57 bedrifter rammet av ransomware på én uke, 5 grupper står bak
I løpet av siste syv dager har fem ransomware-grupper publisert 57 nye ofre på sine leak-sider. Qilin, DragonForce og The Gentlemen står for over tre fjerdedeler av angrepene. Hva betyr denne aktiviteten for norske bedrifter?
Tre grupper dominerer angrepsbølgen
Qilin topper listen med 18 publiserte ofre siste uke. Gruppen har vært aktiv siden 2022 og er kjent for å kombinere datakryptering med trusler om å lekke sensitiv informasjon, såkalt dobbel utpressing. De retter seg ofte mot mellomstore bedrifter innen helsevesen, logistikk og produksjon.
DragonForce følger tett etter med 15 ofre. Denne gruppen opererer som Ransomware-as-a-Service (RaaS), noe som betyr at de leier ut sin plattform til andre kriminelle. Det gjør at angrepene kan komme fra mange forskjellige aktører samtidig, og målene varierer stort i størrelse og bransje.
The Gentlemen, med 12 ofre, er en relativt nyere aktør som har skapt seg et navn gjennom målrettede angrep og aggressive leak-strategier. Navnet er ironisk, gruppen viser ingen nåde når de truer med å publisere data.
Play og Nova kompletterer topp fem
Play ransomware står for seks ofre siste uke. Gruppen er kjent for å målrette seg mot bedrifter med dårlig segmenterte nettverk, der én kompromittert maskin gir tilgang til hele miljøet. De bruker ofte gestolne legitimasjon til å bevege seg lateralt før de krypterer.
Nova, også med seks ofre, opererer med lav profil men høy effektivitet. Gruppen har tidligere blitt observert med å utnytte sårbarheter i VPN-løsninger og Remote Desktop Protocol (RDP) som inngangsport.
Til sammen står disse fem gruppene for alle 57 publiserte ofrene i perioden. Det betyr at angrepsbølgen ikke kommer fra et bredt spekter av aktører, men fra et lite antall etablerte grupper med tydelige operasjonsmønstre.
Hva dette betyr for norske bedrifter
Når noen få grupper står for så mange angrep på kort tid, tyder det på effektive metoder og lav terskel for gjentatt suksess. Mange av ofrene deler de samme sårbarhetene: manglende multifaktorautentisering, utdatert programvare, og svak adgangskontroll.
Norske SMB-er er ikke immune. Størrelsen på bedriften spiller mindre rolle enn kvaliteten på sikkerhetskontrollen. DragonForce og Play har begge tidligere rammet norske virksomheter, og gruppene skiller ikke mellom land når de skanner etter sårbare mål.
Tre tiltak reduserer risikoen betydelig: implementer multifaktorautentisering overalt, hold kritisk programvare oppdatert, og test at backup faktisk fungerer til gjenoppretting, ikke bare til lagring. En kryptert server kan gjenopprettes på timer hvis backupen er god. Uten backup kan det bety ukesvis med nedetid eller en løsepengebetaling uten garanti for å få data tilbake.
Overvåk eksponering før angriperne gjør det
Ransomware-gruppene starter ikke med kryptering. De starter med rekognosering. De skanner etter åpne porter, utdaterte VPN-løsninger, og lekket legitimasjon fra tidligere datainnbrudd. Hvis e-postadressen din finnes i en gammel lekkasje med gjenbrukt passord, er den en potensiell inngangsport.
Mustvedt Sentinel gir norske bedrifter verktøy for å se egen eksponering som angriperne ser den. Med MAILSCAN sjekker du om bedriftens e-postadresser ligger i kjente lekkasjer. Med PORTSCAN ser du hvilke tjenester som er synlige utenfra. Og med kontinuerlig domene-overvåkning på PLUSS-abonnement får du varsler når noe endrer seg, nye sertifikater, DNS-endringer, eller eksponerte konfigurasjonsfiler.
Angrepet starter ikke når krypteringen skjer. Det starter når angriperen finner veien inn. Reduser angrepsflaten nå, før du blir nummer 58 på en leak-side.