Hvad er ransomware?
Få mere at vide om ransomware, hvordan det fungerer, og hvordan du kan beskytte dig selv og din virksomhed mod denne type cyberangreb.
Definition af ransomware
Ransomware er en type skadelig software, eller malware, som truer et offer med at ødelægge eller blokere adgang til vigtige data eller systemer, indtil der er betalt en løsesum. Historisk set er det mest enkeltpersoner, der er blevet ramt af ransomware, men i nyere tid er menneskedrevet ransomware, som går efter organisationer, blevet en større og sværere trussel, som skal forebygges og modarbejdes. Ved menneskedrevet ransomware bruger en gruppe personer med ondsindede hensigter deres kollektive intelligens til at få adgang til en organisations virksomhedsnetværk. Nogle angreb af denne type er så avancerede, at personerne med ondsindede hensigter bruger interne, finansielle dokumenter, de har afdækket, til at sætte løsesummens størrelse.
Ransomwareangreb i nyhederne
Desværre er trusler fra ransomware ikke noget, der nævnes ofte i nyhedsbilledet. Nylige højprofilerede ransomwareangreb har påvirket kritisk infrastruktur, sundhedsvæsenet og udbydere af it-tjenester. Da disse angreb er blevet bredere i deres målretning, er deres effekter blevet mere uforudsigelige. Her er et kig på nogle ransomwareangreb, og hvordan de har påvirket organisationer:
- I marts 2022 blev Grækenlands postvæsen offer for ransomware. Angrebet forstyrrede postleveringen midlertidigt og påvirkede behandlingen af økonomiske transaktioner.
- Et af Indiens største flyselskaber oplevede et ransomwareangreb i maj 2022. Hændelsen førte til forsinkelser og aflysninger af flyafgange samt hundredvis af strandede passagerer.
- En stor HR-virksomhed blev ramt af et ransomwareangreb i december 2021, hvor deres system til løn og fritid for kunder, der bruger deres cloudtjeneste, blev påvirket.
- I maj 2021 lukkede et amerikansk firma, der leverer brændstof via rørledninger , deres tjenester for at forhindre yderligere brud, efter et ransomwareangreb kompromitterede tusindvis af deres medarbejderes personlige oplysninger. Effekten var, at benzinpriserne røg i vejret på hele østkysten.
- En tysk virksomhed, der laver kemisk distribution , blev udsat for et ransomwareangreb i april 2021. Der blev stjålet mere end 6.000 personers fødselsdatoer, sygesikringsnumre og kørekortnumre samt nogle medicinske data.
- Den største kødleverandør i verden blev offer for et ransomwareangreb i maj 2021. Efter midlertidigt at have taget deres websted offline og reduceret produktionen endte virksomheden med at betale en løsesum på 11 millioner USD i Bitcoin.
Hvordan fungerer ransomware?
Ransomwareangreb er afhængige af at få kontrol over en persons eller organisations data eller enhed(er) som et middel til pengeafpresning. Før i tiden var socialt styrede angreb hyppigst, men i nyere tid er menneskedrevet ransomware blevet populært hos kriminelle på grund af potentialet for en enorm betaling.
Socialt styret ransomware
Disse angreb bruger phishing– en form for bedrageri, hvor en person med ondsindede hensigter udgør sig for at være en reel virksomhed eller et reelt websted – for at narre et offer til at klikke på et link eller åbne en fil, der er vedhæftet en mail, som vil installere ransomware på vedkommendes enhed. Angrebene indeholder ofte alarmerende meddelelser, der får offeret til at handle af frygt. For eksempel kan en cyberkriminel udgive sig for at være en velkendt bank og sende en mail, der advarer en person om, at vedkommendes konto er blevet frosset pga. mistænkelig aktivitet, og opfordre vedkommende til at klikke på et link i en mail for at løse problemet. Når vedkommende klikker på linket, installeres ransomwaren.
Menneskestyret ransomware
Menneskestyret ransomware starter ofte med stjålne legitimationsoplysninger til en konto. Når personerne med ondsindede hensigter har fået adgang til en organisations netværk på denne måde, bruger de den stjålne konto til at få fat i legitimationsoplysninger til konti, der har adgang til flere ting, og leder efter data og systemer, der er kritiske for virksomheden, med mulighed for en stor økonomisk gevinst. Derefter installerer de ransomwaren i disse følsomme data eller systemerne, der er kritiske for virksomheden, for eksempel ved at kryptere følsomme filer, så organisationen ikke kan åbne dem, før de betaler en løsesum. Cyberkriminelle beder ofte om betaling i en kryptovaluta på grund af dens anonymitet.
Disse personer med ondsindede hensigter går efter større organisationer, som kan betale en højere løsesum end det gennemsnitlige individ, og beder nogle gange efter flere millioner dollars. Pga. de høje risici, der er forbundet med sikkerhedsbrud i denne skala, vælger mange organisationer at betale løsesummen frem for at få deres følsomme data lækket eller risikere flere angreb fra de cyberkriminelle, selvom betaling ikke garanterer nogen af delene.
I takt med at menneskestyrede ransomwareangreb er steget, er de kriminelle bag angrebene blevet mere organiserede. Faktisk er der mange ransomwareangreb, hvor man nu bruger ransomware som en servicemodel, hvor en samling kriminelle udviklere laver selve ransomwaren og derefter hyrer andre cyberkriminelle til at hacke en organisations netværk og installere ransomwaren. De to grupper kriminelle deler så udbyttet ud fra en aftalt fordelingsnøgle.
Forskellige typer ransomwareangreb
Ransomware findes i to hovedformer: Krypto-ransomware og locker-ransomware.
Krypto-ransomware
Når et individ eller en organisation er offer for et krypto-ransomwareangreb, krypterer personen med ondsindede hensigter offerets følsomme data eller filer, så vedkommende ikke kan få adgang, medmindre der betales en anmodet løsesum. I teorien modtager offeret en krypteringsnøgle, der giver adgang til filer eller data, når vedkommende betaler. Men selvom et offer betaler en løsesum, er der ingen garanti for, at den cyberkriminelle vil sende krypteringsnøglen eller opgive kontrollen. Doxware er en form for krypto-ransomware, der krypterer og truer med at afsløre et offers personlige oplysninger offentligt, som regel med et mål om at ydmyge eller udskamme offeret for at få vedkommende til at betale en løsesum.
Locker-ransomware
I et locker-ransomwareangreb låses et offer ude af sin enhed og kan ikke logge på. Offeret får en besked på skærmen, der forklarer, at vedkommende er blevet låst ude, og indeholder en vejledning til, hvordan vedkommende skal betale en løsesum for at få adgang. Denne form for ransomware involverer som regel ikke kryptering, så når offeret får adgang til sin enhed, vil alle følsomme filer og data være bevaret.
Reaktion på et ransomwareangreb
Hvis du bliver offer for et ransomwareangreb, har du nogle muligheder for at ophæve og fjerne det.
Vær forsigtig med at betale løsesummen
Selvom det kan være fristende at betale løsesummen i håb om, at det får problemet til at forsvinde, er der ingen garanti for, at de cyberkriminelle holder deres ord og giver dig adgang til dine data. Sikkerhedseksperter og retsinstanser anbefaler, at ofre for ransomwareangreb undlader at betaler den anmodede løsesum, fordi det kan gøre ofre sårbare for fremtidige trusler og aktivt vil støtte en kriminel industri. Hvis du allerede har betalt, skal du straks kontakte din bank – de kan muligvis stoppe betalingen, hvis du har betalt med kreditkort.
Isoler de påvirkede data
Så snart du kan, skal du isolere de kompromitterede data for at undgå at ransomwaren spreder sig til andre områder af dit netværk.
Kør et antimalwareprogram
Mange ransomwareangreb kan håndteres ved at installere et antimalwareprogram til at fjerne ransomwaren. Når du har valgt en velrenommeret antimalwareløsning, som f.eks. Microsoft Defender, skal du sørge for at holde den opdateret og altid kørende, så du er beskyttet mod de seneste angreb.
Indberet angrebet
Kontakt din lokale eller nationale retsinstans for at indberette angrebet. I USA udgør disse instanser din lokale FBI-afdeling, IC3, eller Secret Service. Selvom dette trin sandsynligvis ikke vil løse dine umiddelbare problemer, er det vigtigt, fordi disse myndigheder aktivt sporer og overvåger forskellige angreb. Oplysninger om din oplevelse kan være nyttige for dem i det store billede i forhold til at finde og retsforfølge en cyberkriminel eller en cyberkriminel gruppe.
Ransomware-beskyttelse
Nu, hvor der er flere ransomwareangreb end nogensinde før og så mange af folks personlige oplysninger opbevares digitalt, er det mulige udfald af et angreb enormt skræmmende. Heldigvis er der mange måder, hvorpå du kan holde dit digitale liv som netop det – dit digitale liv, ikke nogen andres. Her kan du se, hvordan du kan få ro i sindet med proaktiv ransomware-beskyttelse.
Installér et antimalwareprogram
Den bedste beskyttelse er forebyggelse. Mange ransomwareangreb kan registreres og blokeres med en pålidelig antimalwaretjeneste som f.eks. Microsoft Defender for Endpoint, Microsoft Defender XDR eller Microsoft Defender for Cloud. Når du bruger et antimalwareprogram, scanner din enhed først eventuelle filer eller links, du prøver at åbne, for at hjælpe med at sikre, at du sikkert kan åbne dem. Hvis en fil eller et websted er skadeligt, vil antimalwareprogrammet give dig besked og foreslå, at du undlader at åbne den/det. Disse programmer kan også fjerne ransomware fra en enhed, som allerede er inficeret.
Afhold løbende kurser
Hold dine medarbejdere informerede om, hvordan de kan se tegnene på phishing og andre ransomwareangreb med løbende kurser. Dette vil ikke blot lære dem at have mere sikre arbejdsvaner, men også hvordan de kan opføre sig mere sikkert på deres personlige enheder.
Flyt til skyen
Når du flytter dine data til en skybaseret tjeneste, f.eks. Azures tjeneste til sikkerhedskopiering i skyen eller Azures blokkbaserede Blob Storage-sikkerhedskopiering, kan du nemt sikkerhedskopiere data, så de opbevares mere sikkert. Hvis dine data nogensinde bliver kompromitteret af ransomware, kan disse tjenester hjælpe med at sikre, at genoprettelsen er både hurtig og fyldestgørende.
Brug en Nul tillid-model
Med en Nul tillid-model evalueres alle enheder og brugere ift. risici, før de får adgang til programmer, filer, databaser og andre enheder. Dette er med til at sænke risikoen for, at en skadelig identitet eller enhed får adgang til ressourcer og installerer malware. For eksempel er det vist, at hvis man implementerer multifaktorgodkendelse – en komponent af en Nul tillid-model – kan man reducere effektiviteten af identitetsangreb med mere end 99 %. Tag Microsofts modenhedsvurdering for Nul tillidfor at evaluere din organisations niveau af Nul tillid.
Tilmeld dig en gruppe til deling af oplysninger
Grupper til deling af oplysninger, der ofte organiseres efter branche eller geografisk område, opfordrer organisationer, der strukturelt ligner hinanden, til at arbejde sammen om cybersikkerhedsløsninger . Grupperne tilbyder også ofte organisationer forskellige fordele såsom hændelsesrespons og digitale efterforskningstjenester, nyheder om de nyeste trusler og overvågning af offentlige IP-adresser og domæner.
Sørg for at have sikkerhedskopier offline
Da visse typer ransomware vil forsøge at finde og slette eventuelle sikkerhedskopier, du måtte have online, er det en god idé at have en opdateret sikkerhedskopi af følsomme data offline, som du jævnligt tester for at sikre, at den kan gendannes, hvis du nogensinde bliver ramt af et ransomwareangreb. Desværre vil det at have en sikkerhedskopi offline ikke løse problemet, hvis du er blevet ramt af et krypto-ransomwareangreb, men det kan være et effektivt værktøj at anvende i et locker-ransomwareangreb.
Hold din software opdateret
Udover at holde alle antimalwareløsninger opdaterede (overvej at vælge automatiske opdateringer) skal du sørge for at downloade og installere alle andre system- og softwareopdateringer så snart, de er tilgængelige. Dette hjælper med at minimere eventuelle sikkerhedssårbarheder , som en cyberkriminel kan udnytte til at få adgang til dit netværk eller dine enheder.
Opret en plan for et hændelsesrespons
Ligesom man har en nødplan for, hvordan man kommer ud af sit hjem, hvis der opstår brand, så man er mere sikker og forberedt, vil oprettelse af en plan for et hændelsesrespons, der beskriver, hvad du skal gøre, hvis du bliver ramt af et ransomwareangreb, give dig nogle trin, du kan handle på i forskellige scenarier, så du hurtigst muligt kan komme tilbage til at køre normalt og sikkert.
Hjælp med at beskytte det hele med Microsoft Security
Microsoft Sentinel
Få en komplet visning på tværs af din virksomhed med en cloudbaseret SIEM-løsning (Security Information and Event Management).
Microsoft Defender XDR
Beskyt dine slutpunkter, identiteter, mails og apps med udvidet registrering og svar (XDR).
Microsoft Defender for Cloud
Beskyt dine multicloud- og hybridmiljøer fra udvikling til ibrugtagning.
Microsoft Defender Threat Intelligence
Forstå trusselsaktører og deres værktøjer med et komplet, kontinuerligt opdateret kort over internettet.
Bekæmp ransomwaretrusler
Vær på forkant med trusler ved hjælp af automatisk angrebsforstyrrelse og -respons med Microsoft Security.
Microsoft-rapport over digitalt forsvar
Gør dig bekendt med det aktuelle trusselslandskab og hvordan du opbygger et digitalt forsvar.
Skab et anti-ransomware-program
Udforsk, hvordan Microsoft udviklede Optimal Ransomware Resiliency State for at eliminere ransomware.
Brug en strategiplan for at blokere ransomware
Udtryk og visualiser, hvad alles rolle er i processen med at blokere ransomware.
Ofte stillede spørgsmål
-
Desværre kan næsten alle med en online tilstedeværelse blive offer for et ransomwareangreb. Både personlige enheder og virksomhedsnetværk er hyppige mål for cyberkriminelle.
Derfor er en investering i proaktive løsninger som Tjenester til trusselsbeskyttelseen god idé, hvis du vil undgå, at ransomware inficerer dit netværk eller dine enheder. Derfor vil individer og organisationer, der har antimalwareprogrammer og andre sikkerhedsprotokoller, såsom en Nul tillid-model, på plads før et angreb have mindst sandsynlighed for at blive ofre for et ransomwareangreb.
-
Traditionelle ransomwareangreb sker, når et individ snydes til at interagere med skadeligt indhold, f.eks. at åbne en inficeret mail eller besøge et skadeligt websted, som installerer ransomware på deres enhed.
I et menneskedrevet ransomwareangreb vil en gruppe personer med ondsindede hensigter gå efter en organisations følsomme data, som regel ved hjælp af stjålne legitimationsoplysninger.
Typisk for både socialt styret ransomware og menneskestyret ransomware er, at et offer eller en organisation bliver præsenteret for en besked om løsesum, der beskriver, hvilke data der er stjålet og prisen for at få dem tilbage. Betaling af løsesum garanterer dog ikke, at dataene faktisk returneres, eller at fremtidige sikkerhedsbrud forhindres.
-
Effekten af et ransomwareangreb kan være altødelæggende. Både på det individuelle og det organisatoriske niveau kan ofre føle sig tvunget til at betale høje løsesumme uden garanti for, at deres data returneres til dem, eller at der ikke vil ske yderligere angreb. Hvis en cyberkriminel lækker en organisations følsomme oplysninger, kan organisationens omdømme blive blakket, og den kan blive opfattet som utroværdig. Og afhængigt af typen af lækkede oplysninger og organisationens størrelse kan tusindvis af individer være i risiko for at blive ofre for identitetstyveri eller anden cyberkriminalitet.
-
Cyberkriminelle, der inficerer ofres enheder med ransomware, vil have penge. De beder ofte om en løsesum i kryptovaluta, fordi den er anonym og ikke kan spores. I et socialt styret ransomwareangreb, som er rettet mod et individ, kan løsesummen være hundredvis eller tusindvis af dollar. I et menneskedrevet ransomwareangreb, som er rettet mod en organisation, kan løsesummen være millioner af dollars. Disse mere avancerede angreb mod organisationer kan bruge fortrolige, økonomiske oplysninger, som de cyberkriminelle har fundet, da de brød ind i netværket, som grundlag for at sætte en løsesum, som de mener, at organisationen har råd til.
-
Ofre bør indberette ransomwareangreb til deres lokale eller nationale retsinstanser. I USA udgør disse instanser din lokale FBI-afdeling, IC3, eller Secret Service. Sikkerhedseksperter og retsinstanser anbefaler, at ofre undlader at betale løsesum – hvis du allerede har betalt, bør du straks kontakte din bank og dine lokale myndigheder. Din bank kan muligvis blokere betalingen, hvis du har betalt med kreditkort.
Følg Microsoft Security