Ransomware er en god forretning for kriminelle

Ransomware er en god forretning for kriminelle

Den gennemsnitlige ransomware-betaling er steget med 82% siden 2020, og stadig flere virksomheder betaler i håbet om at få deres data tilbage

Det kan åbenbart svare sig at være ransomware-bande. Den gennemsnitlige ransomware-betaling er nemlig steget 82% siden 2020 til rekordstore ca. 3,6 millioner kroner i første halvår af 2021, hvor cyberkriminelle brugte stadig mere aggressive taktikker til at tvinge organisationer til at betale større løsesummer.

Stigningen kommer efter, at den gennemsnitlige betaling sidste år allerede var steget med hele 171% til mere end cirka 2 millioner kroner. Disse tal, udarbejdet af sikkerhedskonsulentgruppen Unit 42 hos Palo Alto Networks, sætter tal på, hvad mange allerede ved: At ransomware-krisen fortsætter med at intensiveres, efterhånden som kriminelle foretagender øger investeringerne i meget rentable ransomware-operationer.

Ransomware-angreb har forhindret mange i at få adgang til arbejdscomputere, skubbet kødpriserne op, ført til benzinmangel, lukket skoler ned, forsinket retssager, forhindret folk i at få efterset biler og fået hospitaler til at afvise patienter.

Stigningen indenfor firedobbelt afpresning

Fremkomsten af særligt "firedobbelt afpresning" er en foruroligende tendens, der blev identificeret af Unit 42s konsulenter, da de håndterede snesevis af ransomware-sager i første halvdel af 2021.

Ransomware-operatører bruger nu ofte op til fire teknikker til at presse ofre til at betale: 

  1. Kryptering: Ofre betaler for at genvinde adgang til krypterede data og kompromitterede computersystemer, der holder op med at fungere, fordi nøglefiler er krypterede.
  2. Datatyveri: Hackere frigiver følsomme oplysninger, hvis der ikke betales løsesum. (Denne tendens tog virkelig fart i)
  3. Denial of Service (DoS): Ransomware-bander laver denial-of-service-angreb, der lukker offerets websteder.
  4. Smædekampagner: Cyberkriminelle kontakter kunder, forretningspartnere, medarbejdere og medier for at fortælle, at organisationen er blevet hacket.

Imens det hører til sjældenhederne, at én organisation er offer for alle fire teknikker, ses ransomware-bander i stigende grad engagere sig i yderligere tilgange, når ofre ikke betaler efter kryptering og datatyveri. I 2021 Unit 42 Ransomware Threat-rapporten, der afdækkede tendenser i 2020, optræder dobbelt afpresning som en stigende praksis. Og de seneste observationer viser, at angribere yderligere har fordoblet antallet af afpresningsteknikker, de bruger. 

I takt med, at de har taget nye afpresningsmetoder i brug, er ransomware-banderne blevet grådigere. Blandt de snesevis af sager, som Unit 42-konsulenterne gennemgik i første halvdel af 2021, var det gennemsnitlige krav om løsesum 5,3 millioner dollars (33 mio kr.). Det er en stigning på 518% i forhold til 2020 -gennemsnittet, der var $847.000 (5,3 mio kr).

Det højeste løsesumskrav fra et enkelt offer, som vores konsulenter registrerede, steg til $50 millioner (314 mio. kr) i første halvår af 2021 fra $30 millioner sidste år (188 mio kr).

Derudover har REvil for nylig afprøvet en ny teknik ved at tilbyde at levere en universel dekrypteringsnøgle til alle de organisationer, der er berørt af Kaseya VSA-angrebet for en løsesum på $70 millioner (439 mio. kr.), selv om man hurtigt sænkede kravet til $50 millioner (314 mio. kr). Kaseya fik til sidst en universel dekrypteringsnøgle, men det er uklart hvilken betaling, der eventuelt blev givet.

Tendenser i ransomware

Unit 42 forventer, at ransomware-krisen vil fortsætte med at tage fart i de kommende måneder, da cyberkriminelle grupper yderligere skærper taktikken for at tvinge ofrene til at betale, og også udvikler nye metoder til at gøre angreb mere forstyrrende.

For eksempel ses ransomware-bander kryptere en type software kendt som en hypervisor, hvilket kan ødelægge flere virtuelle instanser, der kører på en enkelt server. Det forventes, at kriminelle vil øge deres fokus mod hypervisorer og anden administreret infrastruktursoftware i de kommende måneder.

Unit 42 og Palo Alto Networks forudsiger, at løsesummerne vil fortsætte deres opadgående tendens. Desuden forventes det,at bander fortsat fokusere på den lave ende af markedet og regelmæssigt målrette deres angreb mod små virksomheder, der mangler ressourcer til at investere stort i cybersikkerhed. Hidtil er der i år observeret grupper, herunder NetWalker, SunCrypt og Lockbit, der kræver og tager betalinger fra $10.000 til $50.000 (fra ca. 62.000 kr til 314.000 kr.). Selv om beløbene kan virke små i forhold til de største løsesummer, vi har observeret, kan betalinger af denne størrelse have en invaliderende indvirkning på en lille organisation.

- lb