Nyheter

Tio sätt för cyberkriminella att driva in lösen

När attackerna med ransomware ökar används också fler påtryckningsmedel för att företagen ska betala. Säkerhetsexperterna på Sophos Rapid Response Team hjälper företag under pågående angrepp och har analyserat ett stort antal attacker med ransomware (gisslanprogram). Analysen visar att cyberkriminella breddat repertoaren och tar till ett antal olika grepp för att stressa företag och anställda till att betala.

I analysen framgår att cyberkriminella hittat nya ”smärtpunkter” och vägar att få till en betalning, i det ingår bland annat att trakassera enskilda anställda och rekrytera insiders.

Från attacker på systemen till fokus på medarbetarna

– Eftersom många organisationer blivit bättre på att säkerhetskopiera data och återställa krypterade filer från säkerhetskopior, kompletterar angriparna sina krav på lösen med ytterligare åtgärder som ökar pressen att betala, säger Peter Mackenzie, ansvarig för Incident Response på Sophos.

– Våra experter har till exempel sett fall där angripare mejlar eller ringer enskilda anställda, kallar dem vid namn och visar privata uppgifter som de stulit, exempelvis om disciplinära åtgärder eller passinformation. Syftet är att skrämma dem så att de ska kräva av arbetsgivaren att lösensumman betalas. Den här typen av beteende visar hur ransomware har skiftat från att främst vara rent tekniska attacker som riktar sig mot system och data till att fokusera på människorna i organisationen, fortsätter Peter Mackenzie.

I artikeln ”The Top 10 Ways Ransomware Operators Ramp Up the Pressure to Pay” finns även ett inspelat röstmeddelande som en utpressare lämnade till en anställd i en angripen organisation (publicerat med tillstånd av den berörda organisationen).

Tio exempel på hur angriparna ökar pressen att betala lösen:

1. Stjäla data och hota att publicera eller auktionera ut dem online

2. E-posta och ringa anställda, inklusive ledande befattningshavare och hota att avslöja deras personliga information

3. Meddela eller hota att meddela affärspartner, kunder, media och andra om dataintrång och exfiltrering (olovlig kopiering av data)

4. Tysta den angripna organisationen genom att varna dem för att kontakta myndigheterna

5. Rekrytera insiders för att få hjälp med angreppet (mot en del av lösensumman)

6. Återställa lösenord och skapa ett nytt admin-konto för domänen

7. Följa upp med nätfiskeattacker riktade mot enskilda medarbetares e-postkonton

8. Ta bort online-säkerhetskopior och så kallade skuggvolymkopior

9. Göra utskrifter av fysiska kopior där lösensumman visas på alla anslutna enheter, inklusive terminaler på försäljningsställen

10. Inleda DDoS-attacker (överbelastningsattacker) mot den drabbade organisationen webbsida