Mann som lurer på om han er utsatt for ransomware
Mann som lurer på om han er utsatt for ransomware
- Sikkerhet

Ransomware – Hva er det og hvordan unngår du det på bedriftens enheter?

Skrevet av: Hilde Martinsen
Publisert: 19. oktober 2021 kl. 12:00

Ransomware, løsepengevirus eller utpressingsskadevare øker stadig og ser ut til å bli vanskeligere å håndtere. Og i dag kan du til og med kjøpe Ransomware som en tjeneste (RaaS). Trusselaktører ser fremdeles sitt snitt til å tjene store penger på uvitenhet, stress og hektiske hverdager. De utnytter rett og slett det øyeblikket hvor du er litt uoppmerksom og «bare» trykker på noe du tror er en uskyldig lenke.

Ifølge Europol er ransomware eller løsepengevirus den største digitale trusselen på nett i Europa. Og den globale kostnaden for ransomware sies å ville overskride den svimlende sum av 265 milliarder dollar i løpet av det neste tiåret. Da skjønner man at det potensielt er store penger å tjene på dette og derfor er et lukrativt marked for trusselaktørene.

Ransomware øker mest

Ifølge den oppdaterte rapporten Cyber Threat Report fra SonicWall så har ransomware-angrep skutt i været. Og tallene for årets første 6 måneder er nedslående. Tallene viser her at man allerede har gått forbi antallet angrep for hele 2020. De har kommet fram til at Ransomware-angrep er den typen som øker mest med en stigning på 234% i Europa kun halvveis ut i året. I løpet av første halvdel av 2021 har det globalt vært gjennomført hele 405 millioner ransomware angrep.

Det er derfor svært viktig at vi, du og jeg, skjønner hvordan vi skal beskytte oss mot slike angrep og er forberedt hvis uhellet skulle være ute.

Ransomware – hvordan blir man infisert?

Det er flere ulike måter en datamaskin kan infiseres med ransomware. En av de vanligste metodene i dag er gjennom ondsinnet spam, eller malspam. Denne typen virus spres først og fremst via vedlegg i e-poster, Office-filer eller via infiserte nettsider. E-posten kan inneholde infiserte vedlegg, for eksempel PDF-filer eller Word-dokumenter. Den kan også inneholde lenker til ondsinnede nettsider.

Malspam benytter sosial manipulasjon for å lure folk til å åpne vedlegg eller klikke på lenker ved å fremstå som legitime - enten det er ved å se ut til å komme fra en pålitelig institusjon eller en venn. Nettkriminelle bruker også sosial manipulasjon i andre typer ransomware-angrep. Dette gjennomføres ved å utgi seg for å være noen andre og skremme brukerne til å betale dem en sum penger for å låse opp filene deres.

Malvertising er en annen populær infeksjonsmetode. Dette er ondsinnet reklame som bruker nettannonsering for å distribuere skadelig programvare med liten eller ingen brukerinteraksjon. Mens du surfer på nettet, til og med på legitime nettsteder, kan du bli ledet til kriminelle servere selv uten å måtte klikke på en annonse. Disse nettsidene ligger på servere som har i oppgave å katalogisere detaljer om datamaskiner og hvor de befinner seg. Og velger deretter skadelig og målrettet programvare som er best egnet til å lure offeret i fella. Ofte er den skadelige programvaren ransomware.

Malvertising bruker ofte en infisert iframe eller et usynlig websideelement for å gjøre jobben sin. Iframe omdirigerer brukeren til en infisert landingsside, og ondsinnet kode angriper systemet fra landingssiden via et exploit kit. Alt dette skjer uten brukerens kjennskap, og det er derfor det ofte kalles en drive-by-download.

Typer av Ransomware

Det er tre hovedtyper av ransomware med alvorlighetsgrad fra litt skremmende til helt krise å bli rammet av. De er som følger:

Scareware

Skremselsprogramvare er ikke så skummelt som navnet tilsier. Det inkluderer useriøs sikkerhetsprogramvare og svindel med teknisk støtte. Du kan få en popup-melding om at malware ble oppdaget, og den eneste måten å bli kvitt det på er å betale. Hvis du ikke gjør noe vil du sannsynligvis bli bombardert med popup-vinduer, men filene dine er i hovedsak trygge.

Denne typen ransomware er lett å avsløre da en kjent leverandør av legitim sikkerhetsprogramvare aldri vil be kunder betale på denne måten. Hvis du ikke allerede har dette selskapets programvare på datamaskinen ville de ikke overvåket den for ransomware-infeksjon. Hvis du har sikkerhetsprogramvare skal du ikke behøve å betale for å fjerne infeksjonen - du har allerede betalt for programvaren som skal gjøre den jobben.

Screen lockers

Her må du være på vakt – dette er mer alvorlig! Når du får lock-screen ransomware på datamaskinen din betyr det at du er låst helt ut av PC-en. Når du starter datamaskinen på nytt vil et vindu i full størrelse vises, ofte ledsaget av et offisielt rettslig segl som sier at ulovlig aktivitet har blitt oppdaget på datamaskinen din, og du må betale en bot. Rettslige instanser ville imidlertid ikke låse deg ute fra datamaskinen eller kreve betaling for ulovlig aktivitet på denne måten. Hvis de mistenkte deg for piratkopiering, barnepornografi eller annen nettkriminalitet, ville de gå gjennom de riktige juridiske kanalene.

Krypto-ransomware
Denne typen skadevare krypterer filene på datamaskinen og pakker innholdet i filene tilfeldig slik at du ikke får tilgang til dem uten en krypteringsnøkkel som kan pakke dem riktig ut igjen. Når et krypto-ransomware krypterer en brukers filer tar de på en måte filene som gisler. Det vil bli fremlagt et løsepengekrav i bytte mot dekrypteringsnøkkelen som frigjør filene dine. I noen tilfeller har brukeren en begrenset tidsperiode til å betale løsepengene.

Ønsker du å lære mer? - Få med deg bloggen Sosial manipulering – hva er det og hvordan fungerer det?

Hvilke forhåndsregler bør du ta?

Ransomware-aktører er raske til å utnytte virksomheters sikkerhetshull, og det er viktig å heve grunnsikringen så mye som mulig. For å sikre seg mot skadelig programvare som infiserer datamaskinen din er det viktig å oppdatere operativsystemet, programvare, og ha gode backup-rutiner. Det kan være smart å sikkerhetskopi jevnlig av de filene som er ekstra viktige å ta vare på og ikke miste tilgang til. Tenk også over hvilke enheter og tjenester du har koblet opp mot maskinen til enhver tid, da viruset kan spres til disker og andre enheter.

En kort, men ikke utfyllende sjekkliste er:

  • Sørg for å ha multifaktorautentisering for innlogging

  • Begrens fjerninnlogging til virksomhetens systemer

  • Ha oversikt over angrepsflaten fra internett – Secure DNS beskytter trafikk til og fra internett, reduserer forekomsten av skadevare og er effektiv mot phishing.

  • Ha oppdaterte og fungerende backups som er adskilt fra produksjonsnettverket

  • Installer sikkerhetsoppdateringer så snart disse blir sluppet av leverandørene.

  • Sikkerhetsovervåking og logganalyse kan bidra til tidlig oppdagelse og avverge hendelser

Hva gjør du når du rammes?

Det er ikke anbefalt å betale løsepengene hvis du opplever å bli utsatt for ransomware. Dessuten vil du kunne oppleve å ikke alltid få tilbake kontrollen ved å betale. Det er lurt å koble datamaskinen fra nett for å unngå spredning til andre enheter. Søk hjelp hos noen som kan hanskes med slike situasjoner. Kanskje vil de kunne bidra med å minske skadene og få maskinen din opp å gå igjen ved hjelp av backupfiler.

Ikke start datamaskinen på nytt dersom du blir infisert med løsepengevirus!
Rådet kommer fra sikkerhetsforskere som har sett at denne typen virus tidvis henger seg opp eller støter på rettighetsproblemer som forhindrer videre kryptering av innholdet. Dersom man starter maskinen på nytt forsøker programmet å fortsette krypteringen og lykkes gjerne med dette. De anbefaler i stedet at man skrur av maskinen, kobler den fra nettverket og tar den med til profesjonelle som kan begrense skaden.

Vi ønsker å gjøre det enklere for deg å sikre deg mot cyberkriminalitet

Brukere kobler seg til tjenester fra forskjellige enheter, når som helst og fra hvor som helst. Stadig flere forretningskritiske tjenester integreres i nettverket, og kravene til tilgjengelighet på tjenestene øker. Samtidig øker både forekomsten og kompleksiteten til skadevare og datainnbrudd. Presset fra cyberkriminelle bidrar til at vi må tenke nytt om hvordan vi sikrer våre digitale verdier, og IT-sikkerhet må få større fokus. Vi ruster deg for en stadig mer kompleks IT-infrastruktur i et trusselbilde som er i konstant endring.