Secify.com

Vad är ransomware?

20 december, 2024
Uppdaterad: 23 december, 2024
Uppskattad lästid: 6 min

Ransomware är en typ av skadlig programvara som man på svenska ofta brukar kalla för utpressningsvirus. Ransomware fungerar som en form av digital utpressning, eller kapning där dina filer krypteras och du får ett krav på att betala en lösensumma för att få tillbaka åtkomsten. Ungefär som om en tjuv hade brutit sig in och lagt alla era värdesaker i ert kassaskåp och därefter krävt pengar för att lämna över nyckeln till ert kassaskåp, så agerar ransomware genom att ta dina filer som ”gisslan”.

Det största problemet med ransomware är att det inte finna några garantier. Även om du betalar lösensumman kan angriparen välja att inte låsa upp filerna. Det är också vanligt att filerna blir korrupta när de dekrypteras. Det bästa försvaret mot ransomware är en strukturerad backup och en övergripande mogen säkerhetsnivå.

En person sitter framför en laptop.

Hur fungerar ransomware?

Din organisation smittas oftast genom att en anställd på ditt företag luras att antingen ladda ner eller klicka på något skadligt. Det kan vara en länk i ett mejl som verkar komma från medarbetarens kontakt eller en infekterad fil från en pålitlig källa. Men det finns också andra sätt på vilket ransomware kan ta sig in i din organisations nätverk.

När ett vanligt företag hackas är ofta ransomware-attacken det sista som sker i kedjan av åtgärder som angriparen tar. Angriparen väljer oftast först att försöka hitta känslig information på det hackade systemet. Det kan vara information som exempelvis personuppgifter, kontakter till andra företag, API:er, andra nätverk i systemet. Bara efter att angriparen har all information som den behöver för att sätta maximalt tryck på organisationen sker ransomwareattacken.

När attacken sker går det snabbt. Den skadliga koden sprider sig genom nätverket som en löpeld. Allt från servrar, lagringsytor och arbetsdatorer krypteras och görs oanvändbara. Därefter möts de anställda av ett meddelande där angriparna kräver pengar för att dekryptera filerna. Summan ska oftast betalas oftast i kryptovaluta.

Förhandlingen

När systemet är krypterat startar offret och angriparen en förhandling om hur mycket som ska betalas för att låsa upp bolagets system igen. Det är en psykologisk process där angriparen ofta försöker utnyttja situationen genom att agera som en ”problemidentifierare”. Nästan som en konsult som testar säkerheten och ber om betalning för sitt jobb.

We offer: 1) full decryption assistance; 2) evidence of data removal; 3) security report on vulnerabilities we found; 4) guarantees not to publish or sell your data; 5) guarantees not to attack you in the future. Let me know whether you're interested in a whole deal or in parts. This will affect the final price.

Utdrag ur en autentisk förhandling

De flesta förhandlingar som jag har tagit del av handlar om att offret försöker pressa ner lösensumman, medan angriparen försöker få ut så mycket som möjligt. Oftast utgår angriparen från bolagets finansiella kapacitet när priset sätts. Sådana dokument finns nästan alltid bland de filer som stulits av offret. Det går näst intill alltid att förhandla ner priset till minst 50%, men jag har sett förhandlingar som har slutat på 75-90% av det initiala kravet. Jag lyfter enbart detta på grund av det är intressant. Ett ransomwarekrav ska aldrig betalas. Hade ingen betalat så hade det heller inte funnits något monetärt syfte med attackerna.

Betalningen sker alltid genom kryptovaluta.

We appreciate the extra time you gave us and got a lot more money. We're now able to pay you $325,550. We hope this can be a good concession.
We really appreciate your efforts to get more money. These negotiations have been going on long enough, so let's settle for $500,000. After that, we'll give you the decryption key, return the files, and close this case.
I'm grateful for this! It's much closer to what we have than $2m. We may need the rest of the week to get more money, is this okay for you?
Yes, let's close this issue this week.

Utdrag ur en autentisk förhandling

$4M and we're ready to close this today.
4 Million? You have our financials, you can clearly see that isn't going to be possible.
However, the amount you are asking for is beyond our capacity. As a gesture of good faith and our intent to resolve this matter amicably, we are prepared to offer $50,000. This amount represents a significant stretch for our organization but reflects our earnest desire to find a middle ground. We believe this offer is reasonable considering our situation and hope it demonstrates our willingness to cooperate. We request you to reconsider your demands in light of this offer. Ensuring a quick and fair resolution would be in the best interest of all parties involved.
50k won't work. I'll let you know a bit later.
Let's be realistic, you have our financial data... If you looked at the financials, you would see that my client is incapable of affording 1 million. All you would be doing is destroying a business, and getting absolutely nothing for it. I’m confident if you can bring the price down to a 5 figure settlement for Decryption and deletion of the data on your end, we’ll be able to come to a swift resolution.
My team can accept 100k the lowest.
Are you going to work with us?
To confirm, the 100K will result in assistance fully decrypting their systems, evidence of data removal, a security report on the vulnerabilities exploited, guarantees to not sell the data, and guarantees you will not attack again?

Utdrag ur en autentisk förhandling

Varför är ransomware farligt?

Den mest uppenbara risken är att du och företaget kan förlora viktiga filer för alltid om du inte har säkerhetskopior. Verksamheten står också stilla när systemet krypterats och fram till systemet är återställt.

Dessutom är de ekonomiska konsekvenserna ofta omfattande. Förutom lösensumman, som kan vara allt från några tusenlappar till miljonbelopp, kostar det att återställa system och reparera skadan. Företag kan också drabbas av ett skadat rykte, särskilt om kunddata läcker ut.

Ransomware är dessutom svårt att stoppa eftersom det hela tiden utvecklas. Nya varianter skapas ständigt, vilket gör att säkerhetsprogram och strategier måste vara uppdaterade.

Bild på lockbit ransomware

Olika typer av ransomware

Det finns flera olika typer av ransomware, som orsakar olika typer av skador. Men den vanligaste varianten och den som vi alltid brukar prata om är krypto-ransomware, som krypterar dina filer och gör dem oåtkomliga utan en dekrypteringsnyckel. Tyvärr är ransomware lite mer invecklat än så. Det finns nämligen ett antal utpressningsmetoder som i regel alltid används i samband med lyckade ransomwareattacker.

  • Betala annars publicerar vi:
    Finns känsliga data med i bilden, som exempelvis personuppgifter, finansiella uppgifter och andra känsliga uppgifter ökar trycket mot offret. För företaget blir detta en kraftfull hävstång eftersom läckt data kan skada ryktet och leda till juridiska problem.
  • Betala inom ett visst datum:
    Utpressarna använder ofta en deadline innan data publiceras online. Det är för att påskynda betalningen men leder också till offret inte har tid att utforska andra vägar för att ta sig runt krypteringen.
  • Betala två dagar och få 30% rabatt:
    Även här så används tidspressen för att få offret att betala.

Hur skyddar du dig mot ransomware?

Finns det två saker som du ska göra, så är det:

  1. Backa upp din data.
    En av de viktigaste åtgärderna är att regelbundet säkerhetskopiera dina filer. Se till att ha kopior offline samt i en säker molntjänst, så att du kan återställa dina data även om du skulle drabbas av en attack.
  2. Segmentera nätverket.
    Dela upp ditt nätverk så att känsliga data som exempelvis kunddata, finansiell eller teknisk data samt personuppgifter inte kan nås av angripare.

Till det kommer även underliggande generella åtgärder som ökar säkerheten. Det här åtgärderna nedan kommer ifrån angriparna själva och är en smula tekniska, men delas av mig som en lämplig säkerhetsåtgärd.

  • Ingen av era anställda bör öppna misstänkta e-postmeddelanden, länkar eller ladda ner några filer, än mindre köra dem på sina datorer.
  • Använd starka lösenord och byt dem regelbundet. Lösenord bör inte vara identiska eller återanvändas på olika resurser.
  • Installera tvåfaktorsautentisering (2FA) där det är möjligt.
  • Använd de senaste versionerna av operativsystem, eftersom de är mindre sårbara för attacker.
  • Uppdatera alla mjukvaruversioner.
  • Använd antiviruslösningar och verktyg för trafikövervakning.
  • Skapa en jump-host för er VPN. Använd unika inloggningsuppgifter för denna, som skiljer sig från domänens inloggningsuppgifter.
  • Använd säkerhetskopieringsprogramvara med molnlagring som stöder token-nycklar.
  • Informera era anställda så ofta som möjligt om försiktighetsåtgärder vid onlineanvändning. Den mest sårbara punkten är den mänskliga faktorn och bristande ansvar hos era anställda, systemadministratörer etc.

Om det värsta händer

Om du trots alla försiktighetsåtgärder drabbas av ransomware, är det viktigt att agera snabbt och metodiskt. Koppla genast bort den infekterade enheten från nätverket för att förhindra att skadan sprider sig. Försök sedan att identifiera vilken typ av ransomware som har drabbat dig och om det finns kända metoder för att dekryptera dina filer. Börja sedan att isolera, och återställa berörda system.

Det rekommenderas starkt att inte betala lösensumman, eftersom det inte finns några garantier att du får tillbaka dina filer. Dessutom uppmuntrar betalning (som jag tidigare skrivit) bara till att angriparna fortsätta sina ransomwareattacker. Kontakta istället experter som kan hjälpa dig att hantera situationen.

Rapportera alltid händelsen till myndigheter. Det hjälper inte bara dig utan också andra som kan drabbas av liknande attacker i framtiden. Efter att problemet är löst är det viktigt att analysera vad som gick fel och hur du kan förbättra ditt skydd framöver.

2024-12-23T15:04:01+01:00
Henrik Petterson

Skrivet av: Henrik Petterson

Henrik arbetar med Secifys varumärke och marknadsinsatser och skapar bland annat innehåll, pressmeddelanden och nyheter.

Henrik Pettersons senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559078-8062 | 020-66 99 00 | Kontakta oss

Till toppen