Ransomware-angreb er big business. Ved udgangen af 2021, vurderer man, at ransomware-angreb rammer en virksomhed hvert 11. sekund og medfører op til 20 milliarder dollars i skade. Ransomware-angreb er ikke kun et problem for organisationer, som virksomheder, regeringer og sundhedsudbydere - de påvirker også kunder og medarbejdere, hvis data også rammes af den slags angreb.
Ransomware-angreb er angreb, der bruger malware til at kryptere ofrenes data og filer. De adskiller sig fra de afpresningskampagner, der bruger Distributed denial of service (DDoS) til at overvælde offeret med trafik og til gengæld lover at stoppe angrebet mod betaling.
Selvom nogle organisationer vælger at betale ransomwarens krav, anbefales man det sjældent, da der ikke er nogen garanti for, at adgangen til inficerede systemer rent faktisk gendannes. Og når de betaler, motiverer ofrene bare til flere og nye cyberangreb. Mange virksomheder afslører ikke ransomware-angreb. Og hvis de gør det, afslører de sjældent angribernes krav.
Her gennemgår vi nogle af 2020s seneste ransomware-angreb, fra januar til december.
Hackerne startede året med et angreb på valutavirksomheden Travelex, som tvang virksomheden til at slukke for alle computersystemer og i stedet bruge pen og papir. Virksomheden måtte lægge sine hjemmesider ned i 30 lande, som følge af angrebet.
En ransomware-bande, ved navn Sodinokibi (også kendt som REvil), stod bag angrebet og forlangte 6 millioner dollars af Travelex. Banden hævdede at have skaffet sig adgang til virksomhedens computernetværk allerede seks måneder tidligere, som gjorde det muligt at hente hele 5 GB følsomme kundedata - inklusive fødselsdatoer og kreditkortnumre. Banden sagde, at hvis Travelex betalte løsesummer, ville de slette dataene, og hvis ikke, fordoblede man løsesummen hver anden dag. Efter syv dage sagde de, at de ville sælge dataene til andre cyberkriminelle.
Travelex betalte angiveligt banden $ 2,3 millioner i Bitcoin og gendannede sine internetsystemer, efter to uger offline. I august 2020 meddelte virksomheden, at den gik i betalingsstandning og skød skylden på en kombination af ransomware-angrebet og Corona-pandemien.
På Valentinsdag, lammede et cyberangreb flere forretningsaktiviteter i INA Group, der er Kroatiens største olieselskab og største kæde af tankstationer. Angrebet var en ransomware-infektion, der inficerede og krypterede nogle af virksomhedens servere i back-enden.
Selvom angrebet ikke ramte virksomhedens evne til at levere brændstof til kunderne, kunne man ikke udstede fakturaer, registrere brugen af kundekort, udstede nye mobilkoder eller lade kunderne betale visse regninger.
Angrebet skyldtes angiveligt en infektion af Clop ransomware-typen. Sikkerhedsforskere betragter Clop-banden som 'big game ransomware.' Udtrykket henviser til kriminelle grupper, der angriber virksomhederne ved at inficere netværk, kryptere data og kræve ekstremt store løsesummer.
I marts, afslørede man, at Californiens Communications & Power Industries (CPI), som er en stor elektronikproducent, var blevet ramt af et ransomware-angreb.
Virksomheden fremstiller komponenter til militært udstyr og har kunder, som det amerikanske forsvarsministerium. Ransomware-angrebet skete, da en af virksomhedens domæneadministratorer klikkede på et ondsindet link, der udløste filkrypterende malware. Fordi netværkets mange tusinde computere befandt sig på det samme, usegmenterede domæne, spredte ransomwaren sig hurtigt til alle CPI's kontorer, inklusive dets lokale sikkerhedskopier.
Virksomheden betalte angiveligt $ 500.000 ifm. angrebet. Man ved stadig ikke, hvilken slags ransomware, der blev brugt.
I april, oplyste man, at den portugisiske energigigant Energias de Portugal (EDP) var blevet ramt af et angreb. Cyberkriminelle, der brugte ransomwaren, Ragnar Locker, krypterede virksomhedens systemer og krævede en løsesum på næsten 10 millioner dollars.
Angriberne hævdede at have stjålet mere end 10 TB følsomme virksomhedsdata, som de truede med at lække, medmindre man betalte løsesummen. Hackerne sendte skærmbilleder af følsomme data på en særlige hjemmeside, der påstod at dokumentere, at hackerne rent faktisk havde dataene. Dataene indeholdt angiveligt fortrolige oplysninger om fakturering, kontrakter, transaktioner, kunder og partnere.
EDP bekræftede, at man var blevet angrebet, men sagde, at der ikke var noget bevis for, at de følsomme kundedata var kompromitteret. Da man dog mente, at de stjålne kundedata kunne dukke op i fremtiden, tilbød virksomheden kunderne et års gratis identitetsbeskyttelse fra Experian.
I maj, blev Grubman Shire Meiselas & Sacks, et advokatfirma fra New York, med et væld af berømte kunder, som Madonna, Elton John og Robert DeNiro, offer for ransomwaren REVil.
Cyberangriberne hævdede at have brugt ransomwaren REvil eller Sodinokobi til at stjæle personoplysninger, herunder klienternes kontrakter, telefonnumre, e-mailadresser, personlige korrespondance og tavshedsaftaler. Angriberne truede med at offentliggøre dataene i ni forskudte trin, medmindre man betalte en løsesum på i alt 21 millioner dollars. Kravet blev fordoblet til $ 42 millioner, da advokatfirmaet nægtede at betale.
Berømtheder, der blev ramt af angrebet, omfattede angiveligt Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey og Mary J. Blige. Advokatfirmaet sagde, at det ikke ville forhandle med angriberne og opfordrede FBI til at undersøge sagen.
I juni blev bilgiganten Honda ramt af et ransomware-angreb med Snake (også kendt som Ekans), der gik efter kontorerne i USA, Europa og Japan. Da angrebet blev opdaget, stoppede Honda produktionen flere steder for at håndtere forstyrrelserne i computernes netværk. Hackerne brugte ransomware til at tilgå og kryptere en intern Honda-server og kræve en løsesum for at udlevere krypteringsnøglen. Honda sagde senere, at angriberne ikke havde fremlagt noget bevis for tabet af personligt identificerbare oplysninger.
I juli, blev det franske teleselskab og Europas fjerde største mobiloperatør, Orange, offer for ransomwaren Nefilim. Virksomhedens afdeling for forretningsservices blev ramt, og Orange blev føjet til Nefilims side på det mørke internet, der beskriver virksomhedslækager den 15. juli. Man fandt eksempler på data, som Nefilim-gruppen påstår, blev hentet fra Orange-kunder, i en fil på 339 MB.
Nefilim er en relativt ny ransomware-operatør, der blev opdaget i 2020. Orange sagde, at man havde ramt data fra ca. 20 kunder på virksomhedsniveau, fra afdelingen for forretningsservices.
I august afslørede man, at University of Utah havde betalt en løsesum på $ 457.000 til cyberkriminelle for at undgå, at de offentliggjorde en række fortrolige filer, som blev stjålet under et ransomware-angreb. Angrebet krypterede serverne i universitetets 'College of Social and Behavioral Science Department.' Som en del af angrebet, stjal de kriminelle ukrypterede data, før de krypterede computerne.
Fordi de stjålne data indeholdt oplysninger om studerende og medarbejdere, besluttede universitetet at betale løsesummen for at undgå, at de blev offentliggjort. Man rådede også alle de studerende og ansatte på det berørte college til at overvåge deres kredithistorik mht. svigagtig aktivitet og ændre eventuelle adgangskoder, de brugte online.
I september var K-Electric, Karachis eneste elforsyning, angiveligt mål for et ransomware-angreb med Netwalker. Det stoppede el-selskabets fakturerings- og onlinetjenester.
Ransomware-forbryderne krævede, at K-Electric skulle betale 3,85 millioner dollar og advarede om, at hvis man ikke betalte inden for syv dage, ville kravet stige til $ 7,7 millioner dollar. Netwalker udsendte en folder på 8,5 GB med filer, der angiveligt blev stjålet under angrebet, inkl. økonomiske data og kundeoplysninger.
Netwalker havde tidligere angrebet Argentinas immigrationskontorer, forskellige amerikanske regeringsorganer og University of California San Francisco (som betalte over 1 million dollars i løsesum).
K-Electric anerkendte, at der var sket en cyberhændelse, men sagde, at alle kritiske kundetjenester var fuldt funktionelle.
I oktober, brød hackerne ind på serverne hos nyhedsbureauet Press Trust of India (PTI) og lammede dets tjenester i timevis. En talsmand for virksomheden beskrev hændelsen som et massivt ransomware-angreb, der forstyrrede driften og leveringen af nyheder til abonnenter over hele Indien.
Ransomware blev identificeret som LockBit, ondsindet software, der er designet til at blokere brugernes adgang til computersystemer til gengæld for en løsesum.
I november blev cyberinfrastrukturen hos Brasiliens højesteret ramt af et massivt ransomware-angreb, som tvang dens hjemmeside offline.
Ransomwarens angribere hævdede, at hele rettens database var krypteret, og at ethvert forsøg på at gendanne den ville være forgæves. Hackerne efterlod en besked med løsesummen, der bad retten om at kontakte dem via en proton e-mail-adresse. Hackerne forsøgte også at angribe flere andre hjemmesider, som tilhørte den brasilianske regering.
I december advarede GenRx Pharmacy, som er en sundhedsorganisation fra Arizona, hundredtusinder af patienter om et potentielt databrud, efter et ransomware-angreb, der skete tidligere på året. Virksomheden sagde, at ondsindede hackere havde fjernet et antal filer, herunder de sundhedsoplysninger, som apoteket brugte til at behandle og sende ordinerede produkter ud til patienterne med.
De seneste ransomware-angreb er mere selektive, når det gælder deres ofre, og hvor meget de skal kræve af dem. Kaspersky’s Anti-Ransomware Tool beskytter både hjem og virksomheder. Som ved enhver anden cybersikkerhedstrussel, er nøglen til at beskytte sig opmærksomhed.
Relaterede artikler: