Ny ransomware rammer mange virksomheder

Lasse Olsen 0 kommentarer

En ny variant af ransomware kaldet PYSA er i november spredt med lynets hast. Ransomwaren går specifikt efter værdifulde virksomheder, myndigheder og sundhedsorganisationer.

Ny ransomware rammer mange virksomheder

I lang tid har de to varianter af ransomware, Conti og Lockbit, været de mest udbredte, men Conti er i november blevet overgået af en tredje ransomwarevariant: PYSA, også kaldet Mespinoza. Det viser en analyse foretaget af sikkerhedsfirmaet NCC Group.

Lockbit er stadig størst i november. Gruppen bag Lockbit har stået for 31 procent af alle ransomwareangreb, men den relativt nye spiller, PYSA, er vokset med 50 procent alene i november og står for 21 procent af angrebene.

Læs også: De fem største it- og cybertrusler i 2022

400 procent stigning i angreb mod myndigheder

PYSA rammer særligt myndigheder, hvor der er sket en stigning på 400 procent i antallet af ransomwareangreb fra denne variant. NCC Group bemærker også, at PYSA ser ud til at angribe oftere i Storbritannien end normalt.

PYSA er en af mange varianter af ransomware, der gør brug af såkaldt dobbelt afpresning eller ”betal-nu-eller-bliv-brudt”, som det også kaldes. Det vil sige, at bagmænd skaffer sig adgang til et stort antal værdifulde filer og private oplysninger, typisk via et phishingangreb. Derefter krypteres filerne, og bagmændene truer offeret med at offentliggøre dataene, hvis ikke der betales en ofte høj løsesum – typisk i kryptovaluta.

Hvis ofrene vælger ikke at betale løsesummen, vil dataene sandsynligvis blive ødelagt, lækket eller solgt på dark web. I de senere år er der sket en stor stigning i antallet af ransomwareangreb, der truer ofrene med at offentliggøre deres data, hvis de ikke betaler løsesummen. Det er senest sket for Vestas, som blev ramt af ransomwaren Lockbit, og som offentliggjorde dybt personlige oplysningerne om vindmølleproducentens medarbejdere.

Læs også: Hackere lækker meget personlige data fra Vestas efter hackerangreb

Ny afpresningsmetode

I CSS Groups november-rapport advarer sikkerhedsfirmaet også mod en ny afpresningsmetode, som den russiske ransomwaregruppe Everest gør brug af.

Når gruppens krav om løsepenge ikke imødekommes inden for den anviste forhandlingstid, sælger Everest adgang til offerets virksomhedsnetværk til andre hackergrupper eller partnere. Det skaber ekstra store problemer for de, der rammes af ransomwaren, da de skal forholde sig til flere infektioner og angreb på samme tid, hvis de ikke betaler løsesummen.

“Mens salg af ransomware-as-a-service (RaaS) har oplevet en stigning i popularitet i løbet af det sidste år, er dette et sjældent tilfælde af en gruppe, der giver afkald på en anmodning om løsepenge og tilbyder adgang til it-infrastruktur – men vi kan se efterligninger af angreb i 2022 og derefter,” lyder det i NCC Groups rapport.

Denne praksis skaber yderligere problemer for de kompromitterede enheder, da de nu skal håndtere flere infektioner og gentagne angreb på samme tid.

Læs også: Nyheder om it- og cybersikkerhed