Ransomware-angrep er big business. Ved utgangen av 2021 er det beregnet at en virksomhet vil bli målrettet av et ransomware-angrep hvert 11. sekund, og at dette forårsaker opptil 20 milliarder dollar i skade. Ransomware-angrep er ikke bare en bekymring for organisasjoner som bedrifter, myndigheter og helsepersonell – de påvirker også kunder og ansatte, hvis data ofte utsettes for sekundær skade ved slike angrep.
Ransomware-angrep er de som bruker skadelig programvare for å kryptere data og filer til mål. De skiller seg fra utpressingskampanjer, som bruker distribuert denial of service (DDoS) til å overstrømme mål med trafikken med løfte om å stoppe angrepet i bytte mot betaling.
Mens noen organisasjoner velger å betale ransomware-krav, anbefales dette vanligvis ikke, da det ikke er noen garanti for at tilgang til infiserte systemer vil bli gjenopprettet, og fordi betaling ytterligere stimulerer til disse formene for nettangrep. Mange selskaper avslører ikke ransomware-angrep, og hvis de gjør det, vil de ikke avsløre angripernes krav.
Her gjennomgår vi noen av de siste ransomware-angrepene i 2020, fra januar til desember.
Hackere startet året med et angrep på valutaselskap Travelex, og tvang selskapet til å slå av alle datasystemer og stole på penn og papir. Selskapet måtte som resultat av dette ta ned nettstedene sine i 30 land.
En ransomware-gjeng kalt Sodinokibi (også kjent som REvil), sto bak angrepet og krevde 6 millioner dollar fra Travelex. Gjengen hevdet å ha fått tilgang til selskapets datanettverk seks måneder tidligere, slik at de kunne laste ned 5 GB sensitiv kundedata – inkludert fødselsdatoer og kredittkortnumre. Gjengen sa at hvis Travelex betalte løsepenger, ville de slette dataene, men hvis ikke ville løsepengene dobles annenhver dag. Etter sju dager sa de at de ville selge dataene til andre nettkriminelle.
Travelex betalte angivelig gjengen 2,3 millioner dollar i bitcoin, og de elektroniske systemene ble gjenopprettet etter to uker uten nett. I august 2020 kunngjorde selskapet at det skulle bli satt under administrasjon (den britiske versjonen av å gå konkurs), og skyldte på en kombinasjon av ransomware-angrepet og virkningen av Covid-19-pandemien.
På valentinsdagen lammet et nettangrep noe av virksomheten i INA Group, Kroatias største oljeselskap og største bensinstasjonskjede. Angrepet var en ransomware-infeksjon som smittet og deretter krypterte noen av selskapets back-end-servere.
Selv om angrepet ikke påvirket selskapets evne til å skaffe bensin til kundene, påvirket det dets evne til å utstede fakturaer, registrere lojalitetskortbruk, utstede nye mobilkuponger og tillate kunder å betale visse regninger.
Angrepet ble angivelig forårsaket av en infeksjon av Clop ransomware-typen. Sikkerhetsforskere ser på Clop-gjengen som «big game ransomware», et begrep som refererer til kriminelle grupper som retter seg mot selskaper for å infisere nettverk, kryptere data og kreve ekstremt store løsepenger.
I mars ble det avslørt at California-baserte Communications & Power Industries (CPI), en stor elektronikkprodusent, hadde blitt rammet av et ransomware-angrep.
Selskapet lager komponenter for militært utstyr og utstyr og har det amerikanske forsvarsdepartementet blant sine kunder. Ransomware-angrepet fant sted da en domeneadministrator i selskapet klikket på en ondsinnet lenke som utløste filkryptering fra malware. Fordi tusenvis av datamaskiner i nettverket var på det samme, usegmenterte domenet, spredte ransomwaren seg raskt til hvert CPI-kontor, inkludert sikkerhetskopier på stedet.
Selskapet betalte angivelig 500 000 dollar som svar på angrepet. Det er ikke kjent hva slags ransomware som var involvert.
I april ble det rapportert at den portugisiske energigiganten Energias de Portugal (EDP) var blitt offer for et angrep. Nettkriminelle som bruker Ragnar Locker-ransomware, krypterte selskapets systemer og krevde løsepenger på nesten 10 millioner dollar.
Angriperne hevdet å ha stjålet over 10 TB med sensitive virksomhetsdata, som de truet med å lekke med mindre løsepenger ble utbetalt. Hackerne la ut skjermbilder av noen sensitive data på et lekkasjeside som angivelig viste bevis på besittelse. Dataene inkluderte angivelig konfidensiell informasjon om fakturering, kontrakter, transaksjoner, kunder og partnere.
EDP bekreftet at et angrep hadde funnet sted, men sa at det ikke var bevis for at sensitive kundedata hadde blitt kompromittert. På bakgrunn av at tyveri av kundedata kunne komme frem i lyset fremtiden, tilbød imidlertid selskapet kundene ett år med Experian-identitetsbeskyttelse uten kostnad.
I mai ble Grubman Shire Meiselas & Sacks, et New York-basert advokatfirma med en rekke kjendiskunder, inkludert Madonna, Elton John og Robert DeNiro, offer for REvil ransomware.
Cyberangripere hevdet å ha brukt REvil- eller Sodinokobi-ransomware for å stjele personopplysninger, inkludert klientkontrakter, telefonnumre, e-postadresser, personlig korrespondanse og taushetsavtaler. Angriperne truet med å frigjøre dataene i ni forskjøvne utgivelser med mindre løsepenger på til sammen 21 millioner dollar ble utbetalt. Dette kravet ble doblet til 42 millioner da advokatfirmaet nektet å betale.
Kjendiser som ble rammet av angrepet, inkluderte angivelig Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey og Mary J. Blige. Advokatfirmaet sa at det ikke ville forhandle med angriperne og ba FBI om å etterforske.
I juni ble bilgiganten Honda offer for et Snake (også kjent som Ekans) ransomware-angrep som målrettet kontorene i USA, Europa og Japan. Da angrepet ble oppdaget, la Honda produksjonen på visse steder ned for å håndtere forstyrrelser i datanettverket. Hackere brukte ransomware for å få tilgang til og kryptere en intern Honda-server og kreve løsepenger i bytte mot å gi krypteringsnøkkelen. Honda sa senere at angriperne ikke hadde presentert bevis for tap av personlig identifiserbar informasjon.
I juli ble det franske teleselskapet og Europas fjerde største mobiloperatør Orange offer for Nefilim ransomware. Selskapets avdeling for bedriftstjenester ble krenket, og Orange ble 15. juli lagt ut på nettstedet til Nefilim på det mørke nettet, som omhandler bedriftslekkasjer. Eksempler på data som Nefilim-gruppen sier ble eksfiltrert fra Orange-kunder, ble inkludert i et arkiv på 339 MB.
Nefilim er en relativt ny ransomware-operatør, som ble oppdaget i 2020. Orange sa at dataene til om lag 20 kunder på bedriftsnivå innen avdelingen for bedriftstjenester ble påvirket.
I august ble det avslørt at University of Utah hadde betalt løsepenger på 457 000 dollar til nettkriminelle for å hindre dem i å frigjøre konfidensielle filer stjålet under et ransomware-angrep. Angrepet krypterte servere på universitetets institutt for samfunns- og atferdsvitenskap. Som en del av angrepet stjal kriminelle ukryptert data før de krypterte datamaskiner.
Fordi de stjålne dataene inneholdt student- og ansattinformasjon, bestemte universitetet seg for å betale løsepenger for å unngå at de ble lekket. De rådet også alle studenter og ansatte på det berørte colleget til å overvåke kreditthistorikken for svindelaktivitet og å endre passord de brukte på nettet.
I september ble K-Electric, den eneste kraftdistributøren i Karachi i Pakistan, mål for et ransomware-angrep av Netwalker-typen. Dette førte til en forstyrrelse av kraftselskapets fakturering og nettjenester.
Ransomware-operatørene krevde at K-Electric skulle betale 3,85 millioner dollar, og truet med at hvis det ikke ble betalt innen syv dager, ville kravet øke til 7,7 millioner dollar. Netwalker publiserte et arkiv på 8,5 GB med filer som angivelig ble stjålet under angrepet, inkludert økonomiske data og kundeopplysninger.
Netwalker hadde tidligere målrettet Argentinas immigrasjonskontorer, forskjellige amerikanske regjeringsbyråer og University of California San Francisco (som betalte over 1 million dollar i løsepenger).
K-Electric erkjente at en cyberhendelse hadde funnet sted, men sa at alle kritiske kundetjenester var forblitt fullt funksjonelle.
I oktober brøt hackere seg inn på serverne til nyhetsbyrået Press Trust of India (PTI), og ødela tjenestene deres i timevis. En talsperson for selskapet beskrev hendelsen som et massivt ransomware-angrep, som forstyrret driften og levering av nyheter til abonnenter over hele India.
Ransomwareviruset LockBit er skadelig programvare som er utviklet for å sperre brukere ute fra datasystemer, og som krever løsepenger for at de skal få tilgang igjen.
I november ble nettinfrastrukturen til den brasilianske overordnede domstolen offer for et massivt ransomware-angrep, som tvang nettstedet til å gå offline.
Ransomware-angriperne hevdet at hele domstolens database var blitt kryptert, og at ethvert forsøk på å gjenopprette den ville være forgjeves. Hackerne la igjen et krav om løsepenger der de ba domstolen om å kontakte dem via en proton-e-postadresse. Hackerne prøvde også å angripe forskjellige andre nettsteder relatert til den brasilianske regjeringen.
I desember advarte GenRx Pharmacy, en Arizona-basert helseorganisasjon, hundretusenvis av pasienter om et potensielt brudd på data som følge av et ransomware-angrep tidligere på året. Selskapet sa at ondsinnede hackere hadde fjernet en rekke filer, inkludert helseinformasjon apoteket brukte til å behandle og sende reseptpliktige produkter til pasienter.
De siste ransomware-angrepene blir mer selektive angående hvem du skal målrette mot og hvor mye du skal kreve. Kasperskys Anti-Ransomware-verktøy tilbyr beskyttelse for både hjem og virksomhet. Som med enhver cybersikkerhetstrussel, er nøkkelen til beskyttelse årvåkenhet.
Relaterte artikler: