Det finns stora pengar att tjäna på utpressningsvirusattacker. Vid årsskiftet 2020 till 2021, har man beräknat att ett företag kommer utsättas för en utpressningsvirusattack var 11:e sekund, vilket motsvarar skador för upp till 20 miljarder dollar. Utpressningsvirusattacker är inte bara ett problem för organisationer såsom företag, regeringar eller vårdgivare – det påverkar också kunder och anställda, vars uppgifter ofta stryker med i sådana angrepp.
En utpressningsvirusattack sker när skadlig programvara används för att kryptera målets data och filer. De skiljer sig från utpressningskampanjer, där man använder ”distributed denial of service” (DDoS) för att överväldiga målen med trafik med löftet att angreppet kommer upphöra i utbyte mot betalning.
Även om det finns organisationer som väljer att betala utpressarna är detta vanligtvis inte rekommenderat eftersom det inte finns någon garanti att man åter kommer få tillträde till systemet, samt att betalningar ger ytterligare incitament till angriparna att fortsätta med denna typen av cyberattacker. Många företag offentliggör inte när de utsätts för utpressningsvirusattacker, och om de gör det offentliggör de inte angriparens krav.
Vi kommer här gå igenom några av de senaste utpressningsvirusattackerna under 2020, från januari till december.
Hackers inledde året med ett angrepp mot valutahandelsföretaget Travelex. Man tvingade företaget att stänga av alla datasystem och svara med penna och papper. Detta ledde till att företaget tvingades ta ner sina hemsidor i 30 länder.
Ett utpressningsgäng vid namn Sodinokibi (även känt som REvil) låg bakom attacken och krävde Travelex på 6 miljoner dollar. Gänget hävdade att de hade tagit sig in i företagets datanätverk ett halvår tidigare och att de hade kunnat ladda ner 5 GB känslig kunddata, inklusive födelsedatum och betalkortsnummer. Gänget sa att om Travelex betalade lösensumman skulle de ta bort datan, men om de inte betalade skulle lösensumman fördubblas varannan dag. Efter sju dagar sa de att de skulle sälja datan vidare till andra cyberbrottslingar.
Travelex ska ha betalat gänget 2,3 miljoner dollar i Bitcoin och återställt sina onlinesystem efter att dessa legat nere i två veckor. I augusti 2020 gick företaget ut med att det ställts under förvaltning (den brittiska motsvarigheten till rekonstruktion). Man skyllde på en kombination av utpressningsvirusattacken och covid-19-pandemin.
På alla hjärtans dag slog en cyberattack ut delar av företagsverksamheten på INA Group, Kroatiens största oljeföretag och landets största bensinmackskedja. Angreppet var en utpressningsvirusattack som infekterade och sedan krypterade företagets bakgrundsservrar.
Även om attacken inte påverkade företagets möjlighet att tillhandahålla bensin till sina kunder så påverkade det möjligheten att fakturera, registrera lojalitetskort, utfärda mobilkuponger samt att kunderna inte kunde betala viss fakturor.
Attacken ska ha orsakas av en infektion med utpressningsvirussträngen Clop. Säkerhetsforskare anser att Clop-gänget utgör ”big game ransomware” (ung. storviltutpressningsvirus), ett begrepp som används för kriminella grupper som riktar in sig på företag för att infektera deras nätverk, krypterar data och kräver extremt stora lösensummor.
I mars framkom det att Communications & Power Industries (CPI), en stor elektronik tillverkare i Kalifornien, utsatts för en utpressningsvirusattack.
Företaget tillverkar komponenter till militärenheter och -utrustning och har bland annat amerikanska försvarsdepartementet på sin kundlista. Utpressningsvirusattacken påbörjades när en domänadministratör klickade på en osäker länk som släppte loss det skadliga filkrypteringsprogrammet. Eftersom tusentals datorer på nätverket fanns på samma enhetliga domän spred sig den skadliga programvaran snabbt till samtliga CPI-kontor, även dess lokala säkerhetskopieringsenheter.
Företaget ska enligt uppgift ha betalat 500 000 dollar som svar på attacken. Det är inte känt vilket utpressningsvirus som användes.
I april kom rapporter om att den portugisiska energijätten Energias de Portugal (EDP) hade blivit angripen. Cyberbrottslingar använde den skadliga programvaran Ragnar Locker för att kryptera företagets system och krävde en lösensumma på nästan 10 miljoner dollar.
Gärningsmännen hävdade att de hade stulit över 10 TB känsliga företagsuppgifter som de hotade att läcka om lösensumman inte betalades. Hackarna la upp skärmdumpar på delar av de känsliga uppgifterna på en dataläckningssida för att bevisa att hade informationen. Uppgifterna innehöll enligt uppgift hemligstämplade uppgifter om fakturor, kontrakt, transaktioner, klienter och samarbetspartners.
EDP bekräftade att attacken hade ägt rum men sa att det inte fanns något bevis för att känsliga kunduppgifter skulle ha kapats. Dock erbjöd företaget sina kunder en ettårsprenumeration på identitetsskyddet Experian utan extra kostnad utifall att det i framtiden skulle visa sig att kunddata hade blivit stulen.
I maj utsattes den New York-baserade advokatbyrån Grubman Shire Meiselas & Sacks för en utpressningsvirusattack där man använde sig av utpressningsviruset REVil. Firman har en rad kända klienter, bland annat Madonna, Elton John och Robert DeNiro.
Cyberbrottslingarna hävdade att de hade använt utpressningsvirusen REvil eller Sodinokobi för att stjäla klienters kontaktuppgifter, telefonnummer, e-postadresser, personliga korrespondens och överenskommelser om sekretesskydd. Angriparna hotade att offentliggöra uppgifterna i nio steg om inte lösensummor värda total 21 miljoner dollar betalades. Lösensumman dubblerades till 42 miljoner dollar när byrån vägrade betala.
Bland de drabbade kändisklienterna fanns Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey och Mary J. Blige. Advokatbyrån sa att man inte tänkte förhandla med brottslingarna och kopplade in FBI för att undersöka fallet.
I juni utsattes motorjätten Honda för en utpressningsvirusattack där man använde sig av utpressningsviruset Snake (även känt som Ekans). Attacken riktade sig mot företagskontor i USA, Europa och Japan. När attacken upptäcktes stoppade Honda produktionen i vissa fabriker för att hantera datanätverksstörningarna. Hackers använde utpressningsvirus för att få tillgång till Hondas interna server och krävde en lösensumma i utbyte mot krypteringsnycklen. Honda uppgav senare att angriparen inte visat några bevis för att identifierande personuppgifter hade stulits.
I juli blev det franska telekomföretaget Orange, som även är Europas fjärde största mobiloperatör, angripet med utpressningsviruset Nefilim. Hackarna tog sig in i företagets verksamhetsavdelning. Orange lades 15 juli till på Nefilims sida på dark web där man beskriver företagsläckor. Utdrag ur uppgifterna som Nefilimgruppen hävdade var tagna från Oranges kunder fanns med i ett arkiv på 339 MB.
Nefilim är en förhållandevis ny utpressningsvirusoperatör som upptäcktes 2020. Orange uppgav att data rörande runt 20 kunder på företagsnivå hade drabbats.
I augusti framkom det att University of Utah hade betalat en lösensumma på 457 000 dollar till cyberbrottslingar för att hindra dem från att släppa hemligstämplade filer som stals vid en utpressningsvirusattack. Attacken krypterade servrarna på institutionen för samhälls- och beteendevetenskap. Som ett led i angreppet stal brottslingarna okrypterade uppgifter innan de krypterade datorerna.
Eftersom den stulna datan innehöll student- och personaluppgifter valde universitet att betala lösensumman för att förhindra att dessa uppgifter skulle läckas. Alla studenter och anställda vid den drabbade institutionen uppmanades också hålla ett öga på deras kredithistorik för att se om det förekom olaglig aktivitet, samt ändra alla sina lösenord.
I september utsattes den enda elleverantören i den pakistanska staden Karachi, K-Electric, enligt uppgift för en utpressningsvirusattack utförd av Netwalker. Detta ledde till avbrott i företagets fakturerings- och onlinetjänster.
Utpressningsvirusoperatörerna krävde att K-Electric skulle betala en lösensumma på 3,85 miljoner dollar. Om de inte betalade inom sju dagar skulle summan ökas till 7,7 miljoner dollar. Netwalker släppte ett 8,5 GB stort arkiv med vad som uppgavs vara material som stals under attacken, inklusive ekonomisk data och kunduppgifter.
Netwalker hade tidigare angripit Argentinas migrationskontor, diverse amerikanske myndigheter, samt University of California San Francisco (som betalade en lösensumma på 1 miljon dollar).
K-Elecritc tillkännagav att cyberattacken hade ägt rum men sa att alla kritiska kundtjänster fungerade som de skulle.
I oktober bröt sig hackers in i nyhetsbyrån the Press Trust of Indias (PTI) servrar, vilket slog ut deras tjänster i flera timmar. En talesperson beskrev händelsen som en enorm utpressningsvirusattack som orsakade störningar i verksamheten och nyhetsrapporteringen till prenumeranter runtom i Indien.
Utpressningsviruset identifierades som LockBit, en skadlig programvara som blockerar åtkomsten till ditt datasystem för en lösensumma.
I november utsattes den brasilianska högsta domstolens cyberinfrastruktur för en enorm utpressningsvirusattack som ledde till att domstolens hemsidor fick stängas ner.
De som låg bakom attacken hävdade att domstolens hela databas hade krypterats och att det var lönlöst att försöka återställa den. Hackarna lämnade ett utpressningsmeddelande där de ombads kontakta dem via en ProtonMail-adress. Hackarna försökte också angripa en rad andra hemsidor med kopplingar till den brasilianska regeringen.
I december varnade GenRx Pharmacy, en sjukvårdsorganisation med sin bas i Arizona, hundratusentals patienter om att det kan ha förekommit ett dataintrång i kölvattnet av en utpressningsvirusattack som skedde tidigare under året. Företaget sa att hackare med brottsliga avsikter hade lyckats plocka bort ett antal filer, inklusive sjukvårdsinformation som apoteket använde för att behandla och leverera utskrivna produkter till patienterna.
De senaste utpressningsvirusattackerna har blivit mer selektiva gällande vem som utsätta och hur stora summor som utkrävs. Kaspersky’s Anti-Ransomware Tool ger skydd åt både hemmet och företaget. Liksom med alla cybersäkerhet är nyckeln till ett bra skydd vaksamhet.
Relaterade artiklar: