Ransomware

Faglig nyhedHvad er ransomware, hvordan får man det, hvad sker der, hvad gør man bagefter, og hvordan bekæmpes det? Relevant viden for revisorerne til brug i cyberrådgivningen.

CybersikkerhedOm revisor

15% af Dansk Erhvervs medlemmer har inden for de seneste 2-3 år været ramt eller forsøgt ramt af ransomware. Dermed er ransomware nr. 5 på Dansk Erhvervs ranking af aktuelle cybertrusler, hvor phishing er nr. 1.

Ransomware er en cybertrussel, som i øjeblikket er stigende. Mange har hørt om det, men ved ikke, hvad det reelt er. For at kunne rådgive om cybersikkerhed er det relevant for revisorerne at opnå større viden om emnet.

Hvad er ransomware?
Svar: En fil, der krypterer en brugers filer og kræver en løsesum for at låse dem op igen.



Ransomware anvendes af cyberkriminelle til at inficere en brugers computer og derefter tjene penge ved at kræve en løsesum for, at brugeren kan få adgang til sine filer igen.

Ransomware udbredes typisk som en trojan, dvs. en forklædt virus, som brugeren downloader til sin computer i den tro, at filen er helt legitim. Computeren kan også blive udsat for ransomware i et phishing-angreb.     

Nogle former for ransomware krypterer og låser filer, og andre låser hele systemer. For at genetablere adgangen skal brugeren anvende en kode, som er umulig at bryde. Det er kun den cyberkriminelle, som har koden. Brugeren kan så betale en løsesum for at få koden udleveret (hvilket dog langt fra altid giver brugeren adgang – og derfor frarådes!).

Betaling sker oftest i form af kryptovaluta – fx bitcoins – som ikke kan spores som en normal bankoverførsel. Hvis ikke brugeren betaler inden et fastsat tidspunkt, er det ofte set, at den cyberkriminelle truer med at 1) dele data offentligt, 2) slette data, 3) gøre computeren ubrugelig eller 4) øge løsesummen.

Navnet ”ransomware” er en sammenkobling af de to ord “ransom” (det engelske ord for løsesum) og “malware” (et begreb, der dækker over ondsindet software).

Konsekvenser af ransomware
Ransomware målrettes både virksomheder og private. Revisors cyberrådgivning er målrettet virksomhederne og er derfor inkluderet nedenfor.

De fleste danske virksomheder er it-afhængige. Afhængigheden øges i disse år, hvor teknologi og data implementeres i stor grad – også i virksomheder, som ikke tidligere har beskæftiget sig hermed.

Virksomhederne har mange filer, og computerne er tilkoblet hinanden i store netværk, hvilket gør, at ransomware hurtigt kan spredes, hvis det lykkes den cyberkriminelle at få indlæst sin trojan på netværket. Dermed kan hele netværket i virksomheden bliver ramt – og ikke blot en enkelt computer.

Der kan være økonomiske konsekvenser, menneskelige konsekvenser (eksempelvis fyring) og i værste tilfælde kan virksomhedens eksistensgrundlag forsvinde, hvis angrebet lykkes, og der eksempelvis ikke er taget backup.

Eksempler på ransomware-angreb
sikkerdigital.dk kan du læse og høre danske Abena fortælle åbent om det ransomware-angreb, de blev udsat for. På SMVPortalen.dk kan du også læse om danske Phoenix Design Aid, som blev angrebet, og om Aarhus Teater, som ligeledes har været udsat for et ransomwareangreb.

I 2017 så vi, at flere af de engelske hospitaler blev ramt af det verdensomspændende WannaCry-angreb, og i Danmark samme år så vi, at Maersk blev ramt af NotPetya-angrebet. Vi har inkluderet links til et par relevante artikler, hvor der findes flere informationer om disse angreb.

Løsninger
Herunder har vi listet en række løsningsforslag mod ransomware, som anbefales af cybersikkerhedseksperter, og som revisorerne kan tage med til virksomhederne i cyberrådgivningen:

  • Softwareopdatering: Sørg for at holde software opdateret – og her tales ikke kun om antivirus software, men de helt grundlæggende systemer som eksempelvis Windows. Microsoft havde forinden WannaCry-angrebet allerede udgivet en opdatering, som blokerede det hul, som WannaCry udnyttede. Dermed kunne angrebet være undgået for mange – blandt andet de engelske hospitaler – hvis opdateringen havde været installeret rettidigt.

  • Backup: Få styr på backup-processer – etablering af en relevant backup-strategi:
    1) Hvad skal der tages backup af?
    2) Løbende rettidig backup
    3) Hvem er ansvarlig?
    4) Sikker opbevaring (måske eksternt?) og
    5) Test, at backuppen virker som forventet (i praksis glemmes denne del ofte)

  • Antivirus / -malware værktøjer: Sørg for at have software, som analyserer de filer og den trafik, der går ind på computeren. Automatisk opdatering bør altid være aktiveret.

  • Awareness og træning: Forstår medarbejderne, at cybertruslen er her nu? Medarbejderne skal være bevidste om cybertruslen og de mest udbredte former – herunder blandt andet, at man skal undlade at åbne eller installere filer, hvor afsenderen ikke er kendt, samt undlade at klikke på links fra ukendte eller falske afsendere (hold i stedet musen hen over links og se, hvor de peger hen).

Som anført tidligere, bør en cyberrådgiver aldrig anbefale sine kunder at betale løsesummen, da der ikke er en garanti for, at den cyberkriminelle oplyser en kode, som kan dekryptere filerne, og ikke mindst – send ikke et signal om, at man understøtter ”virksomhedsformen”.

I stedet bør dine kunder kontakte politiet og anmelde angrebet. Politiet vil også hjælpe med at sikre eventuelle digitale spor.

Erhvervsstyrelsen anbefaler, at virksomheder anvender nomoreransom i et forsøg på at få data tilbage uden at betale en løsesum. Det er det hollandske politi, Europols European Cyber Crime Centre (EC3) og antivirusproducenterne Kaspersky Lab og Intel Security, som står bag nomoreransom.

Husk også at informere dine kunder om, at cyberangreb (store som små) skal indberettes til Erhvervsstyrelsen.

Kontakt

  • Thomas Krath Jørgensen

    Fagchef - rapportering, Statsautoriseret revisor

    4193 3148