Ransomware

Hvorfor oss?

Hva er Ransomware?

Det finnes mange typer skadelig programvare der ute – én av dem er løsepengevirus. Løsepengevirus er en type skadelig programvare som krypterer alle filene på arbeidsstasjonene og serverne dine. Uten tilgang til filene dine, er virksomheten din lammet.

For å gjenvinne tilgangen må du betale en løsepenge for å få den digitale dekrypteringsnøkkelen. Det er et ødeleggende cyberangrep som kan true levedyktigheten til din virksomhet.

Hvordan løsepengevirus infiserer systemene dine

Løsepengevirus kan få tilgang til datamaskinen din ved å bruke en av flere vanlige teknikker.

  • Ulovlig nedlasting av musikk og filmer: Ofte er nedlastingene infisert med skadelig programvare.
  • Phishing e-poster: Svindel e-poster som prøver å lure offeret til å besøke et falskt nettsted eller å åpne et ondsinnet, infisert vedlegg.
  • Utnyttelse av perimeter-svakhetene: For eksempel er Remote Desktop Protocol (RDP) en teknologi som lar ansatte få tilgang til IT-fasilitetene på kontoret når de er hjemme eller på reise. Sårbarheter i RDP-implementeringen har blitt oppdaget tidligere. Disse sårbarhetene har blitt utnyttet og brukt til å spre løsepengevirus.

Problemets omfang

Utnyttelse av RDP-sårbarheter er en av teknikkene som NotPetya løsepengeviruset bruker. NotPetya er trolig det mest globalt skadelige eksempelet på løsepengevirus som er sett til nå. I 2017 lammede det selskaper over hele verden, fra SMB-er til gigantiske selskaper.

A. P. Moeller-Maersk er verdens største operatør av containerskip og forsyningsskip. De har også andre interesser, som forsyningskjedeadministrasjon, drift av havner og boring etter olje. Men den 27. juni 2017 mistet de over fire timer operasjonell kapasitet i 130 land. Maersk betalte ikke løsepengene. De hadde reserver til å kunne rulle ut nye bærbare datamaskiner, datamaskiner, servere og IP-baserte telefonsystemer og gjenoppbygge systemene sine.

Den endelige kostnaden var over 300 millioner britiske pund.

Norsk Hydro mistet nesten all evne til å produsere aluminium på grunn av en infeksjon av LockerGogo løsepengeviruset. De nektet også å betale løsepengene og endte opp med å betale en regning på over 40 millioner dollar. Den spanske matgiganten Mondelez ble også rammet av NotPetya i 2017 og led tap og skader på 100 millioner dollar.

Det er verdt å nevne at cyberforsikring er designet for å dekke kostnadene ved å håndtere en sikkerhetsincident, som å bringe inn spesialisterte incidenthåndteringsteam, erstatte maskinvare, rense kompromitterte systemer, håndtere media og drive hotlines for berørte datafagfolk. De dekker vanligvis ikke skader fra tap av handel.

Og som Mondelez har funnet ut, hvis hendelsen blir klassifisert som “cyberkrigføring”, kan forsikringsselskapene trekke frem “krigsunntaket” og ikke betale noe i det hele tatt. Storbritannia, USA, Australia og Canada har alle undersøkt kildekoden til NotPetya og tilskrevet den til Hoveddirektoratet for Generalstaben i de væpnede styrkene i Den russiske føderasjonen (GU), den militære etterretningstjenesten til Den russiske føderasjonen.

Dette er de store, overskriftsverdige ofrene. Det var utallige antall små og mellomstore bedrifter, små organisasjoner og bedriftsentiteter som ble påvirket av NotPetya. Og dette er bare én stamme av løsepengevirus.

KeRanger-ransomwaren var den første som spesifikt ble designet for å angripe Mac-datamaskiner. Den ble utgitt i 2016. Mobile enheter og mobiltelefoner er også i fare. Ransomwaren låser deg helt ute av enheten og vil ikke la deg inn igjen før løsepenger er betalt.

De fleste infeksjoner på mobiltelefoner er et resultat av å installere ondsinnede apper.

Hva gjør ransomware?

All ransomware forårsaker (eller etterligner) et problem og krever betaling for å fjerne problemet. Som med all skadevare, finnes det forskjellige nivåer av sofistikering vist av denne klassen av skadevare.

Hvilke typer ransomware finnes?

Før vi går videre er det viktig å merke seg at det finnes flere ulike typer ransomware der ute. Disse kan fungere på ulike måter, og det er derfor viktig at du vet hva du har å gjøre med.

Scareware

Med skremmevare dukker det opp en melding som erklærer at det er noe galt med datamaskinen din, at den er infisert, eller at hackere har hacket seg inn på datamaskinen din. Du blir fortalt at for å rette opp problemet, må du betale løsepenger, og hvis du gjør det, vil datamaskinen bli desinfisert og hackerne vil la deg være i fred. Noen ganger utgir disse meldingene seg for å være IT- eller teknisk støttepakker, eller til og med Microsoft-støtte.

Filene dine blir ikke påvirket av denne typen angrep. Hvis datamaskinen kan desinfiseres for å fjerne popup-meldingen, vil den returnere til normal drift.

Skjermlåsere

Denne typen angrep viser et fullskjermsvindu som du ikke kan omgå eller lukke. Meldingen den viser er en variasjon av noen vanlige temaer.

  • Du har blitt rammet av ransomware, betal løsepengene. Enkelt og greit.
  • FBI eller et annet rettshåndhevelsesbyrå har oppdaget ulovlige nedlastinger, piratkopiert programvare, kriminell pornografi, osv., på datamaskinen din. Betal boten for å gjenopprette maskinen din til arbeidstilstand. Selvfølgelig, hvis noe av dette var sant, ville en ordentlig prosess blitt fulgt, og du ville fått et bank på døren – ikke en melding på den bærbare datamaskinen din.

Krypterende ransomware

Dette er et langt mer seriøst problem – eller the real deal. Disse krypterer faktisk filene dine. Ofte sitter de i nettverket ditt i uker før de utløses, for å sikre at de har infisert så mange datamaskiner som mulig. De venter til mobile ansatte sannsynligvis har besøkt hovedkontoret, slik at deres bærbare datamaskiner også kan bli infisert. Ved å vente slik, vil ransomwaren ha blitt inkludert i sikkerhetskopiene dine.

Hvis du bestemmer deg for å gjenoppbygge systemene dine i stedet for å betale løsepengene, vil du gjenopprette infeksjonen sammen med dataene dine. Den vil utløses igjen om noen uker.

En vanlig kontrollteknikk er at ransomwaren samler informasjon og sender den tilbake til kommando- og kontrollservere. Det er i disse serverne at intelligensen ligger. Ransomwaren i seg selv er ganske dum. Den rapporterer tilbake til basen, mottar nye instruksjoner fra den automatiserte programvaren på serveren og handler etter disse instruksjonene. Denne syklusen gjentas.

Det har imidlertid vært noen tilfeller der den eksterne intelligensen ikke var en kommando- og kontrollserver, men et menneske. Ved å styre skadevaren som en fjernstyrt drone, sørget trusselaktøren over en periode på uker for at de hadde infisert all IT-infrastrukturen, lokale sikkerhetskopier og eksterne sikkerhetskopier før de utløste krypteringen.

Hvem er de vanlige målene for ransomware?

Noen angrep er målrettede, og andre er tilfeldige infeksjoner fra phishing e-poster sendt ut til millioner av e-postadresser for å infisere så mange ofre som mulig.

  • Angrepene i 2019 på essensielle tjenester i byer som Baltimore, MD, Riviera Beach, FL, Wilmer, TX, og New Bedford, MA, var målrettede, undersøkt og designet for å være så innvirkende som mulig.
  • Sykehus er ofte målrettet fordi systemene må gjenopprettes så raskt som mulig med liv i vektskålen. Løsepenger betales ofte av sykehus.
  • En annen sektor som ofte er målrettet, er finanssektoren, rett og slett fordi de har midlene til å ha råd til enorme løsepenger.

Men de fleste angrep treffer ofre som trusselaktørene ikke engang vet eksisterer – før ransomwaren utløses.

Hvordan beskytte deg mot Ransomware

Disse trinnene er anerkjente beste praksiser for cybersikkerhet og bør adopteres og følges som normen.

  • Hold alle operativsystemer for arbeidsstasjoner, bærbare datamaskiner og servere oppdaterte og patchet. Dette reduserer antallet sårbarheter systemene dine har. Færre sårbarheter betyr færre mulige utnyttelser.
  • Ikke bruk administrative rettigheter til noe annet enn administrasjon. Ikke gi programmer og prosesser administrative rettigheter heller.
  • Installer sentralt administrert programvare for endepunktsbeskyttelse, som inkluderer antivirus- og antimalware-funksjonalitet, og hold den oppdatert. Sørg for at brukerne ikke kan nekte eller utsette signaturoppdateringer.
  • Ta hyppige sikkerhetskopier til forskjellige medier, inkludert eksterne sikkerhetskopier. Dette vil ikke forhindre infeksjon, men det vil hjelpe i gjenopprettingsprosessen. Test sikkerhetskopiene dine regelmessig.
  • Lag en katastrofegjenopprettingsplan, få godkjenning fra ledelsen, og implementer alt du kan for å øke evnen din bedrift har til å fungere hvis du blir rammet av et angrep.
  • Lag en policy for håndtering av cybersikkerhetshendelser, og øv på den. Gi opplæring i cybersikkerhetsbevissthet til dine ansatte. Hvis de finner en uidentifisert minnepinne på parkeringsplassen i lunsjpausen, kommer de til å koble den til en av datamaskinene dine rett etter lunsj? Vil de vite at de ikke skal åpne uoppfordrede e-postvedlegg? Jobber de på en flittig og forsiktig måte, og fremmer du en sikkerhetsbevisst kultur?

Bør du betale løsepengene?

De fleste etater og statlige organisasjoner involvert i cybersikkerhet råder deg til ikke å betale løsepengene og oppfordrer deg til å rapportere angrepet. Å betale løsepengene betyr at trusselaktørene blir oppmuntret til å fortsette sine angrep. Hvis ingen betaler dem, vil ransomware bli meningsløst og dø ut – ihvertfall i teorien.

I øyeblikkets hete, når du prøver å veie kostnaden av løsepengene mot kostnadene forbundet med å ikke betale løsepengene, er det en vanskelig avgjørelse. Du må vurdere den totale prisen for å rense eller erstatte utstyr, gjenoppbygge og gjenopprette dine forretningskritiske systemer, og inntektstapet mens du gjør dette.

Få organisasjoner har den finansielle styrken til å tåle et angrep slik Maersk gjorde.

Noen ganger er det frykten – og kostnaden – for omdømmeskade som driver bedrifter til å betale løsepengene. De ønsker å beskytte sin posisjon i øynene til kunder og det bredere markedet ved å tilskrive den korte pausen til noen tekniske problemer.

Det er verdt å påpeke at det er tilfeller hvor løsepengene ble betalt, men det tok likevel over en måned før nøkkelen ble levert til offeret. Det er ingen gjennomførbar måte å holde det hemmelig på.

Det er vanskelig å sette et klart tall på det, men anslag antyder at 65 prosent av ransomware-angrep ikke blir rapportert, og løsepengene blir betalt. Løsepenger på over 5 millioner dollar har blitt sett, men i nesten alle tilfeller er løsepengene satt mye lavere. Dette gjør dem overkommelige for den gjennomsnittlige SMB og billigere enn kostnadene forbundet med å ikke betale løsepengene.

Noen ransomware er til og med geografisk bevisst og justerer prisen i henhold til økonomien i offerets land.

Og det store spørsmålet er, får du tilbake dataene dine?

Anslag sier at i 65 til 70 prosent av tilfellene blir dataene dekryptert vellykket. Noen ganger har ikke engang dekrypteringsrutinene blitt skrevet – trusselaktørene tar pengene og stikker. Tross alt, du har med kriminelle å gjøre. Men den typen ransomware har en kort levetid.

Når ordet sprer seg om at du ikke kommer til å få tilbake dataene dine, kommer ingen til å betale løsepengene. Så det gir økonomisk mening for trusselaktørene å dekryptere offerets filer når de kan.

Noen ganger fungerer ikke dekrypteringsrutinene rett og slett. All programvare er utsatt for feil. Trusselaktørene bruker mer utviklingstid og innsats på infeksjon, replikering og krypteringsrutiner enn på dekrypteringsrutinene. De kan ha ment at de skulle fungere, men noen ganger gjør de det ikke.

Det er enkelt å ta det moralske høylandet og si ikke betal, men det er noe annet å være midt i en hendelse som kan ta knekken på din bedrift og ikke bli fristet av den “enkle” veien ut.

Som ordtaket sier, jeg er ikke lege, men jeg vet at forebygging er bedre enn kur.

Relaterte begreper

Marshall Gunnell
IT & Cybersecurity Expert
Marshall Gunnell
Teknologiskribent

Marshall er en erfaren teknisk forfatter og spillentusiast basert i Tokyo. Han er en profesjonell ordkunstner med hundrevis av artikler publisert på VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier, og mye mer. Hans skriving har nådd et massivt publikum på over 70 millioner lesere.