I løpet av siste syv dager har 57 bedrifter blitt publisert på ransomware-gruppenes leak-sider. Fem aktive grupper står bak angrepene, og tre av dem, Qilin, DragonForce og The Gentlemen, står alene for 45 av ofrene.
Tallene kommer fra kontinuerlig overvåkning av kjente leak-sider, der ransomware-gjenger publiserer stjålne data når ofre ikke betaler løsepenger. Aktivitetsnivået gir et bilde av hvilke aktører som er mest aggressive akkurat nå, og hva norske bedrifter bør forberede seg på.
Tre grupper dominerer angrepsbølgen
Qilin topper listen med 18 publiserte ofre siste uke. Gruppen har vært aktiv siden 2022 og er kjent for å kombinere datakryptering med trusler om å lekke sensitiv informasjon, såkalt dobbel utpressing. De retter seg ofte mot mellomstore bedrifter innen helsevesen, logistikk og produksjon.
DragonForce følger tett etter med 15 ofre. Denne gruppen opererer som Ransomware-as-a-Service (RaaS), noe som betyr at de leier ut sin plattform til andre kriminelle. Det gjør at angrepene kan komme fra mange forskjellige aktører samtidig, og målene varierer stort i størrelse og bransje.
The Gentlemen, med 12 ofre, er en relativt nyere aktør som har skapt seg et navn gjennom målrettede angrep og aggressive leak-strategier. Navnet er ironisk, gruppen viser ingen nåde når de truer med å publisere data.
Play og Nova kompletterer topp fem
Play ransomware står for seks ofre siste uke. Gruppen er kjent for å målrette seg mot bedrifter med dårlig segmenterte nettverk, der én kompromittert maskin gir tilgang til hele miljøet. De bruker ofte gestolne legitimasjon til å bevege seg lateralt før de krypterer.
Nova, også med seks ofre, opererer med lav profil men høy effektivitet. Gruppen har tidligere blitt observert med å utnytte sårbarheter i VPN-løsninger og Remote Desktop Protocol (RDP) som inngangsport.
Til sammen står disse fem gruppene for alle 57 publiserte ofrene i perioden. Det betyr at angrepsbølgen ikke kommer fra et bredt spekter av aktører, men fra et lite antall etablerte grupper med tydelige operasjonsmønstre.
Hva dette betyr for norske bedrifter
Når noen få grupper står for så mange angrep på kort tid, tyder det på effektive metoder og lav terskel for gjentatt suksess. Mange av ofrene deler de samme sårbarhetene: manglende multifaktorautentisering, utdatert programvare, og svak adgangskontroll.
Norske SMB-er er ikke immune. Størrelsen på bedriften spiller mindre rolle enn kvaliteten på sikkerhetskontrollen. DragonForce og Play har begge tidligere rammet norske virksomheter, og gruppene skiller ikke mellom land når de skanner etter sårbare mål.
Tre tiltak reduserer risikoen betydelig: implementer multifaktorautentisering overalt, hold kritisk programvare oppdatert, og test at backup faktisk fungerer til gjenoppretting, ikke bare til lagring. En kryptert server kan gjenopprettes på timer hvis backupen er god. Uten backup kan det bety ukesvis med nedetid eller en løsepengebetaling uten garanti for å få data tilbake.
Overvåk eksponering før angriperne gjør det
Ransomware-gruppene starter ikke med kryptering. De starter med rekognosering. De skanner etter åpne porter, utdaterte VPN-løsninger, og lekket legitimasjon fra tidligere datainnbrudd. Hvis e-postadressen din finnes i en gammel lekkasje med gjenbrukt passord, er den en potensiell inngangsport.
Mustvedt Sentinel gir norske bedrifter verktøy for å se egen eksponering som angriperne ser den. Med MAILSCAN sjekker du om bedriftens e-postadresser ligger i kjente lekkasjer. Med PORTSCAN ser du hvilke tjenester som er synlige utenfra. Og med kontinuerlig domene-overvåkning på PLUSS-abonnement får du varsler når noe endrer seg, nye sertifikater, DNS-endringer, eller eksponerte konfigurasjonsfiler.
Angrepet starter ikke når krypteringen skjer. Det starter når angriperen finner veien inn. Reduser angrepsflaten nå, før du blir nummer 58 på en leak-side.