Siste sju dager har ransomware-grupper publisert 99 nye ofre på sine leak-sider. Tallene er ikke en prognose, men registrerte hendelser, bedrifter som fikk stjålet data, nektet å betale løsepenger, og nå har konfidensielle filer liggende åpent på dark web.
Mekanikken bak disse sidene er enkel og brutal: stjel data, krypter systemene, sett en frist. Betaler bedriften ikke, publiseres alt. Dette kalles double extortion, og det fungerer fordi trusselen om offentliggjøring ofte er verre enn tapet av tilgang til egne systemer.
Her er hvordan prosessen faktisk foregår, og hva som skjer hvis bedriften din havner på en slik side.
Trinnene fra angrep til publisering
En ransomware-kampanje følger et forutsigbart mønster. Angriperne kommer inn gjennom phishing, ukrypterte RDP-porter eller kompromitterte VPN-er. Når de først har tilgang, bruker de dager eller uker på å kartlegge nettverket og lokalisere verdifulle data.
Før krypteringen starter, eksfiltrerer de gigabyte med filer. Kontrakter, kundelister, lønnsslipp, strategidokumenter, kildekode. Alt som kan skape trykk. Først deretter låses systemene, og offeret får en melding: betal innen X dager, ellers publiseres alt.
Leak-siden som pressverktøy
Hver større ransomware-gruppe driver sin egen leak-side på dark web. LockBit, ALPHV/BlackCat, Cl0p, de har alle egne domener, ofte hostet som Tor hidden services. Sidene ligner på pressemeldinger: bedriftsnavn, logo, beskrivelse av hva som ble stjålet, og en nedtelling.
Offeret får vanligvis syv til fjorten dager før første dataeksempel publiseres. Deretter kommer nye leak-pakker ukentlig, ofte med medfølgende pressemeldinger som forklarer hvorfor bedriften «valgte» å ikke beskytte kundenes data. Språket er iscenesatt for å lage omdømme-skade.
Hva som publiseres
Innholdet varierer, men følger et mønster. Først kommer bevis på innbrudd: et utvalg av mapper, screenshots av nettverk, eller en liste over kompromitterte servere. Deretter kommer sensitiv informasjon i økende alvorlighetsgrad.
Eksempler fra faktiske leak:
- Kundelister med kontaktinformasjon og kjøpshistorikk
- Ansattes pass- og personnumre fra HR-systemer
- Interne e-poster og strategidokumenter
- Regnskapsfiler, faktura, og bankinformasjon
- Kildekode eller produktdesign
Dataen pakkes i torrents eller direktenedlastinger. Når den først er publisert, sprer den seg raskt, andre kriminelle laster ned kopier, og ingenting kan kalles tilbake.
Hvorfor double extortion fungerer
Tradisjonell ransomware krypterte bare filer. Hadde bedriften backup, kunne de gjenopprette uten å betale. Double extortion fjernet den sikkerhetsventilen. Selv med god backup må bedriften nå vurdere konsekvensene av at data blir offentlig.
For mange er den beregningen enkel: løsepenge-kravet er 500 000 dollar, men GDPR-bøter ved personvernlekkasje starter på 20 millioner euro. Tap av kundetillit, søksmål, og omdømme-skade kan overstige begge tall.
Angriperne vet dette, og justerer kravene deretter. Mindre bedrifter får lavere summer, men alltid kalibrert til å være billigere enn alternativet.
Når publisering ikke er nok
Enkelte grupper har gått lenger. ALPHV/BlackCat introduserte «triple extortion», hvor de kontakter bedriftens kunder direkte og varsler om lekkasjen. Andre har ringt styremedlemmer på privat telefon, eller meldt bedriften til tilsynsmyndigheter for å øke presset.
LockBit kjørte i perioder en slags «affiliate-program» hvor tredjeparter kunne bruke deres krypterings-verktøy og publisere ofre på LockBits leak-side. Det gjorde sporingen vanskeligere og økte volumet av angrep.
Hva gjør du hvis bedriften din havner der
Hvis dere oppdager at bedriften er publisert på en leak-side, er første skritt å ikke panikere. Dataen er allerede ute, men håndteringen av situasjonen avgjør hvor ille konsekvensene blir.
Dokumenter alt: ta screenshots av leak-siden, last ned eventuelle publiserte filer for analyse, logg tidspunkter. Varsle politiet umiddelbart. I Norge går slike saker via Kripos' NC3-enhet. Hvis personopplysninger er involvert, må dere også melde til Datatilsynet innen 72 timer.
Ikke kommuniser med angriperne med mindre dere har ekstern bistand fra et respons-team med erfaring. Forhandlinger foregår i krypterte chatter, og språket dere bruker kan bli mot dere i offentligheten senere.
Teknisk respons
Samtidig må dere isolere kompromitterte systemer. Koble fra infiserte maskiner fra nettverk, men slå dem ikke av, volatile data i RAM kan være kritisk for etterforskning. Engasjer et forensics-team til å finne hvordan angriperne kom inn.
Gjenopprett fra backup kun etter at inngangspunktet er tettet. Ellers risikerer dere at angriperne kommer tilbake.
Overvåkning som forebygging
Du kan ikke stoppe alle angrep, men du kan redusere tiden det tar å oppdage et pågående innbrudd. Jo raskere dere oppdager eksfiltrering, jo mindre data rekker angriperne å ta. Det krever logging av nettverkstrafikk, overvåkning av bruker-aktivitet, og alerter på unormal dataflyt.
Sentinel PLUSS får kontinuerlig dark web-overvåkning som varsler hvis bedriftens domene eller e-postadresser dukker opp i nye leak. Funksjonen er under utvikling, men allerede nå kan dere kjøre on-demand SpiderFoot-søk for å sjekke om bedriften deres er nevnt i kjente databaser.
Start med å scanne bedriftens e-postadresser via MAILSCAN for å se om noen allerede ligger i publiserte lekkasjer. Det tar 30 sekunder, og resultatene er ofte overraskende.