Ransomware brutalare än någonsin 2024

En hotbild som växer

Ransomware-epidemin visar inga tecken på att avta 2024, trots ökande polisinsatser. Experter varnar för att hotet kan bli ännu våldsammare.

“Vi vinner definitivt inte kampen mot ransomware just nu,” säger Allan Liska, hotanalytiker på Recorded Future, till WIRED.

17 cyberattacker mot USA – sedan mars

Sedan mars i år har minst 17 cyberattacker drabbat USA, skriver Business Insider och listar angriparnas mål hittills under 2021. Det har varit en flera

Under det senaste decenniet har ransomware blivit det mest framträdande cyberbrottet. Brottslingar riktar in sig på sjukhus, skolor och myndigheter, krypterar viktig data och utpressar sedan sina offer. Attackerna har allvarliga konsekvenser. Till exempel, 2021 tvingades Colonial Pipeline Company stoppa bränsleleveranser efter en ransomware-attack, vilket ledde till att USA:s president Joe Biden införde nödlösningar för att möta efterfrågan. Men dessa attacker sker dagligen, ofta utan att någonsin hamna på nyheterna.

Lögnaktiga svin

“Det finns ett problem med synlighet för incidenter; de flesta organisationer avslöjar eller rapporterar dem inte,” säger Brett Callow, hotanalytiker på Emsisoft. Detta gör det svårt att avgöra trenderna månad för månad.

Forskare tvingas förlita sig på information från offentliga institutioner som avslöjar attacker, eller till och med från brottslingarna själva. Men som Liska säger: “Brottslingar är lögnaktiga svin.”

Brutalare metoder

En ny rapport från säkerhetsföretaget Mandiant, ett dotterbolag till Google, visar att 2023 var ett rekordår för ransomware. Offren betalade över 10,4 miljarder kronor till ligorna, och det är bara de kända betalningarna.

En stor trend i rapporten är att brottslingarna allt oftare publicerar data på så kallade “shamesidor” som en del av utpressningsförsöken. Antalet inlägg på dessa sidor ökade med 75 procent 2023 jämfört med 2022. Dessa sidor använder nedräkningar för att ytterligare skrämma offren att betala innan deras känsliga data görs offentligt.

“Deras taktik blir generellt sett alltmer brutala,” säger Callow.

Hackare har till och med börjat hota sina offer direkt med skrämmande telefonsamtal eller mejl. 2023 utsattes Fred Hutchinson Cancer Center i Seattle för en ransomware-attack, och cancerpatienter fick personliga mejl med hot om att deras personuppgifter skulle offentliggöras om de inte betalade.

“Etiska hackare” ska rädda OS i Paris

Paris och Frankrike förbereder sig nu för sommarens OS och Paralympics. Där möter man brottslingar och cyberattacker med delvis nya metoder. Alla väntar

Risk för våld

“Min oro är att detta snart kommer att spilla över i verkligt våld,” säger Callow. “När det finns miljontals dollar på spel kanske de gör något allvarligt mot en företagsledare som vägrar betala, eller en familjemedlem.”

Även om det ännu inte rapporterats om våld i samband med ransomware-attacker, har hoten använts som taktik. “Vi har sett i läckta förhandlingar att de har antytt att de kan göra något liknande, och sagt, ‘Vi vet var din VD bor’,” säger Liska.

Kopplingar till våld

Ransomware-ligor opererar inte isolerat. De samarbetar ofta med nätverk som “the Comm”, en global sammanslutning av kriminella som erbjuder våld som tjänst utöver traditionell cyberbrottslighet. Medlemmar i Comm annonserar sin beredskap att slå människor, skjuta mot hem och publicera groteska videor som påstås visa tortyr. Förra året rapporterade 404 Media att Comm-medlemmar samarbetade med ransomware-grupper som AlphV, kända för att ha hackat MGM Casinos innan FBI utvecklade ett dekrypteringsverktyg och beslagtog flera webbplatser, för att sedan återvända med en attack på Change Healthcare som störde sjukvårdstjänster i USA.

Framgångar för polisen

Trots utmaningarna har polisen haft viss framgång med att störa ransomware-grupper. I februari avbröts den produktiva LockBit-operationen genom internationellt samarbete under kodnamnet Operation Cronos. Myndigheterna beslagtog webbplatser och erbjöd gratis dekryptering till offren, samt arresterade två misstänkta medlemmar i Ukraina och Polen.

Men det har varit svårt att minska antalet attacker eftersom ransomware-ligor ofta fungerar som startups, med prenumerationstjänster och dygnet-runt-support för sina programvaror, och rekryterar affiliates som utför attackerna. Dessa ligor är ofta baserade i Ryssland, vilket har fått västerländska myndigheter att använda samma taktiker som brottslingarna själva.

Psykologiska spel

Operation Cronos använde en nedräkningstimer i stil med en ransomware “shamesida” för att avslöja identiteten på LockBits påstådda ledare, den 31-årige ryske medborgaren Dmitry Khoroshev. Han åtalades också på 26 punkter av amerikanska åklagare och sanktionerades. Trots att Khoroshev verkar vara i Ryssland och därmed svår att arrestera, kan avslöjandet av hans identitet störa hans operation genom att underminera förtroendet från hans affiliates.

“Det finns många som skulle vara intresserade av att få tag på hans pengar,” säger Callow. “Det finns människor som skulle vara villiga att slå honom i huvudet och dra honom över gränsen till ett land från vilket han kan utlämnas.”

Fortsatta utmaningar

Efter att LockBit stördes, dök tio nya ransomware-sidor upp nästan omedelbart. “Det är fler än vi sett på en 30-dagarsperiod vid något tillfälle,” säger Liska.

Polisen anpassar sig till denna verklighet också. I maj annonserades att Operation Endgame framgångsrikt störde flera operationer som distribuerade skadlig kod. Fyra personer arresterades i Armenien och Ukraina, över 100 servrar togs ner och tusentals domäner beslagtogs.

Slutsats

Trots den massiva skalan på ransomware-problemet säger både Liska och Callow att det inte är omöjligt att hantera. Callow anser att ett förbud mot betalning till ransomware-ligor skulle göra störst skillnad. Liska är mindre entusiastisk om ett sådant förbud men ser hopp i fortsatta polisinsatser.

“Vi pratar ofta om ‘whack-a-mole’ när det gäller ransomware-grupper – man slår ner en och en annan dyker upp,” säger Liska. “Men jag tror att vad dessa polisoperationer gör är att de gör brädan mindre. Så ja, du slår ner en, och en annan dyker upp. Men förhoppningsvis blir det färre och färre som dyker upp.”

Kampen mot ransomware är långt ifrån över, men med fortsatta insatser från polis och säkerhetsexperter kan vi hålla dessa kriminella i schack och förhoppningsvis se en minskning av attackerna.

Kraftig ökning av cyberattacker

DDoS-attackerna mot Sverige har ökat kraftigt under den första delen av 2024. Analytiker kopplar ökningen till Sveriges nya militära roll. I en ny rapport