Ransomware er skadelig kode som krypterer informasjon på systemene som blir hacket. Som navnet antyder, er ransomware et utpressingsvirus. Angriperen bruker det til å kryptere informasjon, slik at den blir utilgjengelig for den som eier den. Deretter blir eieren av informasjonen utpresset av angriperen, som krever løsepenger for dekrypteringsnøkler som kan gjøre informasjonen tilgjengelig igjen. Et ransomware-angrep kan ramme både datamaskiner, mobile enheter, servere og andre systemer.
Som ved alle andre typer cyberangrep trenger trusselaktøren en vei inn i et system eller en datamaskin for å kunne gjennomføre et angrep. Det finnes ingen spesifikke fremgangsmåter for ransomware-angrep. I stedet er angriperen opportunistisk, leter bredt etter sårbare systemer og slår til der sjansene virker lovende. Sårbarheter kan i denne sammenhengen være alt fra feilkonfigurasjoner til enheter som ikke er oppdatert – men ofte utnytter angriperne også feil som brukerne gjør.
En vanlig måte er å bruke ulike typer phishing for å lure brukerne til å klikke på et vedlegg med skadelig kode. Eventuelt kan man plante lenker til skadelig kode i nedlastbar programvare. Når en bruker klikker på en lenke i en e-post eller godkjenner en nedlasting, gir vedkommende – uten å være klar over det – angriperen tilgang til datamaskinen eller systemet. Når trusselaktører finner en vei inn i et miljø, sørger de for at de kan bruke den samme veien flere ganger. Om mulig lager de også flere veier inn.
Når angriperne har etablert disse veiene, begynner de å kartlegge miljøet. De leter etter interessante mål med verdifull informasjon, for eksempel filservere og forretningssystemer. Når de har dannet seg et bilde av miljøet, kan de også begynne å planlegge gjennomføringen av selve angrepet. Trusselaktørene bak ransomware-angrep fungerer ofte som store, mer eller mindre organiserte bedrifter med flere involverte aktører. I likhet med andre organisasjoner er de spesialister på ulike ting. Noen leter etter potensielle mål for å utnytte sårbarheter, mens andre spesialiserer seg på å sørge for at den skadelige koden sprer seg fortest mulig uten å bli oppdaget. Med sin samlede erfaring finner de ofte relativt raskt frem til verdifull informasjon – informasjon som de senere krypterer på en mest mulig effektiv måte.
Vi ser dessuten stadig oftere at trusselaktører kopierer informasjonen før de krypterer den. Dermed kan de presse informasjonseieren på enda en måte: ved å true med å publisere informasjonen på Internett hvis løsepengene ikke blir betalt.
Aktørene bak ransomware-angrep er mer eller mindre velorganiserte grupper. Disse drives på samme måte som andre bedrifter og er primært opptatt av å oppnå fortjeneste. Ransomware-angrep har derfor hovedsakelig ett formål: å tjene penger gjennom utpressing. Men når de først gjør innbrudd, kan de også benytte anledningen til å stjele verdifull informasjon. Hvilken informasjon angriperen leter etter, avhenger av bedrift og bransje, men det kan handle om alt fra sensitive personopplysninger til informasjon om prissetting eller tegninger over viktige bygninger. Mer avanserte trusselaktører gjør selvsagt en forundersøkelse for å finne ut hva slags virksomhet offeret driver, og ut fra det gjetter de på hvilken type informasjon som er interessant.
Noen tenker kanskje at de ikke har informasjon som er verdifull nok til at andre vil være interesserte i å stjele den. Men husk at ved ransomware-angrep holder det at informasjonen har verdi for offeret – det øker nemlig sannsynligheten for at løsepengene blir betalt.
Et ransomware-angrep kan være vanskelig å oppdage i tide. Ofte oppdages det først når angrepet er mer eller mindre gjennomført der man får en melding om at informasjonen er kryptert og at man må betale løsepenger for å få den tilbake. For å kunne oppdage angrep før det har gått så langt, trenger man overvåking og et robust miljø. Systemer som EDR (Endpoint Detection and Response) og SIEM (Security Information and Event Management) kan hjelpe deg med å overvåke sikkerhetsrelaterte hendelser i ditt miljø. Disse systemene kan blant annet identifisere og analysere mistenkelig kode, oppdage avvik og anomalier, samt umiddelbart isolere det systemet eller de systemene som har blitt rammet. Sikkerhetssystemene kan også se sammenhengen mellom flere enkelthendelser som kanskje ikke utgjør store trusler hver for seg, men som til sammen danner et avvikende mønster. I systemet kan du også opprette egne alarmer og overvåkingspunkter, ganske enkelt overvåke eller blokkere hendelser som vanligvis aldri bør skje i ditt miljø.
I tillegg til overvåkingssystemer har man også behov for logger fra alle systemene i virksomheten. For selv om EDR og SIEM gir en indikasjon på at noe er i ferd med å skje, trenger man logger med detaljert informasjon om hva som faktisk har skjedd. Jo mer logginformasjon du har tilgang til, jo bedre grunnlag har du for å foreta analyser og undersøkelser og på den måten øke beskyttelsen.
Når angrepet er gjennomført og du ikke lenger har tilgang til dataene dine, har du bare to alternativer: enten betale løsepengene eller tilbakestille informasjonen ved hjelp av sikkerhetskopier. Men først må du finne ut hva som har skjedd, og hvor sårbarheten befinner seg. Så må du fjerne sårbarheten. Ellers er det fare for at trusselaktøren kommer tilbake og gjør det samme igjen. For å ta tilbake kontrollen må du koble alle systemer fra omverdenen. Det innebærer at hele virksomheten påvirkes og risikerer å være ute av drift inntil du har fått kontroll over situasjonen. Tidsaspektet blir derfor viktig. Jo mer erfaring man har med å håndtere slike situasjoner, jo raskere kan man løse problemet. Derfor kan det være smart å hente inn eksperthjelp.
Ved et angrep blir dataene utilgjengelige for deg som eier dem. I tillegg er det fare for at informasjonen vil bli publisert på Internett. Enten du betaler løsepengene som angriperen krever, eller du tilbakestiller dataene ved hjelp av egne sikkerhetskopier, er det stor risiko for at du vil miste data.
En dekrypteringsnøkkel fra angriperen gir deg i prinsippet aldri 100 % av dataene tilbake. Og ved å betale angriperen støtter du kriminell virksomhet. Hvis sikkerhetskopieringen ikke foretas i sanntid, innebærer også det risiko for tap av viktige data. I tillegg til dette stopper mange virksomheter i dag helt opp hvis de ikke har tilgang til IT-systemene sine – noe som selvsagt har svært store konsekvenser.
Hvis man vil beskytte seg mot ransomware, er det aller viktigste å bygge opp et robust og motstandsdyktig IT-miljø med god overvåking. Siden angripere pleier å ta minste motstands vei, er det smart og viktig å bygge opp IT-miljøet på en slik måte at det forsinker angriperne mest mulig. Dette kan sammenlignes med at gjerder, alarmer og vegger fungerer som beskyttelse i et fysisk miljø. Målet er å forsinke angriperen mest mulig, siden det øker sjansen for å oppdage angrepet gjennom overvåking. Da kan du forhåpentligvis stanse angrepet på et tidlig stadium.