Hvad er ransomware?

Få mere at vide om ransomware, hvordan det fungerer, og hvordan du kan beskytte dig selv og din virksomhed mod denne type cyberangreb.

Definition af ransomware

Ransomware er en type skadelig software, eller malware, som truer et offer med at ødelægge eller blokere adgang til vigtige data eller systemer, indtil der er betalt en løsesum. Historisk set er det mest enkeltpersoner, der er blevet ramt af ransomware, men i nyere tid er menneskedrevet ransomware, som går efter organisationer, blevet en større og sværere trussel, som skal forebygges og modarbejdes. Ved menneskedrevet ransomware bruger en gruppe personer med ondsindede hensigter deres kollektive intelligens til at få adgang til en organisations virksomhedsnetværk. Nogle angreb af denne type er så avancerede, at personerne med ondsindede hensigter bruger interne, finansielle dokumenter, de har afdækket, til at sætte løsesummens størrelse.

Nylige ransomwareangreb

Desværre omtales ransomwaretrusler efterhånden jævnligt i nyhederne. Alene i 2021 steg forekomsten af ransomwareangreb med 935 procent. Som du måske kan forestille dig, kan effekterne være altødelæggende. Her er et blik på nogle nylige ransomwareangreb, og hvordan de har påvirket organisationer.

 

Kronos
 

Human Resources-giganten (HR) Kronos blev ramt af et ransomwareangreb i december 2021, hvor deres system til lønningslister og registrering af fritid for kunder, der bruger Kronos' private sky, blev påvirket. Da rigtig mange organisationer bruger Kronos til HR-tjenester, herunder New York City’s Metropolitan Transportation Authority, George Washington University og Oregon Department of Transportation, var lækket af personlige data og medarbejderoplysninger ingen lille sag.

 

Colonial Pipeline
 

I maj 2021 lukkede den amerikanske virksomhed Colonial Pipeline, der leverer brændstof via rørledninger, deres tjenester ned for at forhindre yderligere sikkerhedsbrud, efter et ransomwareangreb kompromitterede tusindvis af deres medarbejderes personlige oplysninger. Effekterne var katastrofale og sendte gaspriserne i vejret på hele østkysten, som er stærkt afhængige af Colonial Pipeline. I sidste ende betalte virksomheden en løsesum i kryptovaluta på 4,4 millioner USD til den kriminelle hackergruppe DarkSide, hvoraf FBI senere fik cirka 2,3 millioner USD tilbage.

 

Brenntag
 

Den tyske kemiske distributionsvirksomhed Brenntag blev ligesom Colonial Pipeline udsat for et ransomwareangreb af DarkSide. Under dette angreb, som foregik i april 2021, siger DarkSide, at de kunne bryde ind i Brenntags netværk via stjålne legitimationsoplysninger, som de havde købt af en unavngiven sælger. Ved angrebet blev der stjålet mere end 6.000 personers fødselsdatoer, sygesikringsnumre og kørekortnumre samt nogle medicinske data. Efter at have forhandlet den oprindelige løsesum ned til 4,4 millioner USD betalte Brenntag.

 

JBS
 

Den største leverandør af kød i verden, JBS, blev udsat for et ransomwareangreb i maj 2021, som påvirkede deres drift i Nordamerika og Australien. Efter midlertidigt at have taget deres websted offline og forsinket produktionen følte JBS sig presset til at agere for at forhindre, at fødevareforsyningskæden blev forstyrret og for at undgå stigende fødevarepriser. JBS endte med at betale en løsesum på 11 millioner USD i Bitcoin til den cyberkriminelle gruppe REvil.

Hvordan fungerer ransomware?

Ransomwareangreb er afhængige af at få kontrol over en persons eller organisations data eller enhed(er) som et middel til pengeafpresning. Før i tiden var socialt styrede angreb hyppigst, men i nyere tid er menneskedrevet ransomware blevet populært hos kriminelle på grund af potentialet for en enorm betaling.

 

Socialt styret ransomware


Disse angreb bruger phishing – en form for bedrageri, hvor en person med ondsindede hensigter udgør sig for at være en reel virksomhed eller et reelt websted – for at narre et offer til at klikke på et link eller åbne en fil, der er vedhæftet en mail, som vil installere ransomware på vedkommendes enhed. Angrebene indeholder ofte alarmerende meddelelser, der får offeret til at handle af frygt. For eksempel kan en cyberkriminel udgive sig for at være en velkendt bank og sende en mail, der advarer en person om, at vedkommendes konto er blevet frosset pga. mistænkelig aktivitet, og opfordre vedkommende til at klikke på et link i en mail for at løse problemet. Når vedkommende klikker på linket, installeres ransomwaren.

 

 

Menneskestyret ransomware


Menneskestyret ransomware starter ofte med stjålne legitimationsoplysninger til en konto. Når personerne med ondsindede hensigter har fået adgang til en organisations netværk på denne måde, bruger de den stjålne konto til at få fat i legitimationsoplysninger til konti, der har adgang til flere ting, og leder efter data og systemer, der er kritiske for virksomheden, med mulighed for en stor økonomisk gevinst. Derefter installerer de ransomwaren i disse følsomme data eller systemerne, der er kritiske for virksomheden, for eksempel ved at kryptere følsomme filer, så organisationen ikke kan åbne dem, før de betaler en løsesum. Cyberkriminelle beder ofte om betaling i en kryptovaluta på grund af dens anonymitet.

 

Disse personer med ondsindede hensigter går efter større organisationer, som kan betale en højere løsesum end det gennemsnitlige individ, og beder nogle gange efter flere millioner dollars. Pga. de høje risici, der er forbundet med sikkerhedsbrud i denne skala, vælger mange organisationer at betale løsesummen frem for at få deres følsomme data lækket eller risikere flere angreb fra de cyberkriminelle, selvom betaling ikke garanterer nogen af delene.

 

I takt med at menneskestyrede ransomwareangreb er steget, er de kriminelle bag angrebene blevet mere organiserede. Faktisk er der mange ransomwareangreb, hvor man nu bruger ransomware som en servicemodel, hvor en samling kriminelle udviklere laver selve ransomwaren og derefter hyrer andre cyberkriminelle til at hacke en organisations netværk og installere ransomwaren. De to grupper kriminelle deler så udbyttet ud fra en aftalt fordelingsnøgle.

Forskellige typer ransomwareangreb

Ransomware findes i to hovedformer: Krypto-ransomware og locker-ransomware.

 

Krypto-ransomware


Når et individ eller en organisation er offer for et krypto-ransomwareangreb, krypterer personen med ondsindede hensigter offerets følsomme data eller filer, så vedkommende ikke kan få adgang, medmindre der betales en anmodet løsesum. I teorien modtager offeret en krypteringsnøgle, der giver adgang til filer og data, når vedkommende betaler. Men selvom et offer betaler en løsesum, er der ingen garanti for, at den cyberkriminelle vil sende krypteringsnøglen eller opgive kontrollen. Doxware er en form for krypto-ransomware, der krypterer og truer med at afsløre et offers personlige oplysninger offentligt, som regel med et mål om at ydmyge eller udskamme offeret for at få vedkommende til at betale en løsesum.

 

Locker-ransomware


I et locker-ransomwareangreb låses et offer ude af sin enhed og kan ikke logge på. Offeret får en besked på skærmen, der forklarer, at vedkommende er blevet låst ude, og indeholder en vejledning til, hvordan vedkommende skal betale en løsesum for at få adgang. Denne form for ransomware involverer som regel ikke kryptering, så når offeret får adgang til sin enhed, vil alle følsomme filer og data være bevaret.

Reaktion på et ransomwareangreb

Hvis du bliver offer for et ransomwareangreb, har du nogle muligheder for at ophæve og fjerne det.

 

Vær forsigtig med at betale løsesummen


Selvom det kan være fristende at betale løsesummen i håb om, at det får problemet til at forsvinde, er der ingen garanti for, at de cyberkriminelle holder deres ord og giver dig adgang til dine data. Sikkerhedseksperter og retsinstanser anbefaler, at ofre for ransomwareangreb undlader at betaler den anmodede løsesum, fordi det kan gøre ofre sårbare for fremtidige trusler og aktivt vil støtte en kriminel industri. Hvis du allerede har betalt, skal du straks kontakte din bank – de kan muligvis stoppe betalingen, hvis du har betalt med kreditkort.

 

Isoler de påvirkede data


Så snart du kan, skal du isolere de kompromitterede data for at undgå at ransomwaren spreder sig til andre områder af dit netværk.

 

Kør et antimalwareprogram


Mange ransomwareangreb kan håndteres ved at installere et antimalwareprogram til at fjerne ransomwaren. Når du har valgt en velrenommeret antimalwareløsning, som f.eks. Windows Defender, skal du sørge for at holde den opdateret og altid kørende, så du er beskyttet mod de seneste angreb.

 

Indberet angrebet


Kontakt din lokale eller nationale retsinstans for at indberette angrebet. I USA er dette dit lokale FBI-kontorIC3, eller Secret Service. Selvom dette trin sandsynligvis ikke vil løse dine umiddelbare problemer, er det vigtigt, fordi disse myndigheder aktivt sporer og overvåger forskellige angreb. Oplysninger om din oplevelse kan være nyttige for dem i det store billede i forhold til at finde og retsforfølge en cyberkriminel eller en cyberkriminel gruppe.

Ransomware-beskyttelse

Nu, hvor der er flere ransomwareangreb end nogensinde før og så mange af folks personlige oplysninger opbevares digitalt, er det mulige udfald af et angreb enormt skræmmende. Heldigvis er der mange måder, hvorpå du kan holde dit digitale liv som netop det – dit digitale liv, ikke nogen andres. Her kan du se, hvordan du kan få ro i sindet med proaktiv ransomware-beskyttelse.

 

Installér et antimalwareprogram


Den bedste beskyttelse er forebyggelse. Mange ransomwareangreb kan registreres og blokeres med en betroet antimalwaretjeneste som f.eks. Microsoft Sentinel, Microsoft 365 Defender eller Microsoft Defender for Cloud. Når du bruger et antimalwareprogram, scanner din enhed først eventuelle filer eller links, du prøver at åbne, for at hjælpe med at sikre, at du sikkert kan åbne dem. Hvis en fil eller et websted er skadeligt, vil antimalwareprogrammet give dig besked og foreslå, at du undlader at åbne den/det. Disse programmer kan også fjerne ransomware fra en enhed, som allerede er inficeret.

 

Afhold løbende kurser


Hold dine medarbejdere informerede om, hvordan de kan se tegnene på phishing og andre ransomwareangreb med løbende kurser. Dette vil ikke blot lære dem at have mere sikre arbejdsvaner, men også hvordan de kan opføre sig mere sikkert på deres personlige enheder.

 

Flyt til skyen


Når du flytter dine data til en skybaseret tjeneste som f.eks. Azures tjeneste til sikkerhedskopiering i skyenAzures blokbaserede Blob Storage-sikkerhedskopiering eller Office 365-tjenester til sikkerhedskopiering og genoprettelse, kan du nemt sikkerhedskopiere dine data, så de opbevares mere sikkert. Hvis dine data nogensinde bliver kompromitteret af ransomware, kan disse tjenester hjælpe med at sikre, at genoprettelsen er både hurtig og fyldestgørende.

 

Brug en Nul tillid-model


En Nul tillid-model evaluerer alle enheder og brugere i forhold til risiko, før den giver dem adgang til programmer, filer, databaser og andre enheder, hvilket reducerer sandsynligheden for, at en skadelig identitet eller enhed får adgang til ressourcer og installerer ransomware. For eksempel er det vist, at hvis man implementerer multifaktorgodkendelse – en komponent af en Nul tillid-model – kan man reducere effektiviteten af identitetsangreb med mere end 99 %. Hvis du vil evaluere din organisations status for Nul tillid-modenhed, kan du gennemføre vores Vurdering af Nul tillid-modenhed.

 

Tilmeld dig en gruppe til deling af oplysninger


Grupper til deling af oplysninger, der ofte organiseres efter branche eller geografisk område, opfordrer organisationer, der strukturelt ligner hinanden, til at arbejde sammen om cybersikkerhedsløsninger. Grupperne tilbyder også ofte organisationer forskellige fordele såsom hændelsesrespons og digitale efterforskningstjenester, nyheder om de nyeste trusler og overvågning af offentlige IP-adresser og domæner.

 

Sørg for at have sikkerhedskopier offline


Da visse typer ransomware vil forsøge at finde og slette eventuelle sikkerhedskopier, du måtte have online, er det en god idé at have en opdateret sikkerhedskopi af følsomme data offline, som du jævnligt tester for at sikre, at den kan gendannes, hvis du nogensinde bliver ramt af et ransomwareangreb. Desværre vil det at have en sikkerhedskopi offline ikke løse problemet, hvis du er blevet ramt af et krypto-ransomwareangreb, men det kan være et effektivt værktøj at anvende i et locker-ransomwareangreb.

 

Hold dit software opdateret


Udover at holde alle antimalwareløsninger opdaterede (overvej at vælge automatiske opdateringer) skal du sørge for at downloade og installere alle andre system- og softwareopdateringer så snart, de er tilgængelige. Dette hjælper med at minimere eventuelle sikkerhedssårbarheder, som en cyberkriminel kan udnytte til at få adgang til dit netværk eller dine enheder.

 

Opret en plan for et hændelsesrespons


Ligesom man har en nødplan for, hvordan man kommer ud af sit hjem, hvis der opstår brand, så man er mere sikker og forberedt, vil oprettelse af en plan for et hændelsesrespons, der beskriver, hvad du skal gøre, hvis du bliver ramt af et ransomwareangreb, give dig nogle trin, du kan handle på i forskellige scenarier, så du hurtigst muligt kan komme tilbage til at køre normalt og sikkert.

Ofte stillede spørgsmål

|

Desværre kan næsten alle med en online tilstedeværelse blive offer for et ransomwareangreb. Både personlige enheder og virksomhedsnetværk er hyppige mål for cyberkriminelle.

 

Investering i proaktive løsninger som f.eks. tjenester til trusselsbeskyttelse er dog en god vej til at forhindre, at ransomware inficerer dit netværk eller dine enheder. Derfor vil individer og organisationer, der har antimalwareprogrammer og andre sikkerhedsprotokoller, såsom en Nul tillid-model, på plads før et angreb have mindst sandsynlighed for at blive ofre for et ransomwareangreb.

Traditionelle ransomwareangreb opstår, når et individ snydes til at interagere med skadeligt indhold, f.eks. at åbne en inficeret mail eller besøge et skadeligt websted, som installerer ransomware på deres enhed.

 

I et menneskedrevet ransomwareangreb vil en gruppe personer med ondsindede hensigter gå efter en organisations følsomme data, som regel ved hjælp af stjålne legitimationsoplysninger.

 

Typisk for både socialt styret ransomware og menneskestyret ransomware er, at et offer eller en organisation bliver præsenteret for en besked om løsesum, der beskriver, hvilke data der er stjålet og prisen for at få dem tilbage. Betaling af løsesum garanterer dog ikke, at dataene faktisk returneres, eller at fremtidige sikkerhedsbrud forhindres.

Effekten af et ransomwareangreb kan være altødelæggende. Både på det individuelle og det organisatoriske niveau kan ofre føle sig tvunget til at betale høje løsesumme uden garanti for, at deres data returneres til dem, eller at der ikke vil ske yderligere angreb. Hvis en cyberkriminel lækker en organisations følsomme oplysninger, kan organisationens omdømme blive blakket, og den kan blive opfattet som utroværdig. Og afhængigt af typen af lækkede oplysninger og organisationens størrelse kan tusindvis af individer være i risiko for at blive ofre for identitetstyveri eller anden cyberkriminalitet.

Cyberkriminelle, der inficerer ofres enheder med ransomware, vil have penge. De beder ofte om en løsesum i kryptovaluta, fordi den er anonym og ikke kan spores. I et socialt styret ransomwareangreb, som er rettet mod et individ, kan løsesummen være hundredvis eller tusindvis af dollar. I et menneskedrevet ransomwareangreb, som er rettet mod en organisation, kan løsesummen være millioner af dollars. Disse mere avancerede angreb mod organisationer kan bruge fortrolige, økonomiske oplysninger, som de cyberkriminelle har fundet, da de brød ind i netværket, som grundlag for at sætte en løsesum, som de mener, at organisationen har råd til.

Ofre bør indberette ransomwareangreb til deres lokale eller nationale retsinstanser. I USA er dette dit lokale FBI-kontorIC3 eller  Secret Service. Sikkerhedseksperter og retsinstanser anbefaler, at ofre undlader at betale løsesum – hvis du allerede har betalt, bør du straks kontakte din bank og dine lokale myndigheder. Din bank kan muligvis blokere betalingen, hvis du har betalt med kreditkort.