Artikel top billede

Næste bølge af ransomware angriber på en helt ny måde og rammer hele netværket

De næste generationer af ransomware vender tingene på hovedet. Nu angribes der via sårbarheder på servere i netværket og ikke via den enkelte klient. Læs her, hvad du skal beskytte dig i mod.

Interview: Ransomware er en af de sikkerhedstrusler, der har ramt hårdt og bredt i de seneste par år.

Den ondsindede kode krypterer indholdet på maskinen, og hackerne bag forlanger en betaling for at levere den nødvendige krypteringsnøgle til ejermanden af data.

Ransomware har typisk været målrettet mod enkelte maskiner med mulighed for at brede sig til associerede drev eller enheder.

Det kan du eksempelvis læse mere om her. Ramt af ransomware: Den dag hackere krypterede 8.000 dokumenter på Aage Krogsdams computer

Flere maskiner kan således rammes ved et angreb, men angrebsplatformen har haft sit udspring på klienten.

Typisk bliver man inficeret med ransomware gennem ondsindede downloaders, der distribueres gennem kompromitterede websider eller via mail.

Når en bruger er inficeret, henter downloaderen malware ned på klienten, eksempelvis ransomware, og afvikler koden lokalt.

Går efter hele netværket

Den metode bliver nu vendt på hovedet, fortæller Martin Lee, der er chef for Ciscos sikkerhedsforskerhold og analysegruppe, Talos.

"I stedet for at have fokus på den enkelte klient, så er fokus rettet mod hele netværket. Det skyldes naturligvis, at de kriminelle øjner en større fortjeneste på deres ulovlige gerninger i virksomhederne end hos den almindelige bruger," siger han til Computerworld.

Han peger på ransomwaren Samsam som et eksempel.

Den distribueres nemlig ikke via downloads eller spam-mail.

Angriberen bag koden anvender i stedet værktøjer som Jexboss til at identificere servere, der kører Red Hats JBoss enterprise-produkter, der ikke er opdateret og som derfor er sårbare.

Når den ondsindede kode har fået adgang til serveren ved at udnytte sårbarheder i JBoss, indsamles data og informationer om netværket.

Først herefter udrulles krypteringen af systemerne, så der kan stilles et krav om løsepenge.

Ransomware-koden skanner altså først netværket via serverne i stedet for at gå direkte efter en klient og så forsøge at brede sig.

"Når vi analyserer udviklingen af Samsam, så er det netop i denne retning, tingene bevæger sig. De første offentlige sager med Samsam er fra sundhedssektoren i USA, hvor eksempelvis hospitaler er blevet ramt," fortæller Martin Lee.

Læs også: Forlanger 24 millioner: Hospitals it-systemer er taget som gidsel med ransomware

Hvad er grunden?Lidt populært formuleret er ransomware-angriberne rykket fra en business-til-consumer-model til en business-til-business-angrebsform.

Er der flere eksempler end de amerikanske hospitaler?

"Ja, der er flere, men det kan jeg ikke fortælle om - enten fordi jeg ikke har været en del af efterforskningen eller fordi jeg ikke må."

Hvad er fordelen ved at rykke fra klient til server. Det må være mere besværligt at trænge igennem til en server?

"Ikke nødvendigvis. Hvis der er en sårbarhed på serveren, så kan der være adgang. Men det helt afgørende er, at der kan tjenes flere penge på virksomhedsdata, der er vigtige for forretningen, end på private data."

Hvad kan man gøre for at beskytte sig?

"Sørg for at holde alt opdateret, og så skal du ikke åbne mail med vedhæftninger fra ukendte personer. Det er to vigtige områder, der ret enkelt kan implementeres og som er effektive."

Læs også: Teknik er ikke nok mod ransomware-angreb: Her er fem veje til moden it-sikkerhed

Læs mere på dette blog-indlæg, der fortæller om ransomwares vej til netværket.

Læs også:
Ramt af ransomware: Den dag hackere krypterede 8.000 dokumenter på Aage Krogsdams computer

Forlanger 24 millioner: Hospitals it-systemer er taget som gidsel med ransomware

Dansk kommune ramt af ransomware-angreb - fik løst problemet på en smart og enkel måde

Ransomware, sikkerhed i biler og DDoS-angreb: Her er de værste sikkerhedsplager lige nu




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere