Översikt

Ransomware, på svenska ofta kallat utpressningsprogram, är en typ av skadlig kod som begränsar tillgången till ett datorsystem eller till filer som finns där. Begränsningen sker vanligtvis genom kryptering av användarens filer eller genom att hela systemet låses så att normal användning inte längre är möjlig. För att återfå åtkomsten kräver angriparen en lösensumma eller annan form av betalning och illvilliga aktörer kan också hota att offentliggöra känslig information för att öka pressen på offret.

Kännetecken och tekniker

Moderna utpressningsprogram använder flera tekniker för att infektera och utpressa användare. Vanliga metoder är bilagor i e‑post, skadliga länkar, utnyttjande av sårbarheter i operativsystem eller tjänster, samt verktyg för fjärråtkomst som konfigurerats svagt. När ett system väl komprometterats kan ransomware:

  • kryptera filer med starka algoritmer och byta filändelser,
  • låsa grafiskt gränssnitt och ersätta skrivbordet med ett kravmeddelande,
  • sprida sig vidare i nätverket genom delade mappar och autentiseringsuppgifter,
  • utföra så kallad "double extortion" genom att först stjäla data och sedan kräva betalning både för dekryptering och för att inte publicera informationen.

I vissa varianter används även tidsräknare eller hot om stigande avgifter för att få offren att betala snabbare.

Historia och kända exempel

Ransomware började få genomslag internationellt under 2000‑talet. Vissa tidiga former utvecklades i Östeuropa, och Ryssland nämns ofta i rapporter om de geografiska ursprungen för flera aktörer. Under 2013 observerade säkerhetsföretag en snabb ökning av prov av utpressningsprogram; detta dokumenterades bland annat av branschaktörer som McAfee. Ett känt exempel från samma period är CryptoLocker, som krypterade filer och krävde betalning i digital valuta. Utpressningskampanjer har i vissa fall inbringat betydande summor, samtidigt som stora myndighetsinsatser har lyckats slå ut vissa nätverk eller infrastruktur.

Ett särskilt uppmärksammat fall är attacken med WannaCry i maj 2017. Denna våg av infektioner utnyttjade en sårbarhet i Windows och spreds snabbt över världen, vilket ledde till att över 200 000 datorer i fler än 150 länder påverkades enligt flera analyser. Bland de drabbade fanns hälso‑ och sjukvårdsinstanser som Storbritanniens NHS, vilket orsakade inställda operationer och störningar i patientmottagningen. En bidragande orsak var att vissa system fortfarande körde osupportade versioner av operativsystemet, vilket gjorde dem sårbara trots att uppdatering fanns för nyare versioner.

Konsekvenser och exempel på påverkan

Konsekvenserna av en ransomware‑attack kan vara omfattande: driftstopp, förlorad eller exponerad kunddata, kostnader för återställning, och skadat förtroende. Företag, myndigheter och sjukhus är frekventa mål eftersom de ofta har höga krav på åtkomst till sina system och därmed är mer benägna att överväga att betala en lösensumma. Vissa angripare erbjuder teknisk support för att underlätta betalningen, en cynisk tjänst som förlänger brottets lönsamhet.

Förebyggande åtgärder och incidenthantering

Det finns flera etablerade åtgärder som minskar risken för framgångsrika ransomware‑attacker eller som begränsar skadan om en infektion sker:

  1. Regelbunden säkerhetskopiering av kritiska data och testade återställningsrutiner, så att filer kan återställas utan att betala lösensumma.
  2. Snabb installation av säkerhetsuppdateringar och patchar för operativsystem och applikationer, samt att undvika att använda osupportade system som inte längre får uppdateringar.
  3. Segmentering av nätverk och minimering av behörigheter så att angripare inte lätt kan sprida sig, samt användning av multifaktorautentisering.
  4. Utbildning av användare för att känna igen phishing‑e‑post och falska länkar, samt användning av säkerhetslösningar som upptäcker och blockerar skadlig aktivitet.
  5. En definierad incidenthanteringsplan som inkluderar kontaktvägar, juridisk rådgivning och beslutsprocess för hantering av lösenkrav.

Det finns också ett växande fokus på att kombinera tekniska försvar med lämpliga policys och övningar för att bygga motståndskraft.

Rättsliga och etiska aspekter

Att betala en lösensumma är kontroversiellt: det kan återställa verksamhet snabbt men samtidigt finansiera och uppmuntra kriminella, samt inte garantera fullständig återställning eller att stulen information inte publiceras. Myndigheter i flera länder uppmanar därför till försiktighet och rådgivning från experter vid beslut i dessa situationer. Riktlinjer och lagstiftning kring incidentrapportering och informationssäkerhet utvecklas också kontinuerligt för att bättre motverka utpressningsattacker.

För mer läsning om teknik, incidenter och riktlinjer finns översikter och analyser hos olika säkerhetsleverantörer och myndigheter, se till exempel detaljerade rapporter och vägledningar från externa källor och säkerhetsföretag som rapporterar om utvecklingen av utpressningsprogram och förebyggande arbete: teknisk beskrivning, kryptografiska aspekter, betalningsmetoder, filkrypteringsteknik, lagringsenheter, bedrägerimetoder, internationella trender, finansiell påverkan, valutor som används, nedstängningar av nätverk, utsatta operativsystem, leverantörsersättningar, samt rapporter och analyser från andra källor: (se källsamling), (exempel på historiska varianter), (WannaCry case study), (sårbarhetsstatistik), (hälso‑ och sjukvårdspåverkan), (praktiska återställningsråd), (geografiska analyser), (betalningsprocesser).

Genom att kombinera teknisk försvarsförmåga, regelbundna rutiner och robust incidentplanering kan organisationer kraftigt minska risken och följderna av ett utpressningsprogram.