Ifølge den siste trusselrapporten fra McAfee økte antallet angrep med løsepengevirus i første kvartal 2019 med 118 %. Ikke bare var det en betydelig økning i antall angrep, men det dukket også opp nye typer løsepengevirus, og nettkriminelle som brukte mer innovative teknikker for å skape kaos.

Nye typer løsepengevirus

Nettkriminelle fortsetter å komme med nye og innovative måter å angripe og infisere bedrifter på. Spear- fishing er en taktikk som fortsetter å være populær blant mange trusselaktører. Forskerne ved McAfee uttalte følgende: "Et økende antall angrep får tilgang til selskaper som har åpne og utsatte fjernadgangspunkter, for eksempel Remote Desktop Protocol (RDP) og Virtual Network Computing (VNC)." Hackere kan ofte få tilgang til denne typen legitimasjon fordi bedrifter gjerne lar RDP-klientporter være åpne for internett. Det er enkelt å skanne blokker med IP-adresser for å finne åpne RDP-porter. Deretter kan angriperne forsøke å tvinge frem påloggingsopplysninger/passord for det eksterne skrivebordet. Hackere kan også få RDP-legitimasjon via kriminelle markeder og passordlekkasjer.

Faktabok - alt du trenger å vite om Ransomware!

Anatova

En nyoppdagelse i 2019 var løsepengeviruset Anatova. Denne nye typen virus forkler seg som ikonet for et spill eller et program for å lure brukeren til å laste det ned. Det er en ekstremt avansert form for skadelig programvare, og den tilpasser seg raskt og bruker unnvikelse og spredningsteknikker for å forhindre at den skal bli oppdaget. På grunn av den modulære utformingen kan den ha ytterligere funksjoner innebygd som motarbeider metoder for å avdekke løsepengevirus. Heldigvis oppdaget McAfee Advanced Threat Research-teamet denne nye virustypen tidlig i 2019 før den ble en betydelig trussel.

Dharma

Dharma er en variant av CrySiS og har eksistert siden 2018, men nettkriminelle fortsetter å gi ut nye varianter, som er umulige å dekryptere.

 GandCrab

Dette er et løsepengevirus som bruker AES-kryptering og slipper en fil kalt="" GandCrab.exe inn i systemet. GandCrab er rettet mot forbrukere og bedrifter med PC-er som kjører Microsoft Windows. Den 31. mai 2019 sendte de nettkriminelle bak GandCrab ut en kunngjøring der de sa at de stoppet ytterligere angrep med GandCrab. De påsto at de hadde tjent over USD 2 milliarder i løsepenger, og at de skulle nyte en "velfortjent pensjonisttilværelse".

Ryuk

Ryuk er spesielt rettet mot store organisasjoner for å få høy økonomisk avkastning. Ifølge CrowdStrike kasserte Ryuk inn over 705,80 bitcoins fordelt på 52 transaksjoner mellom august 2018 og januar 2019. Den samlede verdien på disse transaksjonene beløper seg til USD 3.701.893,98. Det første angrepet som fikk folk til å våkne, var rettet mot Tribune Publishing i julen 2018. Først trodde selskapet at angrepet bare skyldtes et serverbrudd, men det ble snart klart at det var løsepengeviruset Ryuk.

En annen betegnelse på løsepengevirus som Ryuk som retter seg mot store bedrifter for å få høy avkastning, er "big game hunting" ("storviltjakt"). Disse storangrepene innebærer detaljert tilpasning av kampanjer for å skreddersy angrepet til de enkelte målene, og gjøre dem mer effektive. "Storviltjakt" krever derfor mye mer arbeid fra hackerens side, og angrepet lanseres vanligvis i flere faser. For eksempel kan den første fasen være et nettfiske-angrep der målet er å infisere et bedriftsnettverk med skadelig programvare for å kartlegge systemet og identifisere viktige ressurser det kan målrettes mot. Faser to og tre vil da være en rekke angrep med utpressing og krav om løsepenger.

Emotet

Emotet var opprinnelig en skadelig programvare rettet mot banker. Den snek seg inn på datamaskiner og stjal sensitiv og privat informasjon. Emotet kom først på scenen i 2014 og har siden dukket opp i en rekke versjoner og utviklet seg til et løsepengevirus som kan unndra seg deteksjon selv av noen antivirusprogrammer. Siden oppstarten har Emotet stjålet banklegitimasjon, økonomiske data og bitcoin-lommebøker fra enkeltpersoner, selskaper og myndigheter i hele Europa og USA.

Hackere benytter seg av ormlignende egenskaper for å spre Emotet til andre datamaskiner, og de introduserer vanligvis viruset via søppelpost. E-postene er laget for å se legitime ut og bruker fristende språk for å lure offeret til å klikke på en link.

Emotet er en av de mest kostbare og ødeleggende skadelige programvarene. Ifølge det amerikanske Department of Homeland Security koster det over USD 1 million å rydde opp etter et gjennomsnittlig Emotet-angrep.

Sjekk vår Ransomware Infographics

Slik forhindrer du løsepengevirus

Det er mange ting du må tenke på i kampen mot løsepengevirus. Med så mange forskjellige typer skadelig programvare som finnes, bør du huske på disse tre hovedtipsene og følge dem.

1.     E-postsikkerhet er alfa og omega

Ifølge McAfee fortsetter søppelpost å være en av de viktigste inngangsportalene for løsepengevirus, spesielt ved målrettede angrep. Derfor er det viktig å sikre denne kilden til sårbarhet for alle som driver et nettverk eller kobler seg til internett.

De fleste enkeltpersoner utløser et angrep med løsepengevirus ved å åpne det som ser ut til å være en vanlig e-post som inneholder viruset i et dokument, bilde, en video eller en annen type fil. De fleste hackere i dag trenger ikke mye kunnskap for å sette inn et stykke skadelig programvare i en fil. Det finnes mange artikler og YouTube-veiledninger med trinnvise instruksjoner om hvordan man gjør det.

Med dette i bakhodet bør du alltid unngå å åpne e-poster fra ukjente avsendere. Hvis du får en e-post fra en ukjent kilde, bør du informere bedriftens datasikkerhetsrådgiver eller IT-teamet umiddelbart.

Husk at det å holde bedriftens IT-systemer og data sikre alltid er den riktige beslutningen.

2.    Gjør nettverket og IT-miljøet ditt sikkert

Løsepengevirus som infiserer én enkelt datamaskin, er utvilsomt et alvorlig problem. Men når det sprer seg over hele nettverket, kan det ikke bare bli et mareritt for IT-avdelingen – det kan sette hele virksomheten i fare.

Bedrifter som ikke allerede har en datasikkerhetsprogramvare som sjekker alle innkommende e-poster før mottakeren får dem, bør så absolutt vurdere å implementere dette. En slik løsning vil redusere risikoen drastisk for at et virus sprer seg i et bedriftsnettverk. I tillegg bør IT-administratorer og ledelsen vurdere å implementere programvare for nettverkssikkerhet, som automatisk overvåker nettverket og filene der for trusler. En slik løsning vil også varsle administratorer hvis et løsepengevirus prøver å kryptere store mengder filer over nettverket.

Sist men ikke minst: Oppdater alltid programvarene og operativsystemene dine med de siste oppdateringene så snart de er tilgjengelige. Som det så ofte blir påpekt: Hackere lykkes bare med angrepene sine når offeret har hull i datasikkerheten.

3.    Gjør dine ansatte smarte

Selv erfarne databrukere får panikk når de innser at de står overfor et løsepengevirus. Det er derfor viktig at alle ansatte i et selskap vet nøyaktig hva de skal gjøre hvis det skulle oppstå et angrep – også ledere på høyt nivå og IT-sjefer.

Et angrep med løsepengevirus burde ikke bare være en del av virksomhetens kontinuitetsplan for toppledelsen eller IT-ekspertene. Konkrete tips om hva man skal gjøre ved slike angrep, bør være synlige på alle kontorer og forstås av alle ansatte. Disse tipsene kan være enkle, men effektive, for eksempel:

• Koble fra internett og det interne nettverket
• Prøv å slå av enheten helt, eller ring avdelingen for IT-sikkerhet/IT-administrasjon øyeblikkelig

Ansatte knyttet til IT-sikkerhet og administrasjon bør holde seg kontinuerlig oppdatert om den siste utviklingen innen nettsikkerhet og hacking. Det å lese de siste bloggnyhetene, holde seg oppdatert om utviklingen på denne scenen og smutthull i nettverk eller programvareløsninger, bør derfor være obligatorisk for disse ansatte.

Hva bør du gjøre hvis du blir rammet av et løsepengevirus?

Hvis et løsepengevirus av en eller annen grunn bryter gjennom forsvaret ditt, bør du gjøre følgende:

• Aldri betal løsepenger! Selv om du betaler de kriminelle, har du ingen garanti for at du får dataene dine tilbake. I mange tilfeller (og definitivt hvis det er en "ranscam"- eller "wiper"-programvare) får du ikke dataene dine tilbake uansett, noe som gjør at du sitter igjen uten data og med langt mindre penger!
• Ikke prøv å dekryptere dataene selv. Enkelte dataspesialister kan ha muligheten til å gjenopprette tapte data, men det er risikabelt. Hvis noe går galt, kan du ødelegge dataene dine for alltid.

Case: NetApp teknologi ble vår beste hjelp

Datarekonstruksjon etter løsepengevirus

En spesialist på gjenoppretting av data  vil se på alle saker med løsepengevirus som forskjellige. Det er ikke bare store forskjeller i hvordan disse virusene krypterer data og spres gjennom nettverket, men også i måten de retter seg mot forskjellige områder av datalagringssystemene på.

Noen systemer og datastrukturer er mer utfordrende og mer tidkrevende å gjenopprette enn andre. Ettersom hvert tilfelle er forskjellig, er det lurt å kontakte en spesialist og spørre om de har sett din type løsepengevirus før. De vil kunne gi deg råd om hvorvidt det er verdt å prøve å gjenopprette dataene, og om de har lyktes tidligere med lignende saker.

Angrepene de siste årene viser at løsepengevirus fortsetter å være en alvorlig trussel for både privatpersoner og selskaper. Det kan derfor lønne seg å ta en ekstra titt på datasikkerheten, nettverkspolicyene, brukeropplæringen og prosedyrene for sikkerhetskopiering.

Når det gjelder sikkerhetskopiering, anbefaler vi at du lagrer sikkerhetskopier av forretningskritiske data på eksterne lagringsenheter som du ikke kobler til nettverket, f.eks.  .

Hvis sikkerhetskopiene dine ikke fungerer, eller de blir rammet av løsepengevirus, er det best å kontakte en profesjonell leverandør av datagjenoppretting som kan forsøke å gjenopprette informasjonen din fra lagringsmediet som er rammet, eller jobbe rundt selve viruset for å komme til dataene.