36 bedrifter publisert på ransomware-gruppers leak-sider de siste syv dagene. Tallet kommer fra aktiv overvåkning av kjente trusselaktører, og viser en jevn strøm av ofre på tvers av bransjer og land.

Genesis-gruppen alene står for 9 registrerte angrep i perioden. Det tilsvarer én av fire publiserte ofre, og plasserer gruppen solid på topp blant aktive ransomware-aktører akkurat nå. Tett bak følger incransom, dragonforce og safepay med 7 angrep hver, mens qilin registrerer 6.

For norske SMB-er er tallene en påminnelse: ransomware er ikke et spørsmål om hvis, men når. La oss se på hva denne uken forteller oss.

Fem grupper, samme metode

Person arbeider på datamaskin med advarsel om krypterte filer synlig på skjermen

Genesis, incransom, dragonforce, safepay og qilin opererer alle som Ransomware-as-a-Service (RaaS). De selger tilgang til krypteringsverktøy og infrastruktur til partnere som står for selve angrepene. Når et offer nekter å betale løsepenger, publiseres bedriftens navn og ofte stjålne data på gruppens leak-side som pressmiddel.

Taktikken er bevist effektiv. Frykten for offentliggjøring av kundedata, forretningshemmeligheter eller konfidensielle dokumenter får mange til å betale. Andre velger å stå imot, og da blir de til statistikk på disse sidene.

Genesis: den aggressive nykommeren

Genesis-gruppen har markert seg tydelig de siste månedene. 9 publiserte ofre på én uke er et høyt tempo, selv for etablerte aktører. Gruppen bruker klassiske inngangsveier: phishing-e-poster med infiserte vedlegg, utsatte RDP-tilkoblinger (Remote Desktop Protocol), og sårbarheter i utdatert programvare.

En gang inne i nettverket beveger angriperne seg sideveis, eskalerer rettigheter, og krypterer kritiske servere før de annonserer angrepet. Prosessen tar gjerne dager eller uker, og oftest oppdager bedriften angrepet først når filene allerede er låst.

Hva norske bedrifter kan lære

Fem aktive grupper med totalt 36 ofre på én uke betyr at angrepene skjer kontinuerlig, ikke i bølger. Det finnes ingen sesong for ransomware. Det finnes heller ingen bedriftsstørrelse som er trygg. Leak-sidene viser alt fra globale konsern til lokale håndverksbedrifter.

Tre konkrete tiltak reduserer risikoen dramatisk:

  • Offline backup. En kryptert sikkerhetskopi som ikke er tilkoblet nettverket er den eneste garantien for gjenoppretting uten løsepenger. Test gjenopprettingen kvartalsvis.
  • Steng RDP-tilgang utenfra. Bruk VPN med flerfaktor-autentisering hvis ekstern tilgang er nødvendig. RDP direkte mot internett er en åpen dør.
  • Oppdater alt, alltid. Sårbarheter i VPN-gateway, e-postsystemer og operativsystemer er førsteklasses inngangsport. Automatiser oppdateringer der det er mulig.

Deteksjon, ikke bare forebygging

Selv med god grunnhygiene kan en ansatt klikke på feil lenke. Derfor trenger du systemer som oppdager avvikende aktivitet tidlig. Uvanlig stor dataflytt ut av nettverket klokken tre om natten. Nye administratorkontoer opprettet på en søndag. Filendringer på servere som normalt står stille.

Mange SMB-er tror dette krever avansert teknologi de ikke har råd til. Det stemmer ikke. Grunnleggende loggføring fra Windows Event Log, kombinert med varsler på kritiske hendelser, gir et godt utgangspunkt. Alternativt finnes skybaserte tjenester som overvåker nettverkstrafikk for avvik.

Når angrepet kommer

Statistikken sier at mange bedrifter vil oppleve et ransomware-angrep i løpet av sin levetid. Forberedelse avgjør hvor ille det går. En incident response-plan bør minst inneholde:

  • Kontaktinfo til IT-ansvarlig, leder, og eventuell ekstern sikkerhetsleverandør
  • Rutine for å isolere infiserte maskiner fra nettverket (fysisk og logisk)
  • Beslutningsprosess for om politiet skal varsles (anbefalt i de fleste tilfeller)
  • Kommunikasjonsplan overfor kunder og leverandører hvis data er kompromittert

Øv på planen. Et ransomware-angrep skaper kaos, og ingen tar gode beslutninger under press uten trening.

Overvåk egen eksponering

Genesis, incransom og de andre gruppene får tilgang fordi noe var åpent. En utdatert plugin på nettsiden. En ansatt som brukte samme passord på jobb og privat. Et domene uten SPF-record som lot angripere sende phishing fra deres adresse.

Regelmessig skanning av egen infrastruktur avslører disse svakhetene før angriperne gjør det. Sjekk om domenet ditt har eksponerte filer, gamle SSL-sertifikater, eller DNS-records som mangler autentisering. Kontroller om ansattes e-postadresser finnes i kjente datalekkasjer, noe som gjør dem til enkle phishing-mål.

Mustvedt Sentinel tilbyr flere verktøy for dette. MAILSCAN sjekker e-postadresser mot Have I Been Pwned og LeakCheck for kompromitterte kontoer. URLSCAN gir dyp forensikk på nettsider, inkludert sårbarhetssjekk og eksponerte ressurser. For PLUSS-abonnenter kjører vi daglig domene-overvåkning som varsler om endringer i SSL, DNS, SPF/DKIM/DMARC og blokkliste-status.

Én uke, 36 ofre

Tallene fra siste syv dager er ikke eksepsjonelle. De er normale. Ransomware-gruppene opererer som bedrifter med mål, partnere og kvartalsrapporter. De optimaliserer taktikk basert på hva som fungerer. Akkurat nå fungerer det å angripe bedrifter uten backup, uten oppdatert programvare, og uten plan.

Du kan ikke stoppe Genesis-gruppen fra å finne nye ofre. Men du kan sørge for at din bedrift ikke blir ett av dem.