Ransomware: Hvad er det? Definition, eksempler og beskyttelse

Ransomware: Lær hvad det er, se eksempler og få effektive råd til forebyggelse og beskyttelse mod krypteringsangreb og løsesum.

Ransomware er en type malware. Den begrænser adgangen til det computersystem, den inficerer, eller de data, den gemmer (ofte ved hjælp af krypteringsteknikker), og kræver, at der betales en løsesum til skaberen/skaberne af malware. Dette sker for at få fjernet begrænsningen. Nogle former for ransomware krypterer filer på systemets harddisk. Andre kan blot låse systemet og vise meddelelser, der har til formål at overtale brugeren til at betale.

Udover at kryptere filer kan moderne ransomware også stjæle (eksfiltrere) data og true med at offentliggøre dem, hvis løsesummen ikke betales — den såkaldte double extortion. Ransomware findes både som skræddersyede angreb mod store organisationer og som masseangreb mod private brugere. Mange af de seneste varianter tilbydes som en tjeneste (Ransomware-as-a-Service, RaaS), hvor udviklere leverer koden til “affiliates”, som så står for distributionen og deler indtægterne.

Ransomware blev først populært i Rusland. Nu er brugen af ransomware-svindel vokset internationalt. I juni 2013 oplyste McAfee, at der var indsamlet over 250.000 unikke prøver af ransomware i de første tre måneder af 2013. Det er mere end dobbelt så mange som året før. CryptoLocker, en ransomware-orm, der dukkede op i slutningen af 2013, havde indsamlet anslået 3 millioner USD, før den blev taget ned af myndighederne.

Udviklingen siden har vist, at ransomware er blevet mere professionelt organiseret og mere målrettet. Angriberne bruger ofte social engineering (fx phishing-e-mails), udnyttelse af sårbar software, kompromitteret fjernadgang (RDP) og ondsindede annoncer (malvertising) for at sprede deres kode. Organisationer uden opdaterede sikkerhedsopdateringer, uden gode backups eller med dårligt segmenterede netværk er særligt udsatte.

I maj 2017 spredte en ransomware ved navn WannaCry sig over hele verden. Det varede fire dage og påvirkede over 200.000 computere i 150 lande. Der blev kun betalt omkring 130.000 dollars (USD) i løsesum, men angrebet ramte mange store virksomheder og organisationer. Storbritanniens National Health Service (NHS) blev hårdt ramt af WannaCry. Hospitaler kunne ikke få adgang til deres filer, og derfor blev mange operationer aflyst, og patienter måtte afvises. NHS var særligt udsat, fordi det brugte en version af Windows-operativsystemet kaldet Windows XP, som Microsoft ikke længere understøtter. Det betød, at Microsoft ikke havde udsendt sikkerhedsopdateringer til denne version af Windows, hvilket gjorde den sårbar over for WannaCry-virussen. Andre systemer blev ramt, selv om de kørte nyere versioner af Windows, fordi deres brugere endnu ikke havde installeret de seneste sikkerhedsopdateringer. Selv om WannaCry ikke var designet til rent faktisk at beskadige computere eller deres filer, førte WannaCry til en masse spildt tid og penge og viste, hvor sårbar verden stadig er over for ransomware-angreb.

Hvordan ransomware spredes

• Phishing-e-mails med ondsindede vedhæftninger eller links, som brugeren åbner.
• Udnyttelse af kendte sårbarheder i operativsystemer eller serversoftware (fx via exploits som EternalBlue).
• Kompromitterede fjernadgangstjenester (RDP) med svage adgangskoder.
• Drive-by downloads og malvertising, hvor ondsindet kode leveres via ellers legitime websites.
• Inficerede installationer af software eller tredjepartsmoduler.

Typer af ransomware

• Crypto-ransomware: Krypterer filer, så de bliver utilgængelige uden privat nøgle.
• Locker-ransomware: Låser hele systemet og forhindrer brugeren i at få adgang.
• Double extortion: Krypterer filer og eksfilerer samtidig data, truer med offentliggørelse.
• Wiper-maskeret: Fremstår som ransomware, men har til formål at ødelægge data (fx NotPetya).

Eksempler på større angreb

• CryptoLocker (2013): En af de tidlige og meget indbringende varianter.
• WannaCry (2017): Brugte en lækket NSA-udnyttelse til hurtigt at sprede sig globalt og ramte bl.a. NHS.
• Moderne RaaS-kampagner: Angreb målrettet mod sundhedsvæsen, kommuner og virksomheder med krav på høje løsesummer og trusler om offentliggørelse.

Hvordan beskytter man sig

Forebyggelse er vigtigst. Følgende foranstaltninger reducerer risikoen betydeligt:

• Regelmæssige backups: Følg 3-2-1-reglen: mindst 3 kopier af data på 2 forskellige medier, hvoraf 1 er offsite/air-gapped. Test regelmæssigt, at backup kan gendannes.
• Hold systemer opdaterede: Installér sikkerhedsopdateringer til operativsystemer og applikationer straks.
• Segmentér netværk: Begræns lateral bevægelse ved at adskille kritiske systemer fra almindelige brugermaskiner.
• Brug stærke adgangskoder og MFA: Aktiver multifaktorautentifikation, især for fjernadgang.
• Endpoint-sikkerhed og EDR: Benyt moderne antivirus, intrusion detection og endpoint detection & response-løsninger.
• Minimér privilegier: Giv brugere kun de rettigheder, de behøver (least privilege).
• Brug e-mailfiltre og træning: Implementér spamfiltre og uddan medarbejdere i at genkende phishing.
• Deaktivér unødvendige tjenester: Luk fx RDP, hvis det ikke er nødvendigt, eller beskyt det med VPN og stærk autentifikation.

Hvad gør du, hvis du bliver ramt

• Isolér inficerede systemer fra netværket for at forhindre spredning.
• Sluk ikke maskinen nødvendigvis — i nogle tilfælde kan data til hændelsesundersøgelse gå tabt; få rådgivning fra it-sikkerhedsfolk.
• Kontakt din interne it-afdeling eller en ekstern incident response-leverandør.
• Underret relevante myndigheder og eventuelt databeskyttelsesmyndighed afhængigt af omfanget.
• Gendan data fra sikre backups, hvis muligt, efter du har sikret, at truslen er fjernet.

Skal man betale løsesummen?

Det anbefales generelt ikke at betale. At betale:

• giver ikke garanti for, at filerne bliver gendannet,
• kan finansiere yderligere kriminalitet,
• betyder, at angiverne ser dig som et lukrativt mål og kan angribe igen.

Samtidig anerkender nogle organisationer, at beslutningen kan være kompleks, hvis kritiske funktioner er lammet. Kontakt altid myndigheder og fagfolk, før du træffer en beslutning om betaling.

Afsluttende råd

Ransomware er en alvorlig og vedvarende trussel, men risikoen kan minimeres med en kombination af tekniske foranstaltninger, gode driftsrutiner og uddannede brugere. Prioritér backups, opdateringer, netværkssegmentering og beredskabsplaner, så din organisation kan modstå og hurtigt genoprette efter et angreb.

Spørgsmål og svar

Q: Hvad er ransomware?

Spørgsmål: Hvordan blev ransomware populært?

Spørgsmål: Hvor mange unikke prøver af ransomware blev indsamlet af McAfee i 2013?

Spørgsmål: Hvad var det anslåede beløb, der blev indsamlet af CryptoLocker, inden den blev taget ned?

Spørgsmål: Hvad skete der under WannaCry-angrebet i 2017?

Spørgsmål: Hvorfor blev nogle systemer stadig ramt, selv om de havde nyere versioner af Windows installeret?

Spørgsmål: Hvilken virkning havde WannaCry på mennesker og organisationer verden over?

Søg efter bogstav