Ransomware

Kopiera den aktuella artikelns länk Dela via e-post

Den här artikeln (PDF) Hela dokumentationen (PDF)

Ransomware, även känd som filkrypterare, är en typ av skadlig programvara som krypterar filer eller låser enheter och sedan kräver en lösensumma – vanligtvis i form av kryptovaluta – innan man ger ägaren tillgång till enheterna igen. Modern ransomware har utvecklats avsevärt och kombinerar ofta flera utpressningstekniker och riktar in sig på system med högt värde.

Så här fungerar det

•Infiltration: skickas via e-postmeddelanden som i själva verket är nätfiske, skadliga bilagor, komprometterade webbplatser eller sårbarheter i programvara.

•Kryptering: En symmetrisk nyckel används för att kryptera filer som sedan krypteras med en inbäddad offentlig nyckel.

•Utpressning: Offren får se en lösensumma som måste betalas i utbyte mot dekrypteringsnyckeln.

•Exfiltrering (modernt tillägg): Många varianter stjäl nu data före kryptering och hotar att läcka dem om lösensumman inte betalas (dubbel utpressning).

•Avbrott (modernt tillägg): Viss ransomware stänger av säkerhetskopieringar och återställningsverktyg för att öka trycket på offren.

Moderna taktiker

•Dubbel/trippel utpressning: Kryptera, stjäl och hota med DDoS-attacker eller att uppgifter ska läckas till offentligheten.

•Förnyelser som en tjänst (RaaS, Ransomware-as-a-Service): Affiliate-baserade modeller gör det möjligt för mindre skickliga aktörer att starta attacker med hjälp av hyrda ransomware-kit.

•AI-förstärkta attacker: AI används för att skapa övertygande nätfiskebeten och göra angreppen svårare att upptäcka.

•Riktade attacker: Fokuserar på kritisk infrastruktur, hälso- och sjukvård, utbildning och leveranskedjor.

•Datastöld utan kryptering: Vissa grupper hoppar över kryptering helt och förlitar sig enbart på utpressning.

Betalning och förvillelse

•Betalningar krävs vanligtvis i form av kryptovalutor som Bitcoin eller Monero.

•Angriparna använder blandningstjänster och relativt anonyma kryptovalutor (”privacy coins”) för att dölja transaktionsspåren.

Förebyggande och skydd

•ESET Skydd mot ransomware: Upptäcker och blockerar misstänkta beteenden i realtid.

•Åtgärd mot ransomware: Säkerhetskopierar och återställer automatiskt filer om ransomware upptäcks.

•ESET LiveGrid® och ESET LiveGuard: Molnbaserade ryktes- och ”sandboxing”-system för att upptäcka ”zero-day”-hot.

Att betala lösensumman garanterar inte dataåterställning.

Offren uppmuntras att anmäla incidenter till lokala myndigheter och IT-säkerhetsbyråer.

Mer information om skydd mot ransomware

ESET:s produkter använder teknik i flera lager som skyddar enheter mot ransomware. Läs i vår artikel i ESET:s kunskapsbas om hur du bäst skyddar systemet.

För mer information om ransomware, besök welivesecurity.com

˄˅