Datalæk og ransomware
Ransomware og datalæk – hvorfor hackerne i dag stjæler dine oplysninger
Når man hører ordet ransomware, tænker mange på computere, der pludselig bliver låst med en besked om, at der skal betales løsepenge. I dag handler ransomware dog ikke kun om låste computere. For mange virksomheder er det største problem, at hackerne først stjæler store mængder data og derefter truer med at offentliggøre dem. Derfor hænger ransomware og datalæk tæt sammen, og mange af de datalæk, som rammer danske borgere, starter netop med et ransomware-angreb.
Fra låste filer til stjålne data
Tidligere kunne en virksomhed ofte slippe relativt billigt, hvis den havde gode sikkerhedskopier. Selv om systemerne blev låst, kunne man gendanne dataene og fortsætte driften. Hackergrupperne opdagede dog hurtigt, at denne strategi gjorde det sværere at presse virksomheder til at betale.
Derfor begyndte de at ændre deres metode. I stedet for straks at låse filerne bruger de ofte dage eller uger på at undersøge virksomhedens netværk. I den periode leder de efter de mest værdifulde oplysninger, som kan bruges som pressionsmiddel senere. Det kan være kundedatabaser, medarbejderdata, kontrakter, økonomiske dokumenter, interne e-mails og andre følsomme filer.
Når dataene er kopieret ud af virksomheden, krypterer hackerne systemerne. Derefter modtager virksomheden en besked om, at den skal betale. Hvis virksomheden nægter, truer hackerne med at offentliggøre de stjålne oplysninger på internettet. Denne metode kaldes ofte double extortion, fordi virksomheden udsættes for to former for afpresning på samme tid.
Hvorfor betaler nogle virksomheder?
Det er let at tænke, at virksomheder bare kan gendanne deres systemer fra en sikkerhedskopi og fortsætte som normalt. Problemet er, at sikkerhedskopien ikke hjælper, hvis hackerne allerede har stjålet dataene. Virksomheden kan ofte genopbygge sine systemer, men den kan ikke nødvendigvis forhindre offentliggørelse af dokumenter, når først de er kopieret af kriminelle.
Hvis en hackergruppe har fået adgang til kundeoplysninger, medarbejderdata eller interne dokumenter, kan offentliggørelsen føre til store økonomiske tab, retssager, bøder og alvorlige omdømmeskader. Derfor vælger nogle virksomheder at betale i håbet om, at dataene ikke bliver offentliggjort. Der findes dog ingen garanti for, at oplysningerne ikke dukker op senere.
Colonial Pipeline – et af de mest kendte eksempler
Et af de mest kendte ransomware-angreb ramte i 2021 det amerikanske energiselskab Colonial Pipeline. Virksomheden driver en vigtig del af infrastrukturen for transport af brændstof i USA, og angrebet førte til betydelige forstyrrelser. For at få systemerne tilbage i drift betalte virksomheden omkring 4,4 millioner dollars til hackergruppen DarkSide.
Sagen blev verdenskendt, fordi konsekvenserne rakte langt ud over virksomheden selv. Mange amerikanere oplevede problemer med forsyningen af brændstof, og sagen viste, hvor stor betydning et ransomware-angreb kan få. Colonial Pipeline er samtidig et godt eksempel på, hvorfor virksomheder føler sig pressede til at betale.
Danske eksempler
Danmark har også oplevet en række alvorlige sager, hvor ransomware og datalæk hænger tæt sammen. Nordenta blev omtalt i forbindelse med et omfattende ransomware-angreb, hvor oplysninger relateret til kommunal tandpleje blev kompromitteret. Sagen vakte stor opmærksomhed, fordi oplysninger om børn og familier potentielt kunne være berørt.
Fonden DBK blev ligeledes omtalt i forbindelse med et ransomware-angreb, hvor hackerne ifølge medieomtale fik adgang til medarbejderoplysninger og løndata. En dansk rejseportal blev desuden omtalt som ramt af hackergruppen Akira. Selvom detaljerne varierer fra sag til sag, følger mange moderne ransomware-angreb det samme mønster, hvor data først stjæles og derefter bruges som pressionsmiddel.
Hvilke oplysninger forsøger hackerne at stjæle?
For mange hackergrupper er data den mest værdifulde del af angrebet. Kundedatabaser er attraktive, fordi de indeholder navne, adresser, telefonnumre og e-mailadresser. Medarbejderoplysninger kan indeholde løndata, interne dokumenter og personlige oplysninger, mens sundhedsdata og oplysninger om børn betragtes som særligt følsomme.
Selv oplysninger, som umiddelbart virker harmløse, kan være nyttige. Hvis en svindler kender dit navn, din adresse og den virksomhed, du er kunde hos, kan det gøre falske e-mails og telefonopkald langt mere troværdige.
De mest aktive ransomware-grupper
LockBit var i flere år blandt verdens mest aktive ransomware-grupper og blev sat i forbindelse med tusindvis af angreb. Gruppen blev kendt for en professionel tilgang til kriminalitet og meget store løsesumskrav.
Akira er blevet en af de mest omtalte grupper i de senere år og forbindes med flere sager omtalt i danske medier. Gruppen lægger stor vægt på datatyveri som pressionsmiddel og er et godt eksempel på, hvordan moderne ransomware i høj grad handler om datalæk.
Black Basta, Clop, Play og RansomHub er andre eksempler på grupper, der kombinerer datatyveri med afpresning. Fælles for dem er, at de forsøger at skabe størst muligt pres ved både at lamme driften og true med offentliggørelse af stjålne data.
Hvad betyder ransomware for almindelige danskere?
For de fleste danskere er den største risiko ikke, om en virksomhed betaler løsesummen. Den største risiko er, at personlige oplysninger bliver stjålet og senere misbrugt. Når oplysninger først er blevet kopieret af kriminelle, kan de cirkulere i årevis og blive brugt til phishing, identitetstyveri og andre former for svindel.
Moderne ransomware handler derfor ikke kun om it-systemer. Det handler i høj grad om mennesker, personlige oplysninger og risikoen for svindel. Mange af de datalæk, som rammer danske borgere i dag, starter med et ransomware-angreb, og derfor er det vigtigt at forstå sammenhængen mellem ransomware, datalæk og digital kriminalitet.