Insight

Hvad er status på ransomware i 2021?

2020 og 2021 er de gyldne år for ransomware, som udvikler sig hastigt – ikke bare hvad angår selve malwaren, men også den organiserede kriminelle aktivitet bag ransomwareangreb. Store danske virksomheder har været ramt af ransomwareangreb, fx Mærsk og Demant, med tab på flere hundrede millioner kroner. Ransomwareangreb er en væsentlig del af trusselslandskabet over hele verden og i alle sektorer – også i Danmark, hvor grupper som DobbelPaymer og ”SPIDER”-grupperne med ransomware malware som fx EMOTET og RYUK, er de mest aktive. Dette sker ofte gennem phishing eller sårbarheder som fx den relativt nye Exchange Server-sårbarhed kaldet HAFNIUM. Det vurderes, at de kriminelle bag ransomwareangreb tjente mindst 2,2 mia. kr., mens omkostningerne for virksomhederne beløb sig til 125.000 mia. kr. (!) i form af datatab, nedetid, it-omkostninger mv. Gartner vurderer, at i 2025 vil 75% af alle organisationer opleve et eller flere ransomwareangreb, og der observeres en 700% stigning i antallet af angreb. Rapporter fra Verizon og ProofPoint indikerer at organisationer der én gang er blevet angrebet af ransomware, har en 31% risiko for et nyt malware angreb i løbet af det følgende år.


RaaS-modellen – Ransomware-as-a-Service (ransomware som en service). Denne model baseret på cyberkriminelle i et økosystem med ekspertise inden for mange forskellige områder (kodning, adgang, IR, hvidvask mv.) tilbyder ramsomware som en service til andre kriminelle med en del af løsesumsbetalingen. Man regner med, at betalingen for denne service ligger på omkring 300-13.000 kr. pr. måned. Omkring halvdelen af virksomheder betaler løsesummen, fordi de ikke har noget valg, men statistikken peger på, at omkring 22% af ransomwarebetalingerne ikke fører til fuld dekryptering af data. Sandsynligheden for at opleve et cyberangreb er 1:4, men sandsynligheden for at opleve et indbrud i hjemmet er 1:50.


Big Game Hunting – Der observeres et skifte fra personligt fokus (individer) til SMB og store organisationer, idet organisationer har en bedre økonomi til at betale og ofte er dækket af en forsikring.


Double Extorsion – Først stjæles data, og derefter bliver organisationen ramt af afpresning på hele CIA-modellen ved både at miste produktivitet/tilgængelighed og integritet/fortrolighed. Der skal betales for at få koden til at åbne de krypterede systemer, og for at de kriminelle ikke skal offentliggøre eller sælge de stjålne fortrolige data (CIS 13). Dette foregår via såkaldte leak sites, hvor dele af de stjålne data offentliggøres, hvilket legitimerer truslen vedr. dataafpresning. Eksempler på dette er ransomware fra ”Conti News" og ”Egregor News” – sidstnævnte blev arresteret i februar 2021. Når de først er på internettet, er det stort set umuligt at få dem slettet igen. Yderligere afpresning kan ske via trusler om at kontakte journalister og offentliggøre data samt udføre DDoS-angreb. Ydermere kan trusler om at offentliggøre datalæk til myndigheder i relation til GDPR være en måde at afpresse virksomheder på. Eksempler på kriminelle grupper/software, som udfører denne form for afpresning, er Sodinokibi/REvil, Conti, CLOP, Netwalker, Ragnar Locker, DoppelPaymer, Nefilim, Egregor, RansomEXX, RYUK, DarkSide og Avaddon. Det er meget vigtigt at teste, om virksomheden er sikret mod TTP fra disse grupper, fx via MITRE ATT&CK. En væsentlig overvejelse er mulvarpetiden. Betyder den formindskede tid, at vi bliver bedre til at opdage cyberkriminelle i vores netværk, og/eller finder de kriminelle hurtigere de følsomme data, de skal bruge i denne slags afpresningssenarier?

De vigtigste/hyppigste angrebsvektorer synes at være:

  1. Remote Service Access fx RDP, Citrix og VPN (T1133 – External Remote Services og T1078 – Valid Accounts)  
  2. Social Engineering til mere generisk malware, som giver cyberkriminelle en etableret tilstedeværelse i netværket (fx via et RAT), som senere kan udnyttes til et ransomwareangreb (T1598 – Phishing for information, T1586 – Compromise Accounts og T1584 – Compromise infrastructure) (CIS 4, 17). 
  3. Exploiting Internet-Facing Assets, fx servere, som kan nås fra internettet, der ikke er patchet eller er fejlkonfigureret, fx via VPN, IIS, Oracle weblogic eller MS Exchange (HAFNIUM) (CIS 1 og 2).

Praktisk erfaring fra Incident Response:

  • Når du opdager et malwareangreb (uanset om det er mitigeret eller ej), så betragt det som toppen af isbjerget, og iværksæt med det samme en undersøgelse af, om netværket er blevet kompromitteret af andre typer malware. Det er en farlig praksis blot at geninstallere den ramte PC og regne med, at ”det var det”. 
  • Kan du opdage rekognoscering med værktøjer som fx Metasploit, CoboltStrike, AdFind, BloodHound, Mimikatz, Powershell Empire og indbyggede værktøjer, som fås som standard med OS som fx netuse, netstats, (psexec), ipconfig m.fl? Dette kan ret nemt opdages med next-gen AV, EDR eller IR/SOC logs. 
  • Er dine antimalwareløsninger sat til at opdage eller opdage OG forhindre malware? Hvis de kun er sat til at opdage, og der ikke er en fast rutine med at overvåge dette, eller tid nok, så stoppes angrebet ikke. 
  • Jo før du kan opdage et angreb, jo bedre. Tidlige tegn på angreb er oftest på klienter, men logger du fra disse? Så skal der også tages mitigerende action, så angrebes stoppes helt. Men hvem skal gøre dette i praksis? Virksomheden eller en tredjepart?  
  • Når virksomheden er under angreb, er det vigtigt at gøre følgende:
    • Vurder omfanget af angrebet, før der tages mitigerende action.
    • Vurder applikationer, afhængigheder og forretningsmæssig indvirkning af kompromitterede systemer og konti.
    • Fjern hackernes adgang til virksomhedens netværk (nord/syd og øst/vest).
    • Gendan kompromitterede systemer.
    • Gennemfør en komplet nulstilling af alle passwords i hele organisationen. 

Du kan bruge vores Cybersnack, som udleveres på vores webinar den 22. april. Du kan tilmelde dig dette webinar her.


Relevante links til dette emne:
Cyber Reason: State of Ransomware 
CIS og Ransomware
CrowdStrike Global Ransomware report 2021 
Ransomware truer kritisk infrastruktur  
FireEye-videoer om udvikling af ransomware og ransomwaretendenser
CrowdStrike – hvad er ransomware 
CrowdStrike – gennemgang af 12 klassiske ransomwareeksempler 
CrowdStrike – forklaring på Ransomware-as-a-Service (RaaS)  
FBI’s anbefalinger til ransomware og betaling af løsesum 
Sandsynligheden for at opleve et cyberangreb

Fandt du dette nyttigt?