Kryptovirus – även kallat ransomware, gisslanprogram eller utpressningsvirus – är ett växande hot som drabbar allt från privatpersoner till stora internationella bolag och organisationer.
Den 7 maj tvingades amerikanska Colonial Pipeline att stänga av sina oljeledningar efter en attack, som uppges vara den största som USA:s energisektor drabbats av. Flödet i ledningarna står för runt 45 procent av bränsletillförseln i östra USA.
Trenden går mot att angriparna fokuserar framför allt på företag. Attackerna blir också mer avancerade och lösensummorna högre.
– Viruset krypterar och låser filer och dokument och begär sedan en lösensumma för att ge tillbaka datan. I många fall hotar angriparna att sälja eller publicera känslig information om inte lösensumman betalas. I värsta fall kan hela verksamheten lamslås, vilket förstås kan bli enormt kostsamt, säger Johan Stridh på IT-Total.
Ett företag attackeras var elfte sekund
Var elfte sekund upptäcks en kryptovirus-attack hos ett företag runtom i världen under 2021, enligt forskningsföretaget Cybersecurity Ventures beräkning. Det motsvarar ungefär 8 000 intrång på ett dygn.
Snittkostnaden för att hantera och återhämta sig från ett angrepp har ökat från 8,5 miljoner kronor 2019 till 17 miljoner kronor 2020, enligt en helt ny undersökning* där 5 400 IT-ansvariga på företag i trettio länder (däribland Sverige) tillfrågats.
– Att återfå och återställa data kostar i form av driftstörningar, merarbete, förlorade affärsmöjligheter och andra ökade kostnader för verksamheter, säger Johan Stridh.
”Raffinerade attacker”
En tydlig trend är att angriparna lyckas kryptera även företagens backup-system – själva livremmen om det värsta skulle hända.
– Tidigare var det mest enstaka system och filservrar som blev attackerade.
Men senaste tiden ser vi en ökning av mer raffinerade attacker som angriper både molnsystem och går direkt på hypervisors och backuper. Hypervisor är hård- eller mjukvara där virtuella maskiner körs. Målet är att lamslå hela infrastrukturen.
Svenskt företag stannade
Johan Stridh berättar om ett aktuellt svenskt exempel:
– Jag gjorde ett jobb hos ett företag och slog då fast att om de skulle bli utsatta för en attack, kan angriparna även komma åt företagets backup av deras primära data. I det här fallet handlade det om att företaget sparat sina backup lokalt på disk i en vanlig Windows-server.
Johan varnade företaget och förslog åtgärder.
– Man sa ja till dessa, men ville vänta – vilket är lätt hänt! Man tänker att det inte drabbar oss, i alla fall inte just nu. Men det gjorde det tyvärr bara ett par veckor senare.
Viruset tog sig in och krypterade all data och även backup-datan.
– Hela verksamheten stannade.
Så optimerar ni företagets skydd
IT-Total erbjuder en rad tjänster inom cybersäkerhet där ett viktigt syfte är att upptäcka hot för att kunna förebygga och stoppa attacker.
Nu lanserar IT-Total en ny tjänst som innebär att vi ser över företagets hypervisor-miljö och backupper samt yttre och inre skydd.
Därefter presenterar IT-Total ett konkret förslag på lösningar, skräddarsydda för företaget och dess unika miljö. Allt för en fast engångskostnad.
– Vi vill göra det enkelt för företag att på ett kostnadseffektivt sätt förbättra skyddet mot attackerna som är på frammarsch just nu, säger Johan Stridh.
5 fakta om kryptovirus-/ransomware-attacker
1. Så startar attacken
Vanligast är att en medarbetare får ett mejl och klickar på en bifogad fil eller en länk till en webbplats. Angriparna strävar efter att skapa meddelanden som känns verkliga. Det är lätt att bli lurad. Det kan se ut som att du fått mejl från en kollega eller ett etablerat stort svenskt företag. En metod är att skapa webbsidor som ser seriösa ut – mycket vanligt under pandemin – och där komma över besökares cookies. Sen kan man skicka extremt träffsäkra mejl som ser ut att komma från till exempel ett sjukhus som medarbetaren besökt.
2 Så går attacken till
Tiden från att en medarbetare klickar på ett mejl till att företagets data krypteras kan variera från en dag till flera månader. Angriparen kan under ganska lång tid röra sig i företagets miljö för att komma över konton i organisationen med så höga rättigheter som möjligt och för att hitta svagheter så att man kan göra maximal skada. Syftet är att kidnappa så mycket data att företaget lamslås och går med på att betala lösensumman man kräver.
3 Första attacken
Det första exemplet var AIDS-trojanen (PC Cyborg Trojan) från 1989 som spreds via 20 000 disketter till AIDS-forskare i 90 länder.
4 Vad kan de kriminella komma över?
En kriminell grupp kunde på ganska kort tid samla in cirka 190 bitcoins för en summa motsvarande 11 miljoner dollar. Baltimore drabbades av en attack i maj 2019 som kostade staden minst 18,2 miljoner dollar, enligt Baltimore Sun.
5 Fler attacker som en följd av pandemin
Attackerna har ökat i pandemins spår. Dels vill angriparna utnyttja den oro som gör många mer benägna att klicka på okända meddelanden, och dels utnyttja sårbarheten som uppstår hos företagens skydd då många sitter hemma och jobbar. MSB gick ut i november 2020 och varnade för ökad aktivitet av ransomware.
*Undersökningen genomfördes i januari och februari 2021 av Vanson Bourne, ett oberoende företag specialiserat på marknadsundersökningar.
För mer information kontakta:
David Eclundh, Head of Consulting Services, IT-Total
Tel: +46 70-291 32 23
Mail: david.eclundh@it-total.se