Ransomware

Ransomware er en type malware, der krypterer offerets filer eller låser hele systemer og kræver betaling (typisk i kryptovaluta) for at gendanne adgangen. Det er en af de mest destruktive og hurtigst voksende cybertrusler globalt.

Angrebsforløb

Et ransomware-angreb følger typisk disse faser:

1. Initial adgang gennem phishing-e-mails, udnyttelse af sårbarheder eller kompromitterede fjernadgangstjenester (RDP)
2. Lateral bevægelse hvor angriberen bevæger sig gennem netværket og eskalerer privilegier
3. Dataeksfiltrering hvor følsomme data kopieres inden kryptering (double extortion)
4. Kryptering af filer og systemer
5. Løsesumskrav med trussel om at offentliggøre stjålne data

Kendte ransomware-grupper

Grupper som LockBit, BlackCat (ALPHV) og Cl0p har stået bag store angreb mod danske og europæiske organisationer. Angrebene bliver stadigt mere sofistikerede, og ransomware-as-a-service (RaaS) gør det muligt for mindre teknisk kompetente kriminelle at udføre angreb.

Ransomware i Danmark

Flere danske virksomheder og organisationer har været ramt af ransomware. Center for Cybersikkerhed (CFCS) vurderer truslen fra ransomware som meget høj. Under NIS2-direktivet er organisationer i væsentlige og vigtige sektorer forpligtet til at have beredskabsplaner for ransomware-hændelser.

Beskyttelse og respons

Effektiv ransomware-beskyttelse inkluderer: regelmæssige offline-backups (3-2-1 princippet), netværkssegmentering, patch management, endpoint detection and response (EDR), og en velafprøvet incident response-plan. Myndighederne fraråder generelt at betale løsesum, da det finansierer yderligere kriminalitet og ikke garanterer datagendannelse.