De största utpressningsvirusattackerna under 2020

Det finns stora pengar att tjäna på utpressningsvirusattacker. Vid årsskiftet 2020 till 2021, har man beräknat att ett företag kommer utsättas för en utpressningsvirusattack var 11:e sekund, vilket motsvarar skador för upp till 20 miljarder dollar. Utpressningsvirusattacker är inte bara ett problem för organisationer såsom företag, regeringar eller vårdgivare – det påverkar också kunder och anställda, vars uppgifter ofta stryker med i sådana angrepp.

En utpressningsvirusattack sker när skadlig programvara används för att kryptera målets data och filer. De skiljer sig från utpressningskampanjer, där man använder ”distributed denial of service” (DDoS) för att överväldiga målen med trafik med löftet att angreppet kommer upphöra i utbyte mot betalning.

Även om det finns organisationer som väljer att betala utpressarna är detta vanligtvis inte rekommenderat eftersom det inte finns någon garanti att man åter kommer få tillträde till systemet, samt att betalningar ger ytterligare incitament till angriparna att fortsätta med denna typen av cyberattacker. Många företag offentliggör inte när de utsätts för utpressningsvirusattacker, och om de gör det offentliggör de inte angriparens krav.

Vi kommer här gå igenom några av de senaste utpressningsvirusattackerna under 2020, från januari till december.

Utpressningsvirusattacker i januari 2020

1. Utpressningsvirusattack mot Travelex

Hackers inledde året med ett angrepp mot valutahandelsföretaget Travelex. Man tvingade företaget att stänga av alla datasystem och svara med penna och papper. Detta ledde till att företaget tvingades ta ner sina hemsidor i 30 länder.

Ett utpressningsgäng vid namn Sodinokibi (även känt som REvil) låg bakom attacken och krävde Travelex på 6 miljoner dollar. Gänget hävdade att de hade tagit sig in i företagets datanätverk ett halvår tidigare och att de hade kunnat ladda ner 5 GB känslig kunddata, inklusive födelsedatum och betalkortsnummer. Gänget sa att om Travelex betalade lösensumman skulle de ta bort datan, men om de inte betalade skulle lösensumman fördubblas varannan dag. Efter sju dagar sa de att de skulle sälja datan vidare till andra cyberbrottslingar.

Travelex ska ha betalat gänget 2,3 miljoner dollar i Bitcoin och återställt sina onlinesystem efter att dessa legat nere i två veckor. I augusti 2020 gick företaget ut med att det ställts under förvaltning (den brittiska motsvarigheten till rekonstruktion). Man skyllde på en kombination av utpressningsvirusattacken och covid-19-pandemin.

Andra uppmärksammade attacker som genomfördes under månaden:

• Studenter på Pittsburgh Unified School District of Pennsylvania blev utan internet efter att en utpressningsvirusattack slog ut distriktets nätverkssystem under jul- och nyårshelgen.
• Patienter på en medicinsk klinik i Miramar, Florida fick ta emot utpressningskrav från cyberbrottslingar som hotade med att offentliggöra deras privata patientjournaler om de vägrade betala.

Utpressningsvirusattacker i februari 2020

2. Utpressningsvirusattack mot INA Group

På alla hjärtans dag slog en cyberattack ut delar av företagsverksamheten på INA Group, Kroatiens största oljeföretag och landets största bensinmackskedja. Angreppet var en utpressningsvirusattack som infekterade och sedan krypterade företagets bakgrundsservrar.

Även om attacken inte påverkade företagets möjlighet att tillhandahålla bensin till sina kunder så påverkade det möjligheten att fakturera, registrera lojalitetskort, utfärda mobilkuponger samt att kunderna inte kunde betala viss fakturor.

Attacken ska ha orsakas av en infektion med utpressningsvirussträngen Clop. Säkerhetsforskare anser att Clop-gänget utgör ”big game ransomware” (ung. storviltutpressningsvirus), ett begrepp som används för kriminella grupper som riktar in sig på företag för att infektera deras nätverk, krypterar data och kräver extremt stora lösensummor.

Andra uppmärksammade attacker som genomfördes under månaden:

• NRC Health, ett amerikanskt sjukvårdsföretag som arbetar med 75 % av de 200 största sjukhusen i USA, utsattes för ett angrepp. Företaget svarade med att stänga ner sina system, inklusive kundportaler för att minimera skadan från dataintrånget. Datan som företaget lagrade innehöll personalens löner och ersättningsinformation från olika sjukvårdsprogram, inklusive Medicare.

Utpressningsvirusattacker i mars 2020

3. Utpressningsvirusattack mot Communications & Power Industries

I mars framkom det att Communications & Power Industries (CPI), en stor elektronik tillverkare i Kalifornien, utsatts för en utpressningsvirusattack.

Företaget tillverkar komponenter till militärenheter och -utrustning och har bland annat amerikanska försvarsdepartementet på sin kundlista. Utpressningsvirusattacken påbörjades när en domänadministratör klickade på en osäker länk som släppte loss det skadliga filkrypteringsprogrammet. Eftersom tusentals datorer på nätverket fanns på samma enhetliga domän spred sig den skadliga programvaran snabbt till samtliga CPI-kontor, även dess lokala säkerhetskopieringsenheter.

Företaget ska enligt uppgift ha betalat 500 000 dollar som svar på attacken. Det är inte känt vilket utpressningsvirus som användes.

Andra uppmärksammade attacker som genomfördes under månaden:

• Londonbaserade Hammersmith Medical Centre utsattes för ett angrepp av utpressningsvirusgruppen Maze. Det medicinska centret genomför tidiga kliniska studier för mediciner och vaccin. Attacken skedde bara några dagar efter att Maze-gruppen lovat att inte angripa medicinska forskningsorganisationer under covid-19-pandemin. När centret vägrade betala lösensumman offentliggjorde tusentals tidigare patienters personuppgifter. Malcom Bryce, som är chef vid centret, sa till media att han hellre går i konkurs än betalar lösensumman.

Utpressningsvirusattacker i april 2020

4. Utpressningsvirusattack mot Energias de Portugal

I april kom rapporter om att den portugisiska energijätten Energias de Portugal (EDP) hade blivit angripen. Cyberbrottslingar använde den skadliga programvaran Ragnar Locker för att kryptera företagets system och krävde en lösensumma på nästan 10 miljoner dollar.

Gärningsmännen hävdade att de hade stulit över 10 TB känsliga företagsuppgifter som de hotade att läcka om lösensumman inte betalades. Hackarna la upp skärmdumpar på delar av de känsliga uppgifterna på en dataläckningssida för att bevisa att hade informationen. Uppgifterna innehöll enligt uppgift hemligstämplade uppgifter om fakturor, kontrakt, transaktioner, klienter och samarbetspartners.

EDP bekräftade att attacken hade ägt rum men sa att det inte fanns något bevis för att känsliga kunduppgifter skulle ha kapats. Dock erbjöd företaget sina kunder en ettårsprenumeration på identitetsskyddet Experian utan extra kostnad utifall att det i framtiden skulle visa sig att kunddata hade blivit stulen.

Andra uppmärksammade attacker som genomfördes under månaden:

• Cognizant, ett Fortune 500-företag som tillhandahåller IT-tjänster åt företag i olika branscher, gick ut med att man hade utsatts för en utpressningsvirusattack. Attacken infekterade deras interna system. Bland annat raderades företagets interna kataloger, vilket störde deras kundverksamhet. I deras kvartalsrapport för andra kvartalet 2020 som redovisades i slutet av juli tillkännagav Cognizant att vinsten för deras olika rörelsegrenar fallit med 3,4 % till 4 miljarder dollar. Detta berodde bland annat på utpressningsvirusattacken i april.

Utpressningsvirusattacker i maj 2020

5. Utpressningsvirusattack mot Grubman Shire Meiselas & Sacks

I maj utsattes den New York-baserade advokatbyrån Grubman Shire Meiselas & Sacks för en utpressningsvirusattack där man använde sig av utpressningsviruset REVil. Firman har en rad kända klienter, bland annat Madonna, Elton John och Robert DeNiro.

Cyberbrottslingarna hävdade att de hade använt utpressningsvirusen REvil eller Sodinokobi för att stjäla klienters kontaktuppgifter, telefonnummer, e-postadresser, personliga korrespondens och överenskommelser om sekretesskydd. Angriparna hotade att offentliggöra uppgifterna i nio steg om inte lösensummor värda total 21 miljoner dollar betalades. Lösensumman dubblerades till 42 miljoner dollar när byrån vägrade betala.

Bland de drabbade kändisklienterna fanns Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey och Mary J. Blige. Advokatbyrån sa att man inte tänkte förhandla med brottslingarna och kopplade in FBI för att undersöka fallet.

Andra uppmärksammade attacker som genomfördes under månaden:

• Michigan State University angreps med utpressningsviruset NetWalker. NetWalker, även känt som Mailto, är en utpressningsvirussträng som gjorde sin kriminella debut i augusti 2019. I deras kravbrev skrev utpressarna att universitetet hade en vecka på sig att betala en lösensumma i utbyte mot tillgång till deras krypterade filer. Annars skulle de läcka MSU-studenternas person- och bankuppgifter. Universitet valde att inte betala lösensumman och att de följde råden de fått från polisen.

Utpressningsvirusattacker i juni 2020

6. Utpressningsvirusattack mot Honda

I juni utsattes motorjätten Honda för en utpressningsvirusattack där man använde sig av utpressningsviruset Snake (även känt som Ekans). Attacken riktade sig mot företagskontor i USA, Europa och Japan. När attacken upptäcktes stoppade Honda produktionen i vissa fabriker för att hantera datanätverksstörningarna. Hackers använde utpressningsvirus för att få tillgång till Hondas interna server och krävde en lösensumma i utbyte mot krypteringsnycklen. Honda uppgav senare att angriparen inte visat några bevis för att identifierande personuppgifter hade stulits.

Andra uppmärksammade attacker som genomfördes under månaden:

• Columbia College Chicago attackerades av utpressningsgänget NetWalker som hotade att sälja studenternas uppgifter på dark web om de inte betalade inom sex dagar. Skolan tillkännagav att några användare personuppgifter hade berörts under attacken, men det var oklart om de bestämde sig för att betala lösensumman eller förhandla med utpressarna.

Utpressningsvirusattacker i juli 2020

7. Utpressningsvirusattack mot Orange

I juli blev det franska telekomföretaget Orange, som även är Europas fjärde största mobiloperatör, angripet med utpressningsviruset Nefilim. Hackarna tog sig in i företagets verksamhetsavdelning. Orange lades 15 juli till på Nefilims sida på dark web där man beskriver företagsläckor. Utdrag ur uppgifterna som Nefilimgruppen hävdade var tagna från Oranges kunder fanns med i ett arkiv på 339 MB.

Nefilim är en förhållandevis ny utpressningsvirusoperatör som upptäcktes 2020. Orange uppgav att data rörande runt 20 kunder på företagsnivå hade drabbats.

Andra uppmärksammade attacker som genomfördes under månaden:

• Staden Lafayette i Colorado gick i augusti ut med man betalat ut 45 000 dollar till utpressningsvirusoperatörer efter att deras enheter och data blivit krypterat genom utpressningsvirus. Betalningen gjordes i utbyte mot en krypteringsnyckel när staden inte kunde återställa sina system från deras säkerhetskopiering. De valde att betala lösensumman för att minimera tiden för tjänsteavbrottet som drabbat invånarna. Även om de inte angav vilken sorts utpressningsvirus som använts uppgav man att viruset hade slagit ut stadens nätverkssystem. Detta påverkade allt från onlinebetalningssystem till e-post- och telefontjänster. Man tror att attacken kunde påbörjas genom nätfiske eller en ”brute force”-attack.

Utpressningsvirusattacker i augusti 2020

8. Utpressningsvirusattack mot University of Utah

I augusti framkom det att University of Utah hade betalat en lösensumma på 457 000 dollar till cyberbrottslingar för att hindra dem från att släppa hemligstämplade filer som stals vid en utpressningsvirusattack. Attacken krypterade servrarna på institutionen för samhälls- och beteendevetenskap. Som ett led i angreppet stal brottslingarna okrypterade uppgifter innan de krypterade datorerna.

Eftersom den stulna datan innehöll student- och personaluppgifter valde universitet att betala lösensumman för att förhindra att dessa uppgifter skulle läckas. Alla studenter och anställda vid den drabbade institutionen uppmanades också hålla ett öga på deras kredithistorik för att se om det förekom olaglig aktivitet, samt ändra alla sina lösenord.

Andra uppmärksammade attacker som genomfördes under månaden:

• R1 RCM Inc. utsattes för en utpressningsvirusattack. Företaget var tidigare känt som Accretive Health Inc. och är en av de största inkassoföretagen i USA för sjukvårdsrelaterade skulder. Företaget har kontakt med mer än 750 amerikanska sjukvårdsorganisationer och hanterar person- och medicinska uppgifter för ett tiotal miljoner patienter. R1 RCM Inc. valde att inte gå ut med detaljer om intrånget, såsom vilka system eller uppgifter som drabbats. Uppgifter framkom dock att angriparna använt utpressningsviruset Defray – som är ett sorts inriktat utpressningsvirus som sprids via nätfiskemejl.

Utpressningsvirusattacker i september 2020

9. Utpressningsvirusattack mot K-Electric

I september utsattes den enda elleverantören i den pakistanska staden Karachi, K-Electric, enligt uppgift för en utpressningsvirusattack utförd av Netwalker. Detta ledde till avbrott i företagets fakturerings- och onlinetjänster.

Utpressningsvirusoperatörerna krävde att K-Electric skulle betala en lösensumma på 3,85 miljoner dollar. Om de inte betalade inom sju dagar skulle summan ökas till 7,7 miljoner dollar. Netwalker släppte ett 8,5 GB stort arkiv med vad som uppgavs vara material som stals under attacken, inklusive ekonomisk data och kunduppgifter.

Netwalker hade tidigare angripit Argentinas migrationskontor, diverse amerikanske myndigheter, samt University of California San Francisco (som betalade en lösensumma på 1 miljon dollar).

K-Elecritc tillkännagav att cyberattacken hade ägt rum men sa att alla kritiska kundtjänster fungerade som de skulle.

Andra uppmärksammade attacker som genomfördes under månaden:

• Louisianas fjärde tingsrätt utsattes för intrång på sin hemsida. Känsliga dokument publicerades online efter en utpressningsvirusattack. Agenten som användes vid attacken var Conti, en relativt ny sträng. Dokumenten som publicerades på hackarnas hemsida på darknet innehöll information om vittnen, jurymedlemmar och svarande i pågående fall.

Utpressningsvirusattacker i oktober 2020

10. Utpressningsvirusattack mot Press Trust of India

I oktober bröt sig hackers in i nyhetsbyrån the Press Trust of Indias (PTI) servrar, vilket slog ut deras tjänster i flera timmar. En talesperson beskrev händelsen som en enorm utpressningsvirusattack som orsakade störningar i verksamheten och nyhetsrapporteringen till prenumeranter runtom i Indien.

Utpressningsviruset identifierades som LockBit, en skadlig programvara som blockerar åtkomsten till ditt datasystem för en lösensumma.

Andra uppmärksammade attacker som genomfördes under månaden:

• Software AG, ett av de största mjukvaruföretagen i världen, utsattes för en attack från utpressarvirusgänget Clop som krävde mer än 20 miljoner dollar i lösensumma. När förhandlingarna föll igenom la gänget upp bilder på företagsuppgifter på dark web. Bilderna visade skanningar av anställdas pass och ID-kort, anställdas e-postmeddelanden, finansdokument och förteckningar från företagets interna nätverk.

Utpressningsvirusattacker i november 2020

11. Utpressningsvirusattack mot brasilianska högsta domstolen

I november utsattes den brasilianska högsta domstolens cyberinfrastruktur för en enorm utpressningsvirusattack som ledde till att domstolens hemsidor fick stängas ner.

De som låg bakom attacken hävdade att domstolens hela databas hade krypterats och att det var lönlöst att försöka återställa den. Hackarna lämnade ett utpressningsmeddelande där de ombads kontakta dem via en ProtonMail-adress. Hackarna försökte också angripa en rad andra hemsidor med kopplingar till den brasilianska regeringen.

Andra uppmärksammade attacker som genomfördes under månaden:

• Fotbollsklubben Manchester United hamnade på rubrikerna när det kom fram att man utsatts för en cyberattack. Det bekräftades senare att detta var ett utpressningsvirus. Klubben tillkännagav att attacken var sofistikerad, att man hade välutvecklade protokoll och procedurer på plats för att hantera ett sådant scenario, vilket innebar att de var väl förberedda. De vidhöll att deras cyberförsvar hade identifierat attacken och stängt ner de drabbade systemen för att hindra ytterligare skada och skydda sina uppgifter.

Utpressningsvirusattacker i december 2020

12. Utpressningsvirusattack mot GenRx Pharmacy

I december varnade GenRx Pharmacy, en sjukvårdsorganisation med sin bas i Arizona, hundratusentals patienter om att det kan ha förekommit ett dataintrång i kölvattnet av en utpressningsvirusattack som skedde tidigare under året. Företaget sa att hackare med brottsliga avsikter hade lyckats plocka bort ett antal filer, inklusive sjukvårdsinformation som apoteket använde för att behandla och leverera utskrivna produkter till patienterna.

Andra uppmärksammade attacker som genomfördes under månaden:

• Vitvarujätten Whirlpool utsattes för en utpressningsvirusattack av Nefilimgänget, som stal uppgifter innan de krypterade sina enheter. Hackarna publicerade sedan de stulna uppgifterna, som bland annat innehöll dokument om medarbetarförmåner, förfrågningar om medicinska uppgifter och bakgrundskontroller.

De senaste utpressningsvirusattackerna har blivit mer selektiva gällande vem som utsätta och hur stora summor som utkrävs. Kaspersky’s Anti-Ransomware Tool ger skydd åt både hemmet och företaget. Liksom med alla cybersäkerhet är nyckeln till ett bra skydd vaksamhet.

Relaterade artiklar:

• Vilka är de olika typerna av utpressningsvirus?
• De värsta utpressningsvirusattackerna
• Så här förhindrar du utpressningsvirus
• Datastöld och dataförlust