Ransomware

Varför oss?

Ransomware är en växande cybersäkerhetshot som kan kryptera dina filer och lämna verksamheten paralyserad. Här får du lära dig vad ransomware innebär, hur det sprids och hur du kan skydda dig och dina system mot denna typ av attack.

Vad är ransomware?

Det finns många typer av skadlig programvara – en av dem är ransomware. Ransomware är en skadlig programvara som krypterar alla filer på dina arbetsstationer och servrar. Utan åtkomst till dina filer är verksamheten helt paralyserad.

För att få tillbaka åtkomsten måste du betala en lösensumma för att få den digitala dekrypteringsnyckeln. Det är en förödande cyberattack som kan hota företagets överlevnad.

Kort förklaring av ransomare som en skadlig programvara som krypterar filer på arbetsstationer och servrar.

Nyckelfaktorer för att förstå ransomware

  • Ransomware är en typ av skadlig programvara som låser filer genom att kryptera dem, och du kan inte komma åt dem förrän du betalar för en dekrypteringsnyckel.
  • Det sprids genom illegala nedladdningar, nätfiske-mejl eller genom att utnyttja systems svagheter som Remote Desktop Protocol.
  • Ransomware finns i olika former: scareware (falska varningar), skärmlåsare (som blockerar åtkomst till enheten) och krypterings-ransomware (som låser dina filer).
  • Ransomware kan allvarligt störa affärsverksamheten, leda till stora ekonomiska förluster och ofta ta veckor att återhämta sig från.
  • För att skydda mot ransomware är det viktigt att hålla systemen uppdaterade, begränsa administrativa behörigheter, använda anti-malware-program, säkerhetskopiera data regelbundet och ha en solid återhämtnings- och incidenthanteringsplan.

Hur ransomware infekterar dina system

Ransomware kan få åtkomst till din dator genom en rad vanliga tekniker.

Olaglig nedladdning av musik och filmer

Ofta är nedladdningarna preparerade med skadlig programvara.

Nätfiske-mejl

Bedrägliga mejl som försöker lura mottagaren att besöka en falsk webbsida eller att öppna en skadlig, infekterad bilaga.

Exploatering av säkerhetsbrister i nätverket

Till exempel är Remote Desktop Protocol (RDP) en teknik som gör det möjligt för personal att få tillgång till IT-resurser på kontoret när de arbetar hemifrån eller är på resande fot. Sårbarheter i RDP-implementeringen har upptäckts tidigare. Dessa sårbarheter har utnyttjats och använts för att sprida ransomware.

Problemets omfattning

Att utnyttja RDP-sårbarheter är en av de tekniker som NotPetya-ransomware använder. NotPetya är förmodligen det mest globala och skadliga exemplet på ransomware som vi hittills sett. År 2017 lamslog det företag över hela världen, från små och medelstora företag till stora koncerner.

A. P. Moeller-Maersk är världens största operatör av containerfartyg och försörjningsfartyg. De har även andra verksamhetsområden, som supply chain management (SCM), hamnverksamhet och oljeutvinning. Men den 27 juni 2017, på bara fyra timmar, förlorade de operativ kapacitet i 130 länder. Maersk betalade inte lösensumman. De hade resurser att kunna rulla ut nya laptops, datorer, servrar och IP-baserade telefonsystem för att bygga upp sina system på nytt.

Den slutliga prislappen var över 300 miljoner pund (ca 4,05 miljarder svenska kronor).

Norsk Hydro förlorade praktiskt taget all förmåga att tillverka aluminium på grund av en infektion med LockerGoga-ransomware. Även de vägrade att betala lösensumman och fick stå för en nota på över 40 miljoner dollar (ca 448 miljoner svenska kronor). Den spanska livsmedelsjätten Mondelez drabbades också av NotPetya år 2017 och led förluster och skador på 100 miljoner dollar (ca 1,12 miljarder svenska kronor).

Det är värt att nämna att cyberförsäkring är utformad för att täcka kostnaderna för att hantera en säkerhetsincident, såsom att ta in specialister för incidenthantering, byta ut hårdvara, rensa komprometterade system, hantera medierna och upprätta hjälptelefoner för berörda datasubjekt. Däremot täcker de vanligtvis inte skador på grund av uteblivna intäkter.

Och som Mondelez fick erfara, om incidenten klassas som “cyberkrigföring” kan försäkringsbolagen åberopa undantaget för “krigshandlingar” och helt vägra att betala ut ersättning. Storbritannien, USA, Australien och Kanada har alla undersökt källkoden för NotPetya och tillskrivit den Huvuddirektoratet för den Ryska federationens generalstabs väpnade styrkor (GU), Rysslands militära underrättelsetjänst.

Detta är de stora rubrikvärdiga offren. Det fanns otaliga små och medelstora företag, mindre organisationer och andra företagsenheter som drabbades av NotPetya. Och detta är bara en typ av ransomware.

KeRanger-ransomware var det första som designades specifikt för att attackera Mac-datorer. Det släpptes 2016. Även mobila enheter och mobiltelefoner är i riskzonen. Ransomware låser dig helt ute från enheten och släpper inte in dig igen förrän lösensumman har betalats.

De flesta mobiltelefoninfektioner är ett resultat av att användaren installerar skadliga appar.

Vad gör ransomware?

All ransomware orsakar (eller imiterar) ett problem och kräver betalning för att lösa problemet. Precis som all annan skadlig programvara finns det olika nivåer av sofistikering inom denna klass av malware.

Vilka typer av ransomware finns det?

Tre typer av ransomware: scareware, skärmlåsare och krypteringsransomware med beskrivningar.

Scareware

Med scareware dyker ett meddelande upp som påstår att det är något fel på din dator, att den är infekterad, eller att hackare har tagit sig in i din dator. Du får veta att du måste betala lösensumman för att rätta till problemet och att datorn kommer att desinficeras och hackarna lämnar dig ifred om du betalar. Ibland utger sig dessa meddelanden för att vara från IT- eller tekniska supporttjänster, eller till och med från Microsofts support.

Dina filer påverkas inte av denna typ av attack. Om datorn kan desinficeras för att ta bort popup-meddelandet, kommer den återgå till normal funktion.

Skärmlåsare

Denna typ av attack visar ett helskärmsfönster som du inte kan kringgå och inte kan stänga. Meddelandet som visas är en variant av några vanliga teman.

  • Du har blivit utsatt för ransomware. Betala lösensumman. Enkelt och tydligt.
  • FBI eller en annan brottsbekämpande myndighet har upptäckt illegala nedladdningar, piratkopierad mjukvara, kriminell pornografi, etc., på din dator. Betala böterna för att återställa datorn till fungerande skick. Naturligtvis, om något av detta vore sant, skulle rättsliga åtgärder vidtas, och du skulle få ett besök på dörren – inte ett meddelande på din laptop.

Krypterings-ransomware

Detta är det verkliga hotet. Denna typ av ransomware krypterar faktiskt dina filer. Ofta ligger de kvar i ditt nätverk i veckor innan de aktiveras, för att säkerställa att så många datorer som möjligt är infekterade. De väntar tills mobila medarbetare sannolikt har besökt huvudkontoret, så att deras laptops också kan bli infekterade. Genom att vänta på detta sätt ser ransomware till att infektionen även finns i dina säkerhetskopior.

Om du beslutar dig för att bygga om dina system istället för att betala lösensumman, kommer infektionen att återställas tillsammans med din data. Den kommer att aktiveras igen om några veckor.

En vanlig kontrollteknik är att ransomware samlar in information och skickar tillbaka den till kommando- och kontrollservrar. Det är på dessa servrar som intelligensen finns. Ransomware i sig är ganska “dum”. Det rapporterar tillbaka till basen, får nya instruktioner från den automatiserade programvaran på servern och följer dessa instruktioner. Denna cykel upprepas.

Det har dock funnits fall där den fjärrstyrda intelligensen inte var en kommando- och kontrollserver, utan en människa. Genom att styra malware som en fjärrstyrd drönare säkerställde hotaktören under veckors tid att de hade infekterat hela IT-infrastrukturen, lokala säkerhetskopior och externa säkerhetskopior innan de aktiverade krypteringen.

Vilka är vanliga mål för ransomware?

Vissa attacker är riktade, medan andra är slumpmässiga infektioner från phishing-mejl som skickas ut till miljontals e-postadresser för att infektera så många offer som möjligt.

  • Attackerna 2019 på viktiga samhällstjänster i städer som Baltimore, MD, Riviera Beach, FL, Wilmer, TX och New Bedford, MA, var målinriktade, noggrant undersökta och utformade för att orsaka maximal skada.
  • Sjukhus är ofta måltavlor eftersom system måste återställas så snabbt som möjligt när liv står på spel. Lösensummor betalas ofta av sjukhusen.
  • En annan sektor som ofta utsätts är finanssektorn, helt enkelt för att de har tillräckliga medel för att kunna betala höga lösensummor.

De flesta attacker drabbar dock offer som hotaktörerna inte ens visste existerade – förrän ransomware aktiveras.

Hur skyddar du dig mot ransomware?

7 tips för att skydda mot ransomware, inklusive uppdateringar, backup och cybersäkerhetsträning.

Dessa steg är bästa praxis inom cybersäkerhet och bör implementeras och följas som norm:

  • Håll alla dina arbetsstationers, laptops och serverars operativsystem (OS) uppdaterade och installerade med de senaste säkerhetspatcharna. Detta minskar antalet sårbarheter i dina system. Ju färre sårbarheter, desto färre möjliga angreppsytor.
  • Använd inte administrativa behörigheter för något annat än administration. Ge inte heller administrativa behörigheter till program och processer.
  • Installera centralt hanterat slutpunktsskydd, som kan inkludera antivirusprogram och antimalware-funktioner, och håll det uppdaterat. Se till att användare inte kan vägra eller skjuta upp signaturuppdateringar.
  • Gör frekventa säkerhetskopior till olika medier, inklusive säkerhetskopior utanför arbetsplatsen. Detta förhindrar inte infektion, men underlättar återställning. Testa dina säkerhetskopior regelbundet.
  • Skapa en katastrofåterställningsplan (disaster recovery plan, DRP), säkra stöd från ledningen och implementera allt du kan för att öka företagets förmåga att fortsätta fungera om ni drabbas av en attack.
  • Skapa en policy för hantering av cyberincidenter och öva på den.
  • Erbjud cybersäkerhetsutbildning för din personal. Om de hittar ett okänt USB-minne på parkeringen vid lunchtid, kommer de att stoppa in det i en av företagets datorer direkt efter lunch? Vet de att de inte ska öppna oönskade e-postbilagor? Arbetar de på ett noggrant och försiktigt sätt, och främjar du en säkerhetsmedveten kultur?

Ska du betala lösensumman?

De flesta brottsbekämpande och statliga myndigheter som arbetar med cybersäkerhet avråder dig från att betala lösensumman och uppmanar dig att rapportera attacken. Att betala lösensumman innebär att hotaktörerna uppmuntras att fortsätta sina attacker. Teorin är att om ingen betalar, blir ransomware meningslöst och kommer att försvinna.

I stundens hetta, när du försöker väga kostnaden för lösensumman mot kostnaderna för att inte betala, är det ett svårt beslut. Du måste ta hänsyn till den totala kostnaden för att rensa eller byta utrustning, bygga upp och återställa dina affärssystem, och förlusten av intäkter under tiden du gör detta.

Få organisationer har den ekonomiska styrkan att klara av en attack på samma sätt som Maersk gjorde.

Ibland är det rädslan – och kostnaden – för skadan på varumärket som driver företag att betala lösensumman. De vill skydda sitt anseende inför kunder och den bredare marknaden genom att avfärda det korta avbrottet som ett tekniskt problem.

Det är värt att nämna att det finns fall där lösensumman betalades, men det tog ändå över en månad för offret att få nyckeln levererad. Det är omöjligt att hålla något sådant hemligt.

Det är svårt att sätta en exakt siffra på det, men uppskattningar tyder på att 65 procent av ransomware-attackerna inte rapporteras, och att lösensummorna betalas. Lösensummor på över 5 miljoner dollar (ca 56 miljoner svenska kronor) har förekommit, men i nästan alla fall sätts summorna mycket lägre. Detta gör dem överkomliga för genomsnittliga små och medelstora företag och billigare än kostnaderna som skulle uppstå om lösensumman inte betalades.

Viss ransomware är till och med geografiskt medveten och anpassar sitt pris efter ekonomin i offrets land.

Den stora frågan är: Får du tillbaka din data?

Uppskattningar säger att i 65 till 70 procent av fallen dekrypteras datan framgångsrikt. Ibland har dekrypteringsrutinerna inte ens skrivits – hotaktörerna tar pengarna och försvinner. Det är trots allt kriminella man har att göra med. Men den typen av ransomware har kort hållbarhet.

När ryktet sprids om att man inte får tillbaka sin data, kommer ingen att betala lösensumman. Därför är det ekonomiskt fördelaktigt för hotaktörerna att dekryptera offrets filer när de kan.

Ibland fungerar helt enkelt inte dekrypteringsrutinerna. All mjukvara är sårbar för buggar. Hotaktörerna lägger mer tid och energi på att utveckla infekterings-, replikerings- och krypteringsrutiner än på dekrypteringsrutiner. De kanske hade för avsikt att de skulle fungera, men ibland gör de det inte.

Det är lätt att inta en moralisk hållning och säga att man inte ska betala, men det är något helt annat att befinna sig mitt i en incident som kan sänka verksamheten och inte bli frestad av den “enkla” utvägen.

Som ordspråket säger: Det är bättre att förebygga än att bota.

Slutsatsen om vad som menas med ransomware

Ransomware är en typ av skadlig programvara som krypterar dina filer och låser dig ute tills du betalar en lösensumma för en dekrypteringsnyckel. Det utgör ett allvarligt hot mot företag genom att låsa system och orsaka betydande ekonomiska skador. Det bästa försvaret i detta fall är förebyggande – hålla systemen uppdaterade, säkerhetskopiera data, begränsa åtkomst och utbilda anställda. Att ha en solid katastrofåterställningsplan är avgörande, eftersom inget system är helt säkert.

Att besluta om man ska betala lösensumman är svårt, och även om man gör det finns det inga garantier för att få tillbaka sin data. De bästa sätten att skydda ditt företag mot ransomware är att fokusera på förebyggande och ha en tydlig återställningsplan.

Vanliga frågor om ransomware

Vad är ransomware i enkla ord?

Hur kommer ransomware in på din enhet?

Vad händer om du drabbas av ransomware?

Kan ett ransomware-virus tas bort?

Relaterade termer

Marshall Gunnell
IT & Cybersecurity Expert
Marshall Gunnell
Teknikskribent

Marshall är en erfaren teknisk skribent och spelentusiast baserad i Tokyo. Han är en professionell ordkonstnär med hundratals artiklar på VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier och mycket mer. Hans texter har nått en massiv publik på över 70 miljoner läsare.