup on QNAP

Taking Advantage of Hackers’ Mistakes in a Ransomware Attack

 

Visit our Ransomware Recovery page

Prenumerera på vårt nyhetsbrev

Relaterade Ämnen

Vanliga felkoder i hårddiskar | Hårddiskkrasch | Ibas

Varför har Ibas Ontrack världens bästa teknologi för dataåterställning?

Bakgrundsinformation om RAID
Tjänster
Produkter
Resurser
Om Ibas Ontrack

Ibas Ontrack AB, Bangårdsgatan 13, 75 320 Uppsala, Sverige (Se alla adresser)

© 2024 KLDiscovery Ontrack - All Rights Reserved.