Vad är utpressningstrojaner?
Ta reda på mer om utpressningstrojaner, hur de fungerar och hur du kan skydda dig själv och verksamheten från den här typen av cyberattacker.
Definition av utpressningstrojaner
Utpressningstrojaner är en typ av skadlig programvara, eller skadlig kod, som hotar offret genom att förstöra eller blockera åtkomst till kritiska data eller system tills en lösensumma betalas. Tidigare var de flesta utpressningstrojaner riktade mot individer. På senare tid har dock mänskligt styrda utpressningstrojaner, som riktas mot organisationer, blivit ett större hot som är svårare att förhindra och åtgärda. Med mänskligt styrda utpressningstrojaner använder en grupp angripare sina sammanlagda kunskaper för att få åtkomst till en organisations företagsnätverk. Vissa angrepp av den här typen är så sofistikerade att angriparna utgår från interna finansiella dokument, som de har kommit över, när de anger nivå på lösensumman.
Angrepp med utpressningstrojaner i nyheterna
Tyvärr har nyhetsartiklar om hotet från utpressningstrojaner blivit väldigt vanliga. Den senaste tidens uppmärksammade angrepp med utpressningstrojaner har påverkat kritisk infrastruktur, hälso- och sjukvård och IT-tjänstleverantörer. Efterhand som angreppen blivit allt mer vågade har effekterna blivit mer oförutsägbara. Här beskriver vi några angrepp med utpressningstrojaner och hur de har påverkat organisationerna:
- I mars 2022 utsattes postsystemet i Grekland för ett angrepp med en utpressningstrojan. Angreppet störde postdistributionen och påverkade finansiella transaktioner.
- Ett av Indiens största flygbolag drabbades av ett angrepp med en utpressningstrojan i maj 2022. Incidenten ledde till försenade och inställda flyg samt hundratals strandsatta passagerare.
- Ett stort HR-företag drabbades av ett angrepp med en utpressningstrojan i december 2021, då löne- och ledighetssystemen för kunder som använder dess molntjänst påverkades.
- I maj 2021 stängde en amerikansk bränslepipeline sina tjänster för att förhindra ytterligare intrång efter att ett angrepp med en utpressningstrojan komprometterat tusentals anställdas personliga information. Resultatet blev att gaspriserna sköt i höjden över hela östkusten.
- Ett tyskt kemikaliedistributionsföretag utsattes för ett angrepp med en utpressningstrojan i april 2021. Mer än 6 000 personers födelsedatum, socialförsäkringsnummer och körkortsnummer samt viss medicinsk information stals.
- I maj 2021 blev världens största köttleverantör måltavla för ett angrepp med en utpressningstrojan. Efter att tillfälligt ha stängt anslutningen till webbplatsen och pausat produktionen slutade det med att företaget betalade en lösensumma på 11 miljoner USD i bitcoin.
Hur fungerar utpressningstrojaner?
Angrepp med utpressningstrojaner går ut på att ta kontroll över en persons eller en organisations data eller enheter som ett sätt att kräva pengar. Under många år har attacker som bygger på social manipulering varit vanligast, men nyligen har mänskligt styrda utpressningstrojaner blivit populära bland kriminella på grund av deras potential att ge stora pengar.
Utpressningstrojaner som bygger på social manipulering
De här attackerna använder nätfiske, som är en form av bedrägeri där angriparen utger sig för att vara ett legitimt företag eller webbplats, för att lura offret att klicka på en länk eller öppna en e-postbilaga som installerar utpressningstrojanen på enheten. I attackerna används ofta alarmistiska meddelanden som uppmanar offret att agera av rädsla. En cyberbrottsling kan till exempel utge sig för att vara en välkänd bank och skicka ett e-postmeddelande som varnar om att ett konto har blivit spärrat på grund av misstänkt aktivitet. I e-postmeddelandet uppmanas personen att klicka på en länk för att lösa problemet. När personen klickar på länken installeras en utpressningstrojan.
Mänskligt styrda utpressningstrojaner
Mänskligt styrda utpressningstrojaner utgår ofta från stulna kontoinloggningsuppgifter. När angriparna har fått åtkomst till en organisations nätverk på det här sättet använder de det stulna kontot för att få tillgång till autentiseringsuppgifter till konton med bredare åtkomst, och sedan söka efter data och affärskritiska system som potentiellt kan ge stor ekonomisk vinst. Därefter installerar de utpressningstrojaner i dessa känsliga data eller affärskritiska system, till exempel genom att kryptera känsliga filer så att organisationen inte kommer åt dem förrän de har betalat en lösensumma. Cyberbrottslingar kräver ofta betalning i en kryptovaluta på grund av anonymiteten.
Dessa angripare riktar in sig på stora organisationer som kan betala en högre lösensumma än en genomsnittlig enskild person, i vissa fall miljontals dollar. Eftersom mycket står på spel med ett intrång i den här skalan väljer många organisationer att betala lösensumman istället för att riskera att deras känsliga data läcks eller att de utsätts för ytterligare attacker från cyberbrottslingar. En betalning av lösensumman är dock ingen garanti för att förhindra detta.
I takt med att de mänskligt styrda attackerna med utpressningstrojaner blir allt vanligare, blir också brottslingarna bakom attackerna mer organiserade. Faktum är att många angrepp med utpressningstrojaner nu bygger på en modell med utpressningstrojaner som en tjänst. Den här modellen innebär att en grupp kriminella utvecklare skapar själva utpressningstrojanen och sedan anställer andra cyberkriminella partner för att hacka en organisations nätverk och installera utpressningstrojanen. De två grupperna delar sedan på vinsten enligt överenskommelsen.
Olika typer av angrepp med utpressningstrojaner
Utpressningstrojaner finns i två huvudformer, där den ena använder kryptering och den andra låsning av enhetens funktioner.
Utpressningstrojaner som använder kryptering
När en individ eller organisation drabbas av en utpressningstrojan som bygger på kryptering blir offrets känsliga data eller filer krypterade, vilket innebär att de inte får åtkomst om de inte betalar den begärda lösensumman. Enligt utsagan ska offret få en krypteringsnyckel när de har betalat och därmed få åtkomst till filer eller data. Även om offret betalar lösensumman är det dock ingen garanti för att cyberbrottslingen skickar krypteringsnyckeln eller lämnar ifrån sig kontrollen. Doxware är en form av krypterande utpressningstrojan som krypterar och hotar med att avslöja offrets personliga information offentligt, vanligtvis genom att hota med att förödmjuka eller skämma ut dem om de inte betalar lösensumman.
Utpressningstrojaner som använder låsning
Med en utpressningstrojan som låser enheten blir den drabbade utestängd från enheten och kan inte logga in. Offren ser i det fallet ett meddelande om lösensumma på skärmen, där det står att de har blivit utestängda och hur de ska betala lösensumman för att få tillbaka enheten. Den här formen av utpressningstrojan involverar vanligtvis inte kryptering, så när offret återfår åtkomsten till enheten finns de känsliga filerna och data kvar.
Åtgärder mot angrepp med utpressningstrojaner
Om du drabbas av ett angrepp med en utpressningstrojan finns det olika alternativ för åtgärder och borttagning.
Var försiktig med att betala lösensumma
Även om det kan vara frestande att betala lösensumman i hopp om att problemet ska försvinna, finns det ingen garanti för att cyberbrottslingen håller löftet och ger dig tillgång till dina data. Säkerhetsexperter och jurister rekommenderar att offren för utpressningstrojaner inte betalar den begärda lösensumman, eftersom de därigenom bäddar för hot mot framtida offer och aktivt ger stöd åt den kriminella världen. Om du redan har betalat ska du omedelbart kontakta din bank. Det kan gå att stoppa betalningen om du betalade med kreditkort.
Isolera de data som infekterats
Så snart du har möjlighet ska du isolera komprometterade data för att förhindra att utpressningstrojanen sprider sig till andra delar av nätverket.
Kör ett program mot skadlig kod
Många angrepp med utpressningstrojaner kan åtgärdas genom att installera ett program mot skadlig kod som tar bort utpressningstrojanen. När du har valt en erkänd lösning med ett program mot skadlig kod, till exempel Microsoft Defender, ska du vara noga med att uppdatera programmet och se till att det alltid körs så att du har skydd mot de senaste angreppen.
Rapportera attacken
Kontakta de lokala polismyndigheterna och rapportera attacken. I USA är det de lokala FBI-kontoren, IC3 eller Secret Service. Även om det här steget förmodligen inte löser dina omedelbara problem är det viktigt eftersom de här myndigheterna aktivt spårar och övervakar olika attacker. Om du ger dem information om dina erfarenheter kan det bli en användbar pusselbit i ett större perspektiv som kan bidra till att hitta och åtala en cyberbrottsling eller en grupp med cyberbrottslingar.
Utpressningstrojanskydd
Med ett större antal attacker med utpressningstrojaner än någonsin tidigare och en stor mängd personliga uppgifter i digital form, är de potentiella följdverkningarna av en attack skrämmande. Som tur är finns det olika sätt att skydda ditt digitala liv så att det fortsätter att vara bara ditt – och ingen annans. Här visar vi hur du kan känna dig trygg med ett proaktivt skydd mot utpressningstrojaner.
Installera ett program mot skadlig kod
Det bästa sättet att skydda sig är med förebyggande åtgärder. Många angrepp med utpressningstrojaner kan upptäckas och blockeras med en pålitlig tjänst mot skadlig kod, till exempel Microsoft Defender för Endpoint, Microsoft Defender XDR eller Microsoft Defender för molnet. När du använder ett program mot skadlig kod söker enheten först igenom alla filer eller länkar som du försöker öppna för att säkerställa att de är säkra. Om en fil eller webbplats är skadlig varnar programmet mot skadlig kod och föreslår att du inte öppnar filen eller webbplatsen. De här programmen kan också ta bort utpressningstrojaner från en enhet som redan har blivit infekterad.
Ordna regelbundna utbildningstillfällen
Håll medarbetarna informerade om hur man upptäcker tecken på nätfiske och andra attacker med utpressningstrojaner genom regelbunden utbildning. Då får de inte bara lära sig säkrare arbetsmetoder utan också hur de kan använda sina personliga enheter på ett säkrare sätt.
Flytta till molnet
När du flyttar dina data till en molnbaserad tjänst, till exempel Azure-tjänsten för säkerhetskopiering i molnet eller Azure Block Blob Storage-säkerhetskopiering, kan du säkerhetskopiera och återställa data på ett säkert sätt. Om dina data någonsin komprometteras av en utpressningstrojan kan du med hjälp av dessa tjänster se till att återställningen är både omedelbar och omfattande.
Inför en Nolltillit-modell
Med en Nolltillit-modell utvärderas risken för alla enheter och användare innan de tillåts åtkomst till program, filer, databaser och andra enheter. Detta minskar sannolikheten för att en skadlig identitet eller enhet kan komma åt resurser och installera utpressningstrojaner. Som exempel har implementering av multifaktorautentisering, en komponent i Nolltillit-modellen, visats minska effektiviteten av identitetsattacker med mer än 99 procent. Utvärdera Nolltillit-statusen i organisationen genom att göra Microsofts mognadsutvärdering för Nolltillit.
Gå med i en grupp för informationsdelning
Grupper för informationsdelning, som ofta organiseras efter bransch eller geografisk plats, uppmuntrar organisationer med liknande struktur att arbeta tillsammans med cybersäkerhetslösningar. Grupperna erbjuder också organisationer olika fördelar, till exempel incidenthantering och tjänster för digital kriminalteknik, nyheter om de senaste hoten och övervakning av offentliga IP-intervall och domäner.
Spara säkerhetskopior offline
Eftersom en del utpressningstrojaner försöker leta upp och ta bort alla onlinesäkerhetskopior du kan ha, är det en bra idé att ha en uppdaterad offlinesäkerhetskopia av känsliga data som du regelbundet testar för att se till att den går att återställa om du skulle drabbas av en attack med en utpressningstrojan. Tyvärr hjälper inte en offlinesäkerhetskopia om du har drabbats av ett angrepp med en utpressningstrojan som använder kryptering, men den kan vara ett effektivt verktyg mot en utpressningstrojan som använder låsning.
Se till att programvaror är uppdaterade
Förutom att hålla alla programlösningar mot skadlig kod uppdaterade (fundera på att använda automatiska uppdateringar) ska du se till att ladda ned och installera alla andra systemuppdateringar och programvarukorrigeringar så snart de är tillgängliga. Detta bidrar till att minimera eventuella säkerhetsbrister som en cyberbrottsling kan utnyttja för att få åtkomst till ditt nätverk eller dina enheter.
Skapa en plan för incidenthantering
När du har en plan för hur du lämnar ditt hem om det börjar brinna är du bättre förberedd och kan snabbt sätta dig i säkerhet. På samma sätt kan du skapa en plan för incidenthantering så att du vet vilka åtgärder du kan vidta om du drabbas av en attack med en utpressningstrojan för att så snabbt och säkert som möjligt återgå till normal drift i olika attackscenarier.
Hjälp till att skydda allt med Microsoft Security
Microsoft Sentinel
Få översikt över hela organisationen med en molnbaserad lösning för säkerhetsincident- och händelsehantering (SIEM).
Microsoft Defender XDR
Skydda dina slutpunkter, identiteter, e-post och appar med utökad identifiering och åtgärder (XDR).
Microsoft Defender för molnet
Skydda dina miljöer med flera moln och hybridmiljöer hela vägen från utveckling till körning.
Microsoft Defender Hotinformation
Förstå hotaktörer och deras verktyg med en komplett och ständigt uppdaterad karta över Internet.
Bekämpa hot från utpressningstrojaner
Ligg steget före hoten med hjälp av automatisk störning av angrepp och åtgärder med Microsoft Security.
Microsofts rapport om digitalt försvar
Bekanta dig med det aktuella hotlandskapet och hur du bygger upp ett digitalt försvar.
Skapa ett program mot utpressningstrojaner
Utforska hur Microsoft skapade Optimal Ransomware Resiliency State för att eliminera utpressningstrojaner.
Använd en spelbok för att blockera utpressningstrojaner
Formulera och visualisera vilken roll var och en har i processen med att blockera utpressningstrojaner.
Vanliga frågor och svar
-
Tyvärr kan i stort sett alla som har onlineuppkoppling bli offer för ett angrepp med utpressningstrojaner. Personliga enheter och företagsnätverk är båda vanliga mål för cyberbrottslingar.
Ett bra sätt att förhindra att utpressningstrojaner infekterar ditt nätverk eller dina enheter är att investera i proaktiva lösningar, som tjänster för skydd mot hot. Det är mindre troligt att individer och organisationer som använder program mot skadlig kod och andra säkerhetsprotokoll, som en Nolltillit-modell, innan en attack inträffar, drabbas av en attack med en utpressningstrojan.
-
Traditionella attacker med utpressningstrojaner sker när en individ luras att interagera med skadligt innehåll, till exempel öppna ett infekterat e-postmeddelande eller besöka en skadlig webbplats, som installerar en utpressningstrojan på enheten.
I en attack med en mänskligt styrd utpressningstrojan är det en grupp angripare som inriktar sig på och gör intrång i organisationens känsliga data, ofta genom stulna autentiseringsuppgifter.
Med både utpressningstrojaner som bygger på social manipulering respektive mänskligt styrda utpressningstrojaner får individen eller organisationen ett meddelande om lösensumma som visar vilka data som stulits och kostnaden för att få tillbaka dem. Att betala lösensumman är dock ingen garanti för att dina data återlämnas eller att framtida intrång förhindras.
-
Konsekvenserna av en attack med utpressningstrojaner kan vara förödande. På både individ- och organisationsnivå kan offren känna sig tvingade att betala höga lösensummor utan någon garanti för att deras data kommer att återlämnas till dem eller att ytterligare angrepp sker. Om en cyberbrottsling läcker en organisations känsliga information kan deras rykte skadas så att de inte längre anses tillförlitliga. Beroende på typen av information som läckt och organisationens storlek kan även tusentals individer löpa risken att bli offer för identitetsstöld eller andra cyberbrott.
-
Cyberbrottslingar som infekterar offrens enheter med utpressningstrojaner vill ha pengar. De begär ofta lösensummor i kryptovalutor på grund av anonymiteten och att de inte går att spåra. I en attack mot en individ med en utpressningstrojan som bygger på social manipulering kan lösensumman vara hundratals eller tusentals dollar. I en mänskligt styrd attack med utpressningstrojaner som inriktar sig på en organisation kan lösensumman vara miljontals dollar. Dessa mer sofistikerade attacker mot organisationer kan utgå från konfidentiell finansiell information, som cyberbrottslingarna hittat när de gjort intrång i nätverket, som grund för att bestämma en lösensumma som de tror att organisationen har råd med.
-
De drabbade ska anmäla attacker med utpressningstrojaner till de lokala polismyndigheterna. I USA är det de lokala FBI-kontoren, IC3, eller Secret Service. Säkerhetsexperter och polismyndigheter rekommenderar att de som drabbas inte betalar lösensumman – om du redan har betalat ska du omedelbart kontakta din bank och lokala myndigheter. Banken kanske kan blockera betalningen om du betalade med kreditkort.
Följ Microsoft Security