En typ av ransomware bakom 20 procent av alla attacker

Report this content

Under 2023 fortsatte utpressningsvågen och minst 25 nya ransomware-grupper bildades. Samtidigt har arbetet med att bekämpa dem också gått framåt och flera kända hotaktörer har försvunnit från scenen. Internationellt, liksom i Norden, är LockBit nu den vanligaste typen av ransomware.

I en ny rapport presenterar forskargruppen Unit 42 vid IT-säkerhetsföretaget Palo Alto Networks sina insikter om utpressningsattacker under förra året. Den visar på en kraftigt ökad aktivitet. Under 2023 har Unit 42 hittat 3 998 nya inlägg på ”läcksajter” där ransomware-grupper lägger ut data som de stulit vid sina attacker, en ökning med hela 49 procent jämfört med 2022. Ökningen kopplas till utvecklingen av ”Ransomware as-a-Service” – ett upplägg som underlättar för brottslingarna då de enkelt kan köpa in den tekniska hackarkompetensen.

Rapporten från Unit 42 visar att företag och organisationer i minst 120 olika länder drabbades av utpressning genom ransomware under förra året, samtidigt som minst 25 nya ransomware-ligor bildades. En av dessa är Akira, som låg bakom den stora attacken mot TietoEvry som nyligen drabbade ett flertal svenska företag och myndigheter.

Den vanligaste typen av ransomware är LockBit, som är känt sedan 2019 och har de senaste två åren varit det mest använda verktyget för Ransomware as-a-Service. I de nordiska länderna användes LockBit förra året vid 20 procent av alla attacker som Unit 42 studerat.

LockBit har utvecklat flera varianter av sin kod för att kunna angripa både Linux och Windows operativsystem. Genom att återanvända fritt tillgängliga mjukvaruverktyg och utnyttja LockBits snabba kryptering (över 25 000 filer per minut kan krypteras) kan angripare skräddarsy en ransomware-attack efter sina egna förutsättningar.

Unit 42 ser också en positiv trend: Myndigheterna i en rad länder intensifierat sitt arbete mot ransomware och det har givit resultat. Flera kända ransomware-grupper har försvunnit under 2023, mycket tack vare att verksamheten störts eller stoppats genom insatser från myndigheter och polis. Internationellt samarbete resulterade bland annat i ett tillslag mot gruppen Ragnar Locker, vars infrastruktur togs ner och en misstänkt huvudperson kunde gripas i Frankrike.

I en annan uppmärksammad aktion genomförde proukrainska ”hacktivister” ett motangrepp mot ransomwaregruppen Trigona och kunde stänga ner dess verksamhet. USAs federala polis FBI lyckades på ett liknande sätt bekämpa gruppen Hive. Polisen kom då över deras nycklar för att dekryptera data, vilket gav möjlighet för de drabbade organisationerna att återställa sina filer.

Det faktum att många offer för digital utpressning under de senaste åren har betalat höga lösensummor betyder att ransomware har blivit en lockande inkomstkälla för allt fler cyberbrottslingar. Nya ransomware-ligor bildas ständigt, men långt ifrån alla blir framgångsrika eller uthålliga.

Unit 42 konstaterar att ransomware-aktörer ställs inför flera utmaningar som inte finns med andra slags cyberbrott, bland annat behovet av att kommunicera med offren. Dessutom är risken för upptäckt jämförelsevis hög då angriparen lämnar spår efter sig som kan analyseras av myndigheter och säkerhetsföretag.

Mer information

Hela rapporten från Unit 42 finns här.

Mediakontakt

Fredrik Pallin, fredrik@digitalpr.dk, 0708-114 115 

Om Palo Alto Networks
Palo Alto Networks är världsledande inom cybersäkerhet. Vi driver innovation för att ligga steget före alla hotaktörer och skapar trygghet för kunderna när de byter till ny teknologi. Vi levererar nästa generations cybersäkerhet till tusentals kunder i alla sektorer, över hela världen. Våra plattformar och tjänster för cybersäkerhet kompletteras av branschledande hotbildsanalys och förstärks med långt driven automation. Vårt uppdrag är att göra varje dag lite mer säker än gårdagen. Det är vad som gör Palo Alto Networks till förstavalet som partner för cybersäkerhet.

Mer information finns på www.paloaltonetworks.com.

Taggar:

Prenumerera