Enligt den senaste hotrapporten från McAfee ökade ransomware-attackerna med 118 % under det första kvartalet 2019. Inte nog med att det skedde en avsevärd ökning av antalet attacker under året. Det dök dessutom upp nya sorters ransomware och cyberbrottslingar använde mer innovativa tekniker för att orsaka kaos.
Nya typer av ransomware
Cyberbrottslingarna fortsätter hitta på nya och innovativa sätt att rikta in sig mot och smitta företag. Riktade nätfiskeattacker är fortfarande ett populärt val bland förövarna. De som gjort undersökningen på McAfee påpekade också att ”ett växande antal attacker får åtkomst till företag som har öppna och exponerade fjärråtkomstpunkter, till exempel RDP (Remote Desktop Protocol) och VNC (Virtual Network Computing)”. Hackare kan komma åt dessa användaruppgifter eftersom företagen ofta lämnar RDP-klientportar öppna mot internet. Det är enkelt att genomsöka block med IP-adresser efter öppna RDP-portar. Angriparna försöker sedan knäcka inloggningsnamnet och lösenordet för fjärrinloggning. Hackarna kan dessutom få tag på RDP-användaruppgifter från svarta börsen och platser med läckta lösenord.
Anatova
En nyhet som upptäcktes under 2019 var ransomware-familjen Anatova. Denna nya familj maskerar sig som en spel- eller programikon för att lura användaren att ladda ned det. Det är en extremt avancerad form av skadlig programvara som snabbt anpassar sig och använder olika tekniker för att undgå upptäckt och sprida sig. På grund av dess modulära design kan det innehålla andra inbäddade funktioner som gör att det kan motverka metoder avsedda att stoppa ransomware. Lyckligtvis upptäckte teamet för avancerad hotidentifiering på McAfee denna nya ransomware-familj i början av 2019 innan den blev ett allvarligt hot.
Dharma
Ransomware-familjen Dharma är en variant av CrySiS och har funnits sedan 2018, men cyberbrottslingar fortsätter släppa nya varianter som är omöjliga att dekryptera.
GandCrab
En skadlig form av ransomware som använder AES-kryptering och placerar en fil med namnet GandCrab.exe i systemet. GandCrab angriper konsumenter och företag med datorer som kör Microsoft Windows. Den 31 maj 2019 publicerade cyberbrottslingarna bakom GandCrab ett tillkännagivande där de meddelade att de stoppade alla ytterligare ransomware-attacker med GandCrab och hävdade att de hade fått mer än två miljarder dollar i lösensummor och gick i ”välförtjänt pension”.
Ryuk
Ryuk riktar sig specifikt mot stora organisationer för att få hög ekonomisk avkastning. Enligt CrowdStrike drog Ryuk mellan augusti 2018 och januari 2019 in mer än 705,80 bitcoin från 52 transaktioner till ett totalt="" värde på 3 701 893,98 dollar. Det väckte uppmärksamhet för första gången genom sin attack på Tribune Publishings verksamhet under julen 2018. Först trodde företaget att det bara rörde sig om ett serveravbrott, men det stod snart klart att det handlade om Ryuk-ransomware.
Ett annat begrepp för ransomware som Ryuk, som riktar sig mot stora företag för att ge hög avkastning, är ”big game hunting” eller ”storviltsjakt”. Sådana storskaliga attacker inbegriper specialanpassning av attackerna mot det aktuella målet, vilket gör attackerna mer effektiva. ”Storviltsjakt” kräver därför mycket mer arbete av hackaren och sker ofta i faser. Fas ett kan till exempel handla om en nätfiskeattack i syfte att smitta ett företagsnätverk med skadlig programvara som kartlägger systemet och identifierar viktiga tillgångar att rikta in sig mot. Fas två och tre blir då en serie utpressningsattacker med krav på lösensummor.
Emotet
Emotet var ursprungligen ett skadligt program som riktades mot banker. Det smög sig in på datorn och stal känslig och privat information. Emotet dök upp första gången 2014 och har funnits i en mängd olika versioner och utvecklats till ransomware som kan undvika upptäckt även av vissa anti-malware-produkter. Emotet har sedan starten stulit bankinloggningar, ekonomiska data och bitcoin-plånböcker från enskilda personer, företag och myndigheter i hela Europa och USA.
Emotet har maskliknande funktioner för att sprida sig till andra datorer och introduceras vanligtvis av hackare via skräppostmeddelanden som är utformade för att se legitima ut och har ett inbjudande språk avsett att lura offret att klicka på länken.
Emotet är ett av de mest kostsamma och destruktiva skadliga programmen. Enligt det amerikanska departementet för inre säkerhet uppgår kostnaden för åtgärder efter en genomsnittlig Emotet-attack till en miljon dollar.
Infographics om Ransomware
Så kan ransomware förhindras
Det finns många saker att tänka på när man bekämpar ransomware. I och med att det finns så många olika typer av skadlig programvara bör du känna till och följa dessa tre huvudtips.
1. E-postsäkerhet är A och O
Enligt McAfee fortsätter skräppost att vara en av de viktigaste ingångarna för ransomware-virus, särskilt när det gäller riktade attacker. Därför är det viktigt för alla som driver ett nätverk eller ansluter till internet att säkra denna primära sårbarhetskälla.
De flesta användare utlöser en ransomware-attack genom att öppna något som ser ut som ett normalt="" e-postmeddelande och som innehåller viruset i ett dokument eller foto, en video eller en annan typ av fil. De flesta av dagens hackare behöver inte mycket kunskap för att infoga malware i en fil. Det finns mängder av artiklar och YouTube-beskrivningar med detaljerade anvisningar om hur det går till.
Av detta skäl bör du alltid undvika att öppna e-postmeddelanden från okända avsändare. Informera företagets datasäkerhetsansvariga eller IT-team omedelbart om du får ett meddelande från en okänd källa.
Kom ihåg: Att skydda företagets IT-system och data är alltid rätt beslut.
2. Gör nätverket och IT-miljön säkra
Ransomware som infekterar en enstaka dator är utan tvekan ett allvarligt problem. Men om det sprider sig över hela nätverket kan det inte bara bli en mardröm för IT-avdelningen utan också äventyra hela verksamheten.
Företag som inte redan har gjort det bör överväga att implementera säkerhetsprogram som kontrollerar alla inkommande e-postmeddelanden innan den avsedda mottagaren tar emot dem. En sådan lösning minskar dramatiskt risken för att virus sprids i ett företagsnätverk. Dessutom bör IT-administratörer och företagsledningar överväga att implementera säkerhetsprogram som automatiskt övervakar nätverket och dess filer och identifierar hot. Lösningen varnar också administratörerna om en ransomware-attack försöker kryptera stora mängder filer via nätverket.
Sist men inte minst: Uppdatera alltid programvara och operativsystem med de senaste korrigeringarna så fort sådana blir tillgängliga. Så som ofta poängteras blir hackarnas attacker bara framgångsrika om offret har luckor i sin datasäkerhetspolicy.
3. Gör personalen medveten
Också erfarna datoranvändare får panik när de inser att de står inför en ransomware-attack. Därför är det viktigt att alla anställda på företaget vet exakt vad de ska göra vid en attack, också chefer på hög nivå och IT-ansvariga.
Ransomware-attacker ska inte bara vara en del av en affärskontinuitetsplan för företagsledningen eller IT-experterna. Konkreta tips på vad man ska göra om man drabbas av en attack ska vara synliga och ha förståtts på varje arbetsplats. Det kan handla om enkla men effektiva råd som att
- koppla från internet och interna nätverk
- försöka stänga av enheten på rätt sätt eller omedelbart ringa ansvariga för IT-säkerhet/ IT-administration.
Personal inom både IT-säkerhet och IT-administration bör fortlöpande utbilda sig om den senaste utvecklingen inom cybersäkerhet och hackning. Att läsa de senaste bloggnyheterna för att hålla sig informerad om utvecklingen på området och om kryphål i nätverk och programvara bör därför vara en nödvändighet för dessa roller.
Vad ska du göra om du drabbas av ransomware ?
Om ransomware av en eller annan anledning lyckas tränga in i ditt system bör du göra följande:
- Betala aldrig lösen! Att betala brottslingarna är ingen garanti för att du får tillbaka dina data. I många fall (och med största säkerhet om det handlar om skadlig programvara av typen ”ranscam” eller ”wiper”) kommer du inte att få tillbaka dina data, utan förlorar både data och pengar!
- Försök inte dekryptera data själv. Vissa specialister kan ha kompetens att återställa förlorade data, men det gäller att anlita rätt företag. Om något går fel kan informationen bli förstörd för alltid.
Återställa data från ransomware
Ur ett dataräddningsperspektiv är varje ransomware-attack unik. Det finns inte bara stora skillnader i hur ransomware-varianterna krypterar data och sprids i nätverket, utan också hur de riktar sig mot olika områden i datalagringssystemen.
Vissa system och datastrukturer är mer komplexa och tar längre tid att återställa. Eftersom varje situation är unik är det en god idé att kontakta en specialist och fråga om han eller hon är bekant med den aktuella typen av ransomware. Specialisten kan ge dig råd om huruvida det är värt att skicka in enheten för att försöka återställa informationen och berätta om han eller hon har lyckats i liknande fall tidigare.
Attackerna under de senaste åren visar att ransomware fortsätter vara ett allvarligt hot mot både privatpersoner och företag. Det lönar sig därför att se över datasäkerhet, nätverkspolicy, användarutbildning och säkerhetskopieringsrutiner.
När det gäller säkerhetskopiering rekommenderar vi att säkerhetskopior av verksamhetskritiska data lagras på externa lagringsenheter som inte ansluts till nätverket, till exempel .
Om säkerhetskopiorna inte fungerar eller om de drabbas av ransomware är det bäst att kontakta en professionell leverantör av dataräddningstjänster som kan försöka återställa informationen från det smittade lagringsmediet eller kringgå själva ransomware-programmet för att återställa data.