This is the Trace Id: 653da82ea19afacc0b8a05a26d858b83
Gå till huvudinnehåll
Microsoft Security

Vad är utpressningstrojaner?

Lär dig vad utpressningstrojaner är, hur det fungerar och hur du skyddar din verksamhet mot den här typen av cyberattacker.
Skydda dig mot utpressningstrojaner

Förstå utpressningstrojaner

Utpressningstrojaner är en typ av skadlig programvara, eller skadlig kod, som cyberbrottslingar använder för att blockera åtkomst till, förstöra eller publicera ett offer kritiska data såvida inte en lösensumma betalas. Traditionella utpressningstrojaner riktar sig mot både individer och organisationer, men två senaste utvecklingar, utpressningstrojaner som drivs av människor och utpressningstrojaner som en tjänst, har blivit ett större hot mot företag och andra stora organisationer.

Med mänskligt styrda utpressningstrojaner använder en grupp angripare sina sammanlagda kunskaper för att få åtkomst till företagsnätverk. Innan de installerar utpressningstrojanerna undersöker de företaget för att förstå sårbarheter och i vissa fall upptäcka ekonomiska dokument som hjälper dem att ange lösensumman.

I en modell med utpressningstrojaner som en tjänst skapar en uppsättning brottsutvecklare utpressningstrojanerna och anlitar sedan andra cyberbrottsliga dotterbolag för att hacka en organisations nätverk och installera utpressningstrojanen. De två grupperna delar upp vinsten till en avtalad taxa.

Alla utpressningstrojaner tar en betydande avgift på de angripna individerna och organisationerna. Det kan ta dagar, veckor eller till och med månader att ansluta berörda system igen, vilket leder till förlorad produktivitet och försäljning. Organisationer kan också drabbas av skada på sitt rykte hos kunder och communityn.

Viktiga insikter

  • Utpressningstrojaner är en typ av skadlig kod som krypterar data och kräver en betalning av lösensumma för att dekryptera dem.
  • Den kan spridas via nätfiskemeddelanden, skadliga webbplatser och sårbarhetspaket.
  • I mänskligt styrda utpressningstrojaner använder en grupp angripare sina sammanlagda kunskaper för att få åtkomst till företagsnätverk.
  • De två huvudsakliga typerna av utpressningstrojaner är kryptografitrojaner, som krypterar känsliga data och filer, och lås utpressningstrojaner som låser offer från sina enheter.
  • Attacker med utpressningstrojan kan orsaka betydande ekonomiska, ryktesmässiga och operativa skador för individer och företag.
  • Det finns åtgärder du kan vidta för att skydda dig mot attacker med utpressningstrojan, till exempel att använda stark säkerhetsprogramvara, säkerhetskopiera dina data och främja cybersäkerhetsmedvetenhet i din organisation.

Typer av utpressningstrojaner

Utpressningstrojaner finns i två huvudformer: utpressningstrojaner och utpressningstrojaner som är ytterligare indelade i flera undertyper.

Utpressningstrojaner som använder kryptering
I utpressningstrojan som bygger på kryptering blir offrets känsliga data eller filer krypterade, vilket innebär att de inte får åtkomst till dem om de inte betalar den begärda lösensumman. I teorin lämnar angriparen över en dekrypteringsnyckel som ger dem åtkomst till filerna eller data, men det finns ingen garanti. Många organisationer har permanent förlorat åtkomsten till sina filer även efter att ha betalat lösensumman.

Utpressningstrojaner som använder låsning
I låsbara utpressningstrojaner låser dåliga aktörer ut ett offer från sin enhet och presenterar dem med en utpressningsanteckning på skärmen med instruktioner för hur man betalar en lösensumma för att återfå åtkomsten. Den här formen av utpressningstrojan involverar vanligtvis inte kryptering, så när offret återfår åtkomsten till enheten finns de känsliga filerna och data kvar. Utpressningstrojaner med låsning används ofta på mobila enheter.

Dessa två huvudsakliga former av utpressningstrojaner tillhör följande undertyper:

Skrämmande program
Skrämmande program använder rädsla för att få folk att betala en lösensumma. I den här typen av cyberattacker utger sig de dåliga aktörer för att vara en polismyndighet och skickar ett meddelande till offer som utsätter dem för ett brott och kräver en bot.

Doxware
I Doxware stjäl dåliga aktörer personlig information och riskerar att avslöja den offentligt om en lösensumma inte betalas.

Dubbel utpressningstrojaner
I attacker med dubbla utpressningstrojaner krypterar angripare inte bara filer utan stjäl även känsliga data och riskerar att släppa dem offentligt om lösensumman inte betalas.

Wipers
Wipers riskerar att förstöra brottsoffrets data om de inte betalar lösensumman.

Så här fungerar utpressningstrojaner

De flesta attacker med utpressningstrojan följer en process i tre steg.

1. Få åtkomst
Dåliga aktörer använder olika metoder för att få åtkomst till ett företags känsliga data. En av de vanligaste är nätfiske, vilket är när cyberbrottslingar använder e-post, sms eller telefonsamtal för att lura personer att ange sina autentiseringsuppgifter eller ladda ned skadlig kod. Dåliga aktörer riktar sig också till anställda och andra användare med skadliga webbplatser som använder det som kallas ett expolateringskit för att automatiskt ladda ned och installera skadlig kod på offerenheten.

2. Kryptera data
När utpressningstrojanerna får åtkomst till känsliga data kopierar de dem och förstör den ursprungliga filen tillsammans med eventuella säkerhetskopior som de har haft åtkomst till. De krypterar sedan sin kopia och skapar en dekrypteringsnyckel.

3. Begär en lösensumma
När data inte är tillgängliga levererar utpressningstrojanen ett meddelande via en aviseringsruta som förklarar att data har krypterats och begär pengar, vanligtvis i kryptovaluta, i utbyte mot dekrypteringsnyckeln. De dåliga aktörer som är bakom dessa attacker kan också hota att släppa data till allmänheten om offer nekar att betala.

Påverkan av en attack med utpressningstrojan

Utöver de omedelbara avbrotten i verksamheten kan konsekvenserna av en attack med utpressningstrojan omfatta betydande ekonomiska förluster, ryktesskador och långsiktiga operativa utmaningar.

Ekonomiska konsekvenser
Kostnaden för att betala en lösensumma kan vara betydande och ofta nå miljontals dollar, och det finns ingen garanti för att angriparna tillhandahåller dekrypteringsnyckeln eller att den fungerar korrekt.

Även om organisationer nekar att betala lösensumman kan det fortfarande finnas stora ekonomiska kostnader. Störningarna som orsakas av en attack med utpressningstrojan kan leda till längre driftstopp, vilket kan påverka produktiviteten och potentiellt leda till förlorade intäkter. Återställning efter en attack omfattar ytterligare utgifter, inklusive kostnader för tekniska undersökningar, juridiska avgifter och investeringar i förbättrade säkerhetsåtgärder.

Ryktesskada
Kunder och partner kan förlora förtroendet för ett företag som har komprometterats, vilket leder till en minskning av kundlojalitet och potentiell förlust av framtida verksamheter. Profilerade attacker drar ofta till sig medias uppmärksamhet, vilket kan skada ett företags rykte och varumärkesbild.

Driftsutmaningar
Även med säkerhetskopior finns det en risk för dataförlust eller skada, vilket kan påverka affärskontinuitet och driftseffektivitet. Företag kan också drabbas av juridiska och regelmässiga sanktioner för att de inte kan skydda känsliga data, särskilt om de omfattas av dataskyddsförordningar som allmän dataskyddsförordning i EU eller California Consumer Privacy Act.

Exempel på utpressningstrojaner i verkligheten

Många av de mest profilerade mänskligt drivna attackerna med utpressningstrojan utförs av utpressningstrojangrupper, som använder en affärsmodell med utpressningstrojaner som en tjänst.

 
  • Sedan LockBit uppstod 2019 har den riktat in sig på olika sektorer, inklusive finansiella tjänster, sjukvård och tillverkning. Den här utpressningstrojanen är känd för sin förmåga att sprida sig själv i nätverk, vilket gör den särskilt farlig. LockBits koncernbolag har varit ansvariga för flera profilerade attacker, med hjälp av avancerade tekniker för att kryptera data och kräva lösensummor. 
  • BlackByte-attackerinbegriper ofta dubbel utpressning, där cyberbrottslingar krypterar och exfiltrerar data, vilket riskerar att publicera stulna data om lösensumman inte betalas. Den här utpressningstrojanen har använts för att rikta in sig på kritiska infrastruktursektorer, inklusive myndigheter och finansiella tjänster.
  • Gruppen bakom utpressningstrojanen Hive, som var aktiv mellan juni 2021 och januari 2023, använde dubbel utpressning och riktade vanligtvis in sig på offentliga institutioner och kritisk infrastruktur, inklusive sjukvårdsinrättningar. I en stor framgång mot cyberbrott infiltrerade FBI Hives nätverk 2022, och hämtade dekrypteringsnycklar och förhindrade över 130 miljoner USD i utpressningskrav. 
  • Utpressningstrojanen Akira är en sofistikerad skadlig kod som har varit aktiv sedan början av 2023 och som riktar sig till både Windows- och Linux-system. Dåliga aktörer använder Akira för att få initial åtkomst via sårbarheter i VPN-tjänster, särskilt de som inte har multifaktorautentisering. Sedan den dök upp har Akira påverkat över 250 organisationer och begärt cirka 42 miljoner USD i utpressningsbetalningar.
 
Förebyggande

Strategier för förebyggande och skydd mot utpressningstrojaner

Skydda dina slutpunkter och moln

Det bästa sättet att skydda sig är med förebyggande åtgärder. Många attacker med utpressningstrojan kan identifieras och blockeras med en betrodd lösning för slutpunktsidentifiering och svar, till exempel Microsoft Defender för Endpoint. XDR-lösningar (Extended Detection and Response), till exempel Microsoft Defender XDR, går utöver Endpoint Protection för att hjälpa dig att skydda dina enheter, e-post, samarbetsappar och identiteter. Och med så mycket verksamhet i molnet är det viktigt att skydda all molninfrastruktur och alla appar med en lösning som Microsoft Defender för molnet.

Ordna regelbundna utbildningstillfällen

Håll medarbetarna informerade om hur man upptäcker tecken på nätfiske och andra attacker med utpressningstrojaner genom regelbunden utbildning. Följ upp med regelbundna nätfiskesimuleringar för att förstärka inlärningen och identifiera möjligheter till ytterligare utbildning. Detta hjälper dina anställda att lära sig säkrare metoder för arbetet och hur de kan vara säkrare när de använder sina personliga enheter.

Inför en Nolltillit-modell

En modell för nolltillit förutsätter att varje åtkomstbegäran, även de som kommer inifrån nätverket, är ett potentiellt hot. Principerna för nolltillit omfattar att uttryckligen verifiera genom kontinuerlig autentisering, framtvinga åtkomst med lägsta behörighet för att minimera behörigheter och anta intrång genom att implementera starka inneslutnings- och övervakningsåtgärder. Den här extra granskningen minskar sannolikheten för att en skadlig identitet eller enhet får åtkomst till resurser och installerar utpressningstrojaner.

 Gå med i en grupp för informationsdelning

Grupper för informationsdelning, som ofta organiseras efter bransch eller geografisk plats, uppmuntrar organisationer med liknande struktur att arbeta tillsammans med lösningar för cybersäkerhet. Grupperna erbjuder också organisationer olika fördelar, till exempel incidenthantering och tjänster för digital kriminalteknik, hotinformation och övervakning av offentliga IP-intervall och domäner.

Spara säkerhetskopior offline

Eftersom en del utpressningstrojaner försöker leta upp och ta bort alla onlinesäkerhetskopior du kan ha, är det en bra idé att ha en uppdaterad offlinesäkerhetskopia av känsliga data som du regelbundet testar för att se till att den går att återställa om du skulle drabbas av en attack med en utpressningstrojan.

Se till att programvaror är uppdaterade

Förutom att hålla alla programlösningar mot skadlig kod uppdaterade ska du se till att ladda ned och installera alla andra systemuppdateringar och programvarukorrigeringar så snart de är tillgängliga. Detta bidrar till att minimera eventuella säkerhetsbrister som en cyberbrottsling kan utnyttja för att få åtkomst till ditt nätverk eller dina enheter.

Skapa en plan för incidenthantering

En plan för incidenthantering ger dig steg att vidta i olika attackscenarier så att du kan återgå till att fungera normalt och säkert så snart som möjligt.

Åtgärder mot angrepp med utpressningstrojaner

Om du drabbas av ett angrepp med en utpressningstrojan finns det olika alternativ för åtgärder och borttagning.

Isolera de data som infekterats
Så snart du har möjlighet ska du isolera komprometterade data för att förhindra att utpressningstrojanen sprider sig till andra delar av nätverket.

Kör ett program mot skadlig kod
När du har isolerat alla infekterade system använder du ett program mot skadlig kod för att ta bort utpressningstrojanen.

Dekryptera filer eller återställa säkerhetskopior
Om möjligt kan du använda dekrypteringsverktyg som tillhandahålls av polismyndigheter eller säkerhetsforskare för att dekryptera filer utan att betala lösensumman. Om dekryptering inte är möjligt återställer du filer från dina säkerhetskopior.

Rapportera attacken
Kontakta de lokala polismyndigheterna och rapportera attacken. I USA är det dittlokala FBI-kontor, IC3, eller Secret Service. Även om det här steget förmodligen inte löser dina omedelbara problem är det viktigt eftersom de här myndigheterna aktivt spårar och övervakar olika attacker. Att ge dem information om din upplevelse kan vara användbart i deras arbete med att hitta och lagföra en cyberbrottslighet eller en cyberbrottsgrupp.

Var försiktig med att betala lösensumma
Även om det kan vara frestande att betala lösensumman, finns det ingen garanti för att cyberbrottslingen håller löftet och ger dig tillgång till dina data. Säkerhetsexperter och jurister rekommenderar att offren för utpressningstrojaner inte betalar den begärda lösensumman, eftersom de därigenom bäddar för hot mot framtida offer och aktivt ger stöd åt den kriminella världen.
RESURSER 

Utforska Microsoft Security

Skydda din organisation från komplexa utpressningstrojaner med enhetliga AI-baserade lösningar för skydd mot hot och beprövade metodtips.
En kvinna i en grön tröja som tittar på en dator.
Lösning

Skydd mot utpressningstrojaner

Exponera och svara på sofistikerade cyberattacker i din miljö med flera moln och plattformar.
Mer information
En man sitter vid ett skrivbord med en bärbar dator.
Lösning

Överblicka hot med AI-drivna, enhetliga SecOps

Få XDR och säkerhetsinformation och händelsehantering – allt på en plattform.
Mer information
En bärbar dator på ett bord.
Produkt

Skydda hela företaget med Microsoft Defender XDR

Skydda dina slutpunkter, identiteter, molnappar och data mot cyberattacker.
Mer information
En man med glasögon och skägg som håller i papper framför en bärbar dator.
Produkt

Skydda ditt småföretag med Microsoft Defender för företag

Skydda dig mot sofistikerade angrepp med hjälp av utpressningstrojaner på enheter med nästa generations antivirus- och AI-baserade slutpunktsidentifiering och svar i företagsklass.
Mer information
En kvinna och en man tittar på en bärbar dator.
Portalen för skydd mot hot

Nyheter om cybersäkerhet och AI

Upptäck de senaste trenderna och bästa metoderna inom skydd mot cyberhot och säkerhet AI.
Hämta de senaste resurserna
Tillbaka till avsnittet RESURSER

Vanliga frågor och svar

  • Utpressningstrojaner är en typ av skadlig kod som krypterar värdefulla data och kräver en betalning av lösensumma i utbyte mot dekryptering.
  • Tyvärr kan i stort sett alla som har onlineuppkoppling bli offer för ett angrepp med utpressningstrojaner. Personliga enheter och företagsnätverk är båda vanliga mål för cyberbrottslingar.
  • Traditionella attacker med utpressningstrojaner sker när en individ luras att interagera med skadligt innehåll, till exempel öppna ett infekterat e-postmeddelande eller besöka en skadlig webbplats, som installerar en utpressningstrojan på enheten.
    I en attack med en mänskligt styrd utpressningstrojan är det en grupp angripare som inriktar sig på och gör intrång i organisationens känsliga data, ofta genom stulna autentiseringsuppgifter.
    Med både utpressningstrojaner som bygger på social manipulering respektive mänskligt styrda utpressningstrojaner får individen eller organisationen ett meddelande om lösensumma som visar vilka data som stulits och kostnaden för att få tillbaka dem. Att betala lösensumman är dock ingen garanti för att dina data återlämnas eller att framtida intrång förhindras.
  • Konsekvenserna av en attack med utpressningstrojaner kan vara förödande. På både individ- och organisationsnivå kan offren känna sig tvingade att betala höga lösensummor utan någon garanti för att deras data kommer att återlämnas till dem eller att ytterligare angrepp sker. Om en cyberbrottsling läcker en organisations känsliga information kan deras rykte skadas så att de inte längre anses tillförlitliga. Beroende på typen av information som läckt och organisationens storlek kan även tusentals individer löpa risken att bli offer för identitetsstöld eller andra cyberbrott.
  • Cyberbrottslingar som infekterar offrens enheter med utpressningstrojaner vill ha pengar. De begär ofta lösensummor i kryptovalutor på grund av anonymiteten och att de inte går att spåra. När en person är riktad kan lösensumman vara hundratals eller tusentals amerikanska dollar. Kampanjer med utpressningstrojaner som drivs av människor kräver ofta miljontals amerikanska dollar.
  • De drabbade ska anmäla attacker med utpressningstrojaner till de lokala polismyndigheterna. I USA är det dittlokala FBI-kontor,IC3, eller Secret Service. Säkerhetsexperter och polismyndigheter rekommenderar att de som drabbas inte betalar lösensumman – om du redan har betalat ska du omedelbart kontakta din bank och lokala myndigheter. Banken kanske kan blockera betalningen om du betalade med kreditkort.

Följ Microsoft Security