Utpressarna såg ett guldläge när covid–19 spred sig över världen. Den finansiella osäkerheten med begränsade budgetar och arbete hemifrån gjorde bolag extra sköra för attacker. Man utnyttjade även människors oro, med infekterade mejl och appar som sa sig innehålla information om Covid-19.
2020 begärde utpressarna i genomsnitt 847 344 dollar, motsvarande 7,2 miljoner kronor. Det högsta begärda beloppet låg dock på 30 miljoner dollar, över 256 miljoner kronor.
”Cyberbrottslingar vet nu att de kan tjäna pengar med utpressningssystem och de blir girigare. Antalet grupper som använder sig av verktygen ökar med alltifrån organiserad brottslighet till statligt stödda hackare”, säger Ryan Olson, chef för research om hot på Palo Alto Networks.
De faktiska utbetalningarna hade ett snitt på 312 493 dollar, motsvarande 2,7 miljoner kronor, en ökning med över 170 procent från snittet 20015–2019 som låg på 115 123 dollar, 975 000 kronor. Det högsta beloppet dubblades från 5 miljoner dollar 2019, drygt 43 miljoner kronor, till 10 miljoner dollar, drygt 85 miljoner kronor.
En av de värst drabbade sektorerna under pandemiåret var sjukvården. Här tog utpressarna till vara på det hårda tryck som vården var utsatt för, då de visste att sektorn inte hade råd att få sina system nedstängda.
Det största hotet mot sjukvården var Ryuk Ransomeware, som tagit sitt namn från en karaktär i mangaserien Death Note. I oktober gick FBI, CISA (den amerikanska myndigheten för cybersäkerhet) och USA:s hälsomyndighet HHS ut med en gemensam varning för Ryuk-attacker. Enligt rapporten kräver Ryuk mellan 600 000 dollar till 10 miljoner dollar i form av bitcoin.
Flera utpressningsprogram, däribland Netwalker, Ragnarlocker och Doppelpaymer, har börjat med dubbelutpressning. Istället för att enbart kryptera den utsatta verksamhetens data och hota med att radera den, hotar man även med att publicera materialet, ofta på Darknet. Ivrigast med dubbelutpressning var Netwalker. Av de 347 drabbade företagen stod Netwalker för 113 av attackerna, och i januari i år skedde en internationell polisinsats där Netwalkers sajt på Darknet plockades bort.
En annan trend som Palo Altos experter ser är ett skifte från en ”spray-and-pray”-modell till en mer inriktad modell, där hackarna tar sig tid att lära känna offren innan de sätter igång. Under året har även plattformen Linux, som tidigare varit ganska förskonad från attacker, blivit utsatt.
”Det är en stor trend vi ser. De stora utpressargrupperna blir alltmer sofistikerade, och använder sig av samma teknik som de mest avancerade hackarna”, fortsätter Ryan Olson.
Av de organisationer som fick data publicerad var USA värst drabbat med 151 bolag, motsvarande 47 procent. På andra plats kommer Kanada med 12 procent, följt av Tyskland med 8 procent. Även svenska bolag drabbades – Sverige var bland de tolv länder som drabbades av läckt data. Om dessa siffror är parallella med hur många verksamheter som faktiskt betalar lösensumman, så säger det något om hur hur utpressarna ser på lönsamheten i olika länder. Under de senaste åren har cybersäkerhetsförsäkringar ökat, och Palo Alto tror att det finns ett stort mörkerantal som valt att betala utpressarna utan att berätta i efterhand vad de utsatts för.
Saas-teknik, alltså molnbaserad prenumerationstjänst för mjukvara, är något av det hetaste man man jobba med just nu, och de kriminella är inte sena att hoppa på tåget med ”Ransomware-as-a-service”. It-säkerhetstjänsten spår att fler aktörer framöver kommer att använda sig av detta bekväma sätt av utpressning. Tjänsten säljs på Darknet som vilken mjukvara som helst från 40 dollar och uppåt, enligt säkerhetsbolaget Zvelo.
Så länge bolagen fortsätter betala kommer lösensumman att öka, varnar rapporten. Tillsammans med andra säkerhetsaktörer är Palo Alto rådgivare i arbetsgruppen ”Ransomware Task Force”, initierad av den icke-vinstdrivande organisationen ”Institute for Security and Technology”. Målet är att kunna lämna riktlinjer till både organisationer och privatpersoner under våren.
Men redan nu ger Palo Alto några råd till hur man kan minska exponeringen.
”Bolagen måste utbilda personalen i att känna igen misstänkta mejl och anmäla dem”, kommenterar Ryan Olson.
En annan viktig uppgift är att se till så att uppdateringen av mjukvara och annan utrustning, så kallad patch management, görs korrekt.
”Patching är nyckeln. Se bara det senaste exemplet med hackningen av Microsoft Exchange. Det tog bara en vecka från att uppdateringen skedde tills att utpressningsprogrammet hittat svagheterna”, avslutar Ryan Olson.