Hvordan trusselen fra løsepengevirus utvikler seg, og hva du kan gjøre med det

Av Jan Howells, Digital Transformation, 13. oktober 2021

Løsepengevirus, «ransomware» på engelsk, er et sikkerhetsmessig mareritt for bedriftene, og trusselen viser ingen tegn til å avta i styrke. Om noe blir det bare verre: Angrepene blir hyppigere, løsepengesummene større, og ingen bransje kan føle seg trygg. Alle organisasjoner og virksomheter – fra skoler til oljeselskaper og fra sykehus til banker – er et legitimt mål for de kriminelle. Hva kan de så gjøre for å sikre seg mot dette problemet?

Ifølge en nylig rapport ble antall løsepengevirusangrep nesten tredoblet fra første til andre kvartal 2021. Kriminelle var raske til å profitere på omveltningene forårsaket av pandemien og eksplosjonen i bruk av hjemmekontor og utnytte nye svakheter i virksomhetenes sikkerhetsløsninger. Løsepengebeløpene økte også, og det gjennomsnittlige utpressingsbeløpet doblet seg i 2020.

Kritisk infrastruktur

Kanskje enda mer bekymringsverdig er trusselen mot kritisk infrastruktur. Tidligere i år ble Colonial Pipeline-nettverket i USA lammet av et løsepengevirus. Dette er en rørledning som frakter drivstoff fra Texas til New York og leverer bensin, fyringsolje til boliger og drivstoff til luftfarten. Angrepet ble utført ved hjelp av et stjålet VPN-passord og førte til at rørledningen ble stengt i fem dager, noe som gav drivstoffmangel på store deler av Østkysten. Selskapet skal ha betalt 4,5 millioner dollar i løsepenger for å få systemene tilbake i drift igjen.

Og det er ikke bare systemene dine som er truet, også forsyningskjedene er i økende grad et mål. Det har vært flere høyprofilerte angrep på forsyningskjeder, ikke minst ble SolarWinds hacket i desember 2020. Angriperne tok over SolarWinds’ klarerte distribusjonssystem for programvareoppdateringer og brukte det til å distribuere skadelig programvare til tusenvis av organisasjoner i privat og offentlig sektor over hele verden.

Selv om det i SolarWinds’ hackerangrep ikke ble distribuert løsepengevirus, ville fremgangsmåten også egnet seg for distribusjon av dette. Det skjedde faktisk i angrepet på Kaseya i juli 2020, der et løsepengevirus ble distribuert til kundene som hadde kjøpt et produkt for ekstern overvåking av nettverk. Dette er programvare som brukes av driftsleverandører over hele verden, og et bredt spekter av selskaper ble berørt, inkludert Coop i Sverige.

Symptom på en større trussel

Til tross for at det er løsepengevirus som har fått de store overskriftene de siste årene, bør ikke disse betraktes isolert fra andre typer cyberangrep. Løsepengevirus er dypest sett bare ett av verktøyene i hackernes verktøykasse. Fenomenet, som vi i Orange Business Services gjerne omtaler som «cyberutpressing», er ofte et resultat av et angrep på selskapets systemer som har pågått over tid. Angriperne benytter seg av en tredelt tilnærming for å tvinge ofrene til å betale løsepenger: Filer krypteres, data lekkes og bedriftens omdømme skades gjennom kontakt med media og kunder.

Angriperne legger ned mye arbeid for å lykkes med dette. Først må de skaffe seg tilgang til virksomhetens systemer. Hackerne vil vanligvis forsøke å lure en bruker ved hjelp av phishing eller sosial manipulering («social engineering» på engelsk) eller rett og slett se etter sårbare systemer som de kan bryte seg inn i. Når de først har fått en fot innenfor i nettverket, kan de navigere rundt og ta kontroll over så mye som mulig.

Finne det perfekte offeret

Siden store summer står på spill i løsepengeangrepene, har hackergruppene blitt stadig mer kreative, og det er i dag fullt mulig å outsource det innledende arbeidet med å skaffe seg tilgang. En fersk rapport tar for seg kommunikasjon mellom kriminelle gjenger på det mørke nettet. Rapporten slår fast at mange potensielle løsepengeangripere er villige til å betale store summer for tilgang til viktige mål. Mest etterspurt var amerikanske selskaper med omsetning over 100 millioner dollar. Tilgang til nettverkene deres ble omsatt for opptil 100 000 dollar. Russiske selskaper og selskaper i utviklingsland var mindre populære, mens tilgang til virksomheter i Europa, Canada og Australia også var etterspurt.

I tillegg tilbyr mange kriminelle gjenger også løsepengevirus som en tjeneste til andre parter. Kaseya-angrepet som vi nevnte ovenfor, ble knyttet til en gruppe kalt REvil, som siden april 2019 skal ha tilbudt løsepengevirus som en tjeneste til likesinnede som ønsker å angripe tredjeparter. De leverer programvaren og prosessene som trengs for å utføre angrepet, og tar deretter en andel av løsepengene som kreves inn fra offeret. Faktisk involverte nesten 40 prosent av samtalene på det mørke nettet som dreide seg om å skaffe seg en første tilgang til bedriftsnettverk, kriminelle aktører fra verdikjeden for «løsepengevirus-som-en-tjeneste» («ransomware-as-a-service» på engelsk).

Økt risiko

Den enorme økningen i bruk av hjemmekontor har gjort det vanskeligere å beskytte seg mot den første sikkerhetsglippen som kan bane vei for et angrep med løsepengevirus. Fordi angrepsflaten har vokst, har også de kriminelles mulighet til å få en fot innenfor i bedriftens nettverk blitt større. Ferier og helger, når de IT-ansatte er borte fra kontoret, er en annen mulighet. Dette siste regnes faktisk som et så stort problem at FBI og det amerikanske cybersikkerhets- og infrastruktursikkerhetsbyrået (CISA) har gått ut og advart spesielt mot det.

I advarselen skrev de at nettkriminelle «har gjennomført stadig mer effektive angrep mot amerikanske virksomheter i eller i tilknytning til ferier og fridager de siste månedene» og oppfordret organisasjonene til å være «særlig nøye med tiltak for å sikre nettverket i forkant av ferier og helger».

Iverksett tiltak

Selv om større organisasjoner er de mest lukrative som mål for kriminelle, kan ingen virksomheter føle seg trygge. Som Orange Business Services påpeker, er cyberutpressing kriminelt, og på lik linje med andre kriminelle handlinger bør det først og fremst betraktes som et lovbrudd snarere enn et teknologiproblem. Du kan likevel ta for deg de teknologiske utfordringene du faktisk har kontroll over, for å beskytte deg mot løsepengevirus.

Følger du med på aktuelle trender og nye trusler knyttet til løsepengevirus, kan du forberede deg på et eventuelt angrep. Det er også svært viktig å ha gode sikkerhetsrutiner og en praksis som gjør det mulig å begrense og stoppe et angrep og gir deg tid til å eliminere viruset fra nettverket. Denne praksisen inkluderer prinsippet om minimumstilgang og nettverkssegmentering. I tillegg kommer regelmessige oppdateringer og kursing og opplæring av brukere og ansatte.

Selv om du gjør alt du kan for å unngå det, må du imidlertid også ha en beredskapsplan i tilfelle en angriper skulle klare å bryte seg inn og kryptere data og deaktivere systemer. I verste fall oppdager du ikke angrepet før det er et faktum. Da er det desto viktigere å ha forberedt konkrete tiltak på forhånd.

Hvis du vil vite mer om hvordan du kan beskytte deg mot løsepengevirus, kan du lese denne Rapporten fra Orange*. Den skisserer et rammeverk for beskyttelse mot løsepengevirus basert på fem prinsipper: forutse de nyeste truslene på internett, kartlegge kritiske eiendeler, beskytte organisasjonen, oppdage cyberangrep og reagere på og stanse faktiske angrep.