Artikler / Security & identity

Hvad er ransomware, og hvordan beskytter jeg min virksomhed imod det?

Ransomware er en type af malware, hvor dataene på offerets computer bliver låst, typisk ved kryptering, og betaling kræves før data kan dekrypteres og adgang returneres til offeret.

Motivet for ransomware-angreb er næsten altid med et økonomisk perspektiv, og i modsætning til andre typer angreb underrettes ofret om, at data er blevet krypteret og får instruktioner om, hvordan man kan få sin data dekrypteret. Betaling kræves ofte i en virtuel valuta, såsom Bitcoin, så den kriminelles identitet ikke afsløres.

Ransomware kan spredes gennem e-mails med en vedhæftet fil, inficerede software-apps, inficerede eksterne lagerenheder og kompromitterede websteder. Det er set at kriminelle også bruger remote desktop-protokol (RDP) og anre teknologier, der ikke er afhængige af nogen form for brugerinteraktion.

Hvordan virker ranswomware?

Det er muligt for kriminelle at købe ransomware-software på dark web, og tilpasse softwaren til eget behov. De kan derefter generere denne malware til deres egen distribution og kræve løsepenge betalt til deres bitcoin-konti. Det er nu muligt for dem med en ringe eller ingen teknisk baggrund, at bestille ransomware som en service (RaaS), og starte angreb uden nogen teknisk forståelse på hvordan det virker. I et RaaS-scenarie indsamler udbyderen løsepenge-betalingerne og tager en procentdel, før han fordeler indkomsten til servicebrugerne.

Typer af ransomware

Angribere kan bruge flere forskellige metoder til at afpresse digital valuta fra deres ofre. For eksempel:

  • Ransomware kendt som scareware vil forsøge at imitere et sikkerhedssoftware eller teknisk support værktøj. Ofre kan modtage pop-up-meddelelser, der siger, at malware er blevet opdaget på deres system. For at slippe af med de gentagende pop-meddelelser skal ofret betale summen der opkræves af den kriminelle.
  • Skærmlås er en type ransomware designet til at låse en bruger fuldstændigt ud af deres computer. Ved opstart af computeren kan et offer derefter se, et skærmbillede der ligner noget lavet af myndighederne, hvilket får offeret til at tro, at de selv har brudt ophavsretten med noget af den data der ligger på computeren. Efter at blive informeret om at der er fundet u-licenseret software eller ulovligt webindhold på deres computer, får offeret instruktioner om, hvordan man betaler en elektronisk bøde. Officielle regeringsorganisationer ville aldrig gøre dette; de ville i stedet benytte de rette juridiske kanaler og procedurer.
  • Ransomware der krypterer ofrets data, også kendt som data-kidnapning, giver angriberen adgang til og krypterer offerets data og beder om en betaling for at låse filerne op. Når dette sker, er der ingen garanti for, at offeret får adgang til deres data tilbage, selvom betalingen er sket.
  • Med doxware vil en angriber true med at offentliggøre ofrets data online, hvis løsepengene ikke bliver betalt.

Mens tidlige versioner af disse angreb undertiden blot “låste” adgang til webbrowseren eller Windows-skrivebordet – og gjorde det på måder, der ofte var relativt nemme at omgå, har hackere siden oprettet versioner af ransomware, der bruger stærke nøglekryptering for at nægte adgang til filer på computeren.

Skrærmlås vs. Krypterings ransomware

Skærmlås og kryptering er de to hovedtyper af ransomware. Ved at kende forskellen mellem dem er det nemmere at vide hvad man skal gøre når man bliver inficeret.

Som beskrevet tidligere, vil skærmlåse låse en bruger fuldstændigt ud af deres computer, indtil der foretages en betaling. Skærmlåsen nægter en bruger adgang til det inficerede system og filer; dataene er dog ikke krypteret. I Windows-systemer blokerer en skærmlås også adgang til systemkomponenter som Windows Task Manager og Registry Editor. Skærmen er låst, indtil betalingen foretages. Typisk får offeret instruktioner om, hvordan man betaler. Skærmlåse vil også forsøge at narre brugeren til at betale ved at præsentere sig som en officiel regeringsorganisation.

Krypterings ransomware er en af de mest effektive former for ransomware i dag. Som nævnt ovenfor vil en hacker få adgang til, og kryptere offerets data samt bede om betaling for at låse filerne op. Angribere vil bruge komplekse krypteringsalgoritmer til at kryptere alle data, der er gemt på enheden, hvilket gør det umuligt at genetablere dataene uden en dekryptering. Der vil ofte være en note på det påførte system med oplysninger om, hvordan man henter de krypterede data efter betaling. Sammenlignet med skærmlås sætter kryptering ofrets data i mere umiddelbar fare, og der er ingen garanti for, at dataene vender tilbage til offeret efter betaling.

Forebyggelse af ransomware angreb

For at beskytte mod ransomware-angreb og andre typer cyber-afpresning, opfordrer eksperter brugerne til at tage backup af deres computer regelmæssigt – med f.eks OneDrive – og opdatere software, herunder antivirus-software, regelmæssigt. Slutbrugere skal passe på at klikke på links i e-mails fra fremmede eller åbne vedhæftede filer i e-mails. Ofre bør gøre alt, hvad de kan, for at undgå at betale løsepenge. Det er derfor vigtigt at oplære sine slutbrugere i hvordan de skal behandle e-mails og færden på internettet.

Mens ransomware-angreb kan være næsten umuligt at stoppe, er der vigtige databeskyttelsesforanstaltninger, som enkeltpersoner og organisationer kan fortage for at sikre, at skaden bliver minimal når uheldet er ude. Nogle af strategierne inkluderer komplet backup af sine systemer. Ved at kontrollere hvem der kan få adgang til data, og hvornår adgang er tilladt, kan man begrænse hvad virussen har adgang til at kryptere når uheldet er ude.