Vi har stöd för uppdaterade webbläsare. Uppdatera webbläsaren om du vill se innehållet på den här webbsidan på rätt sätt.

Är du inte säker på vilken lösning som är bäst för ditt företag?

Utpressnings­trojaner och dess inverkan på ditt företag

Utpressnings­trojaner är ett hot mot alla företag. På grund av ineffektiv eller utebliven utbildning och obefintliga antivirusprogram är vissa organisationer dock mer sårbara än de kanske inser. I den här artikeln kommer vi att beskriva vad utpressnings­trojaner är, hur de attackerar nätverk och hur du kan skydda ditt företag mot detta ständigt närvarande hot.

Vad är en utpressningstrojan?

Utpressnings­trojaner är en typ av skadlig kod som cyberbrottslingar använder för att smitta en enhet eller ett nätverk med skadlig programvara, som sedan krypterar filer och konverterar värdefulla data till oläslig kod. Dessa data hålls sedan som gisslan av cyberbrottslingar, som endast kommer att dekryptera dem mot en avgift.

Många undrar om utpressnings­trojaner är samma sak som virus. Svaret är nej. Både utpressnings­trojaner och virus är dock en form av skadlig kod, men de har olika attackmetoder – ett virus smittar filer medan utpressnings­trojaner krypterar dem.

Organisationer kan falla offer för en attack med utpressnings­trojaner genom nätfiskemeddelanden, där ett e-postmeddelande skickas som ”bete” för att locka till sig offer, eller så kallad ”drive-by-nedladdning”, vilket innebär att användaren besöker en smittad webbplats och oavsiktligt laddar ned den skadliga koden.

Vad är en företagsutpressningstrojan?

Företagsutpressnings­trojaner definieras som en attack med utpressnings­trojaner mot ett företag eller en organisation. De flesta attacker med utpressnings­trojaner sker mot storföretag eftersom dessa är lönsammast för cyberbrottslingarna, men attackerna kan skilja sig åt beroende på målet.

Det finns en anledning till att cyberbrottslingar tenderar att attackera företag och inte individer – det har mycket att göra med hur utpressnings­trojaner sprids och brottets potentiella värde. Så hur sprids den? Den skadliga koden laddas ner till en enhet när någon öppnar ett e-postmeddelande och/eller klickar på en tvivelaktig webbadress – i allmänhet ger en större organisation med fler anställda (därav fler människor som klickar) fler möjligheter för utpressningstrojanen att få fäste. Större företag kan dock ha starkare säkerhetsåtgärder på plats, med anledning av denna högre angreppsrisk, och eftersom de dessutom har en större budget att röra sig med.

Större företag är också mer i riskzonen för en attack med utpressnings­trojaner på grund av värdet på deras data. De kommer sannolikt att ha större mängder känsliga data, så eventuella störningar innebär större kostnader för verksamheten. Med detta i åtanke kan dessa företag vara mer benägna att betala lösensumman samt villiga att betala en större summa. Till exempel skulle en attack med utpressnings­trojaner mot ett sjukhus sannolikt resultera i en större lösensumma för en cybertjuv än om de attackerade en lokal blomsterhandel.

Utpressningstrojanens historia

Enligt de flesta uppgifter börjar historien bakom utpressnings­trojaner år 1989 med ett virus som kallas för ”AIDS-trojanen”. I en attack som utfördes av biologen Joseph Popp distribuerades 20 000 disketter som innehöll ett trojanskt virus under en av Världshälsoorganisationens AIDS-konferenser. När en dator hade smittats visades ett utpressningsmeddelande på skärmen med ett krav om att skicka 189 dollar till en postbox i Panama.

Sedan 80-talet har tekniken utvecklats och cyberbrottslingar behöver inte längre använda en postbox för att få sina lösensummor. Lösensummor begärs nu i Bitcoin och den skadliga koden har utvecklats till att bli både farligare och mer destruktiv – inklusive maskliknande egenskaper och nya vägar för att smitta. Skyddet mot utpressnings­trojaner anpassas också för att kunna försvara nätverk bättre mot dessa allt mer sofistikerade attacker.

Olika typer av utpressnings­trojaner

Det finns flera typer av utpressnings­trojaner – och attackerna riktas mot såväl små och medelstora företag som storskaliga bolag och statliga vårdgivare. Storleken på lösensumman kan också variera, från hundratals dollar till flera miljoner.

Utpressningstrojanen Cryptolocker

Cryptolocker har funnits sedan 2013 och tros vara det första exemplet på en utpressningstrojan efter den inledande attacken 1989. När kryptovalutorna gjorde intåg på 2010-talet kunde cyberbrottslingar kräva lösensumman via en ospårbar betalningsmetod. Cryptolocker var den första attacken med utpressnings­trojaner som använde avancerad kryptering samt inkluderade ett utpressningsmeddelande med instruktioner om att betala i Bitcoin.

Den skadliga koden användes i attacker från september till följande maj. Under denna period smittade den 250 000 enheter och brottslingarna kom över minst 3 miljoner dollar. Cryptolocker känns igen på utpressningsmeddelandet som visas på skärmen.

Utpressningstrojanen Ryuk

Utpressningstrojanen Ryuk började spridas 2018 och baserades på ett befintligt trojansk häst-program, Hermes, som man noterade för första gången 2017. Hermes användes i en attack av en nordkoreansk cyberbrottsgrupp som finansierades av staten, men idag är det en allmän uppfattning att den skadliga koden utvecklades i Ryssland.

2021 upptäcktes en ny ”maskliknande” variant av Ryuk, som automatiskt färdas över flera enheter eftersom programmet sprider kopior av unika versioner av sig självt.

Utpressningstrojanen WannaCry

Det är lätt att veta om din enhet har smittats av utpressningstrojanen WannaCry – du kommer att se meningen ”Oops, your important files are encrypted” (”hoppsan, dina viktiga filer har krypterats”). Attacken användes första gången 2017, då över 230 000 datorer smittades på en dag.

I varje attack kräver cyberbrottslingarna 300 dollar i Bitcoin för att dekryptera filerna, men lösensumman fördubblas om den ursprungliga summan inte betalas i tid. WannaCry är också en maskbaserad skadlig kod som automatiskt kan färdas mellan nätverk.

Utpressningstrojanen Sodinokibi

Sodinokibi är en familj av utpressnings­trojaner som riktar in sig på Windows-enheter. När man drabbas av utpressningstrojanen Sodinokibi, även känd som REvil, visas ett utpressningsmeddelande på skärmen där Bitcoin krävs i utbyte mot att dekryptera filerna. Denna skadliga kod riktar in sig på allt på en enhet, förutom det som anges i dess konfigurationsfil. Den användes första gången 2019.

Utpressnings­trojanerna Dharma och Phobos

Utpressningstrojanen Dharma, även känd som CrySiS, är känd för att attackera små till medelstora företag och kräva mindre lösensummor för att öka sannolikheten att offren betalar

Utpressningstrojanen attackerar vanligtvis via Remote Desktop Protocol och upptäcktes första gången 2016. Den skadliga koden utgjorde grunden till utpressningstrojanen Phobos, som fungerar på ett liknande sätt.

Utpressningstrojanen Petya

Utpressningstrojanen Petya måste kryptera filer för att fungera. Medan annan skadlig kod kan kryptera specifika kritiska data riktar Petya in sig på hela hårddisken och stoppar enheten från att slås på. Denna utpressningstrojan användes första gången 2016, men blev känd 2017 i form av en ny variant med namnet GoldenEye.

Utpressningstrojanen Cerber

Cerber är ett exempel på ransomware-as-a-service (RaaS), som baseras på software-as-a-service-modellen. Skaparna av den skadliga koden licensierar Cerber till andra cyberbrottslingar och får en andel av lösensumman som betalning. När en enhet har smittats visas Cerbers utpressningsmeddelande på skärmen. Den skadliga koden kan även kryptera filer på alla omappade nätverksresurser.

Utpressningstrojanen Locky

Utpressningstrojanen Locky upptäcktes första gången 2016 och sprids via e-post. Den är känd för att ha riktat in sig på ett sjukhus i Los Angeles med ett utpressningskrav på 17 000 dollar. Detta följdes av attacker mot många andra vårdinrättningar. Det har dock inte förekommit några högprofilerade attacker med Locky sedan den första vågen.

Fallstudier av utpressnings­trojaner

Utpressnings­trojaner har haft en enorm inverkan på den digitala världen och inbringat miljarder dollar från sina offer under årens gång. Låt oss ta en titt på några exempel av de mest destruktiva och kostsamma attackerna med utpressnings­trojaner:

  • September 2013, Cryptolocker: Den skadliga koden Cryptolocker var den första utpressningstrojanen i dess rätta bemärkelse efter AIDS-trojanen 1989. FBI och Interpol jobbade med att stoppa denna utpressningstrojan.
  • Maj 2017, NHS: Under en global WannaCry-attack föll den brittiska sjukvårdsmyndigheten National Health Service offer för ett av de mest omfattande exemplen på attacker med utpressnings­trojaner i landet. Medan systemen låg nere ställdes patientmöten in och personalen fick ta till penna och papper. Totalt smittade WannaCry-attacken 200 000 datorer i 150 länder, vilket kostade 4 miljarder dollar – 92 miljoner pund enbart för NHS.
  • Mars 2018, staden Atlanta: Stadsförvaltningen i den amerikanska delstaten Georgias huvudstad drabbades 2018 av utpressningstrojanen SamSam. Man spenderade en större summa på att bekämpa attacken (2,6 miljoner dollar) än den lösensumma som krävdes (ca 50 000 dollar).
  • Maj 2019, staden Baltimore: Hackare riktade in sig på staden Baltimore 2019 med en utpressningstrojan vid namn RobbinHood, som angrep de flesta av stadsförvaltningens datorer. Brottslingarna krävde 13 bitcoin (då värda 76 280 dollar) och sa att summan skulle öka om den inte betalades inom fyra dagar och att samtliga data skulle raderas permanent efter 10 dagar. Systemen återställdes så småningom utan att staden betalade lösensumman.
  • Juni 2020, University of California, San Francisco: Högskolan betalade 1,14 miljoner dollar efter en månadslång kamp med utpressningstrojanen Netwalker. Den ursprungliga lösensumman var 4 miljoner dollar, men universitetet förhandlade ner priset.
  • September 2020, Universitätsklinikum Düsseldorf. DUC: Ryuk-attacken mot universitetssjukhuset i den tyska staden Düsseldorf ledde till att en patient avled eftersom hen inte kunde få tillgång till livsnödvändig vård.
  • April 2021, Quanta: Den nyliga attacken med utpressningstrojanen Sodinokobi ställde Macbook-tillverkaren Quanta inför ett utpressningskrav på 50 miljoner dollar. Företaget vägrade att betala och cyberbrottslingarna släppte Macbook-information till allmänheten.

Kostnaderna för en attack med utpressnings­trojaner

Att falla offer för en attack med utpressnings­trojaner är dåliga nyheter för ditt företags ekonomi – inte bara på grund av själva lösensumman, utan även för att du kan dömas till böter från dataskyddsmyndigheter eller förlora kunder på grund av minskat förtroende.

Enligt Cybersecurity Ventures uppskattades kostnaden för globala attacker med utpressnings­trojaner till 20 miljarder dollar år 2021, och ett företag tros angripas av skadlig kod var 11:e sekund. Utöver det riskerar europeiska företag ytterligare GDPR-böter för dålig säkerhetsverksamhet. År 2020 dömdes British Airways till böter på 20 miljoner pund från tillsynsmyndigheten – det ursprungliga bötesbeloppet var dock 183 miljoner pund.

Det är inte bara en fråga om att förlora stora summor pengar, utan det kan även bli kämpigt att återhämta sig – framför allt för mindre företag. Omkring 60 % av småföretagen lägger ned sin verksamhet efter att ha fallit offer för dataintrång. 2020 lade The Heritage Company, ett Arkansas-baserat telemarketingföretag, ned verksamheten i sviterna av utpressningstrojanen de drabbades av 2019. Oavsett om det handlar om kostnaden för att hantera attacken, återställningen av verksamheten eller själva förlusten av kunder kan återhämtningen efter en utpressningstrojan bli en stor utmaning för företag.

Hur drabbas ett företag av utpressnings­trojaner?

När ett företag saknar effektiva säkerhetsåtgärder blir det sårbart för cyberattacker.

Brist på personalutbildning är en avgörande sårbarhet för företag. Om anställda inte vet hur man identifierar ett misstänkt e-postmeddelande, upptäcker utpressnings­trojaner eller rapporterar problem löper de risk att smitta enheter och hela nätverket. Personalen kanske inte är medveten om att deras enheter är mottagliga för attacker eller riskerna med utpressnings­trojaner på Mac och Linux. Även om dessa två system anses ha bättre inbyggd säkerhet än Windows är de fortfarande i riskzonen för cyberhot.

Tredjepartsappar kan också vara en ingångspunkt från vilken cyberbrottslingar kan penetrera nätverket. De kan ha lättare att komma åt en app än ditt system och använda den här öppningen för att smitta dina enheter med skadlig kod.

Personal skapar sårbarheter, men ett säkert företag har vanligen ett fungerande antivirus på plats som kan skydda mot potentiell skadlig programvara när den laddas ned av misstag. Programvara måste uppdateras regelbundet (eller ”patchas”) för att åtgärda buggar och sårbarheter – föråldrad programvara kan leda till sårbarheter i skyddet.

Så skyddar du dig mot en attack med utpressnings­trojaner

Det finns många effektiva sätt att skydda företaget mot en attack med utpressnings­trojaner och undvika att bli en måltavla. Likt fallet är med många cyberattacker får kriminella tillgång till ett nätverk på grund av dålig IT-praxis. Detta inbegriper:

  • Undermålig personalutbildning
  • Svaga inloggningsuppgifter
  • För mycket beviljad åtkomst till tredjepartsappar
  • Brist på effektiva brandväggar
  • Inget antivirus
  • Programvara som inte uppdateras regelbundet

Därför är operativ säkerhet av största vikt. Utbildning av personal och genomtänkta åtkomstbehörigheter går hand i hand. Personalen måste utbildas i hur man bäst får åtkomst till nätverket, särskilt när man arbetar på distans, samt hur man upptäcker nätfiskemeddelanden, rapporterar misstänkt aktivitet och skapar starka lösenord. Allt detta bör definieras i en affärskontinuitetsplan – och även om det är bättre att förebygga än att bota hjälper det också att ha planer för IT-katastrofåterställning och affärskontinuitet på plats. Andra viktiga åtgärder för att förhindra en attack med utpressnings­trojaner inbegriper:

Tecken på att ditt företag har drabbats av en utpressningstrojan

Det finns många tecken på att en dator har kapats av en utpressningstrojan – det mest uppenbara är utpressningsmeddelandet. Här är några andra vanliga indikatorer:

  • Att få harpunfiskemeddelanden och andra bedrägliga meddelanden är ett tecken på att man är i cyberbrottslingarnas sikte.
    • Att falla offer för småskaliga testattacker utan större påverkan kan betyda att cyberbrottslingar letar efter sårbarheter i ditt system för att senare genomföra en storskalig attack
  • Ditt antivirus varnar dig för misstänkt aktivitet
  • Du meddelas om misstänkta inloggningsförsök som du inte känner igen
  • Du lägger märke till ny programvara på ditt nätverk
    • Borttagningsprogram för programvara, såsom GMER, PC Hunter och Process Hacker, används ofta av cyberbrottslingar för att till exempel ta bort ditt skydd mot utpressnings­trojaner i Windows 10
    • Applikationer som Microsoft Process Explorer och MimiKatz kan användas för att stjäla inloggningsuppgifter.

Vad ska man göra om man angrips

Om du har blivit utsatt för en attack med utpressnings­trojaner bör du vidta dessa viktiga åtgärder:

  1. Rapportera attacken. Se till att personalen vet hur de ska känna igen, och varna, teamet för en cyberattack
  2. Förstå situationen och identifiera den skadliga koden. Försök att identifiera den skadlig koden som har smittat ditt system så att du bäst vet hur du ska skydda dig och/eller agera för att ta bort den
  3. Stäng av källan till smittan. Lokalisera enheten som var den första angreppspunkten och koppla bort den från nätverket för att minska risken för att skadlig kod sprids
  4. Inneslut attacken. Koppla bort alla andra enheter i nätverket som kan vara sårbara för attacken för att förhindra att utpressningstrojanen sprider sig vidare
  5. Försök att dekryptera data och ta bort utpressningstrojanen. Detta bör endast utföras av ett kompetent säkerhetsteam, annars riskerar du att förvärra situationen
  6. Använd en tredje part. En tredjepartsspecialist kanske kan hjälpa till att återställa dina filer så att du inte behöver betala lösensumman

Skydda ditt företag mot utpressnings­trojaner med Avasts cybersäkerhets­lösningar för småföretag

Ett effektivt verktyg för cybersäkerhet är oumbärligt för alla företag, oavsett storlek. Avast cybersäkerhets­lösningar för småföretag upptäcker skadliga filer och förhindrar attacker med utpressnings­trojaner. Skydda ditt företags enheter och data idag.

Stäng

Nästan klart!

Slutför installationen genom att klicka på den nedladdade filen och följa anvisningarna.

Initierar nedladdning …
Obs! Klicka här om nedladdningen inte påbörjades automatiskt.
Klicka på den här filen för att starta installationen av Avast.