Gisslanprogram, eller ransomware som det kallas, är en cyberattack där kriminella tar kontroll över en organisations digitala tillgångar och kräver en lösensumma av offren för att få tillbaka sina data.

Det är också en typ av attack som förmodligen är betydligt vanligare än vad som framgått.

I en ny rapport analyserar EU:s cybersäkerhetsbyrå Enisa hotlandskapet gällande ransomware och kommer fram till slutsatsen att de rapporterade attackerna inte ger en rättvis bild av verkligheten. Det är nämligen många som är ovilliga att vilja prata om vad de utsatts för.

Enisa har analyserat 623 ransomware-attacker mellan maj 2021 och juni 2022, och konstaterar att gisslanprogrammen både blir mer effektiva och orsakar värre skada. De har hittat 47 enskilda hotaktörer.

Många offer känner att de inte har något annat väl än att betala ofta stora summor i bitcoin för att få tillbaka sina data.

Enisa konstaterar att ransomware är en enorm säkerhetsutmaning, och att det samtidigt är svårt att få en tydlig och rättvisande bild av hotlandskapet. I 94 procent av de incidenter som de analyserade var det inte möjligt att bekräfta om lösensumma betalades, något som byrån uppger ”begränsar vår förståelse och därmed vår förmåga att genomföra en ordentlig analys och mildra hotet från ransomware”.

Ytterligare en faktor som försvårar är alltså offrens ovilja att ens rapportera attacker eftersom de, enligt rapporten, ”föredrar att ta itu med problemet internt och undvika dålig publicitet”.

”Avsaknaden av tillförlitliga data från drabbade organisationer gör det väldigt svårt att helt förstå problemet eller att ens veta hur många ransomware-incidenter som sker”. I stället är de mest tillförlitliga källorna de webbplatser där ransomware-gängen publicerar data som stulits i attacker.

”Den här bristen på transparens är inte bra för branschen, eftersom den största delen data som läcker ut, vilket vi visar i rapporten, är personliga data som tillhör anställda och kunder”, skriver de vidare.

Det innebär också att det är svårt att undersöka, analysera och dra lärdomar om hur attackerna fungerar, vilket därtill gör det svårare att skydda andra organisationer från att falla offer.

Det är sällsynt med offentliga uttalanden om vad som skett under en attack och vid de tillfällen det ändå görs, så innehåller de ofta inte några detaljer.

”Ransomware frodas, och vår undersökning visar att hotaktörerna utför urskillningslösa attacker. Företag av alla storlekar inom alla sektorer drabbas. Vem som helst kan utgöra ett mål. Vi uppmanar organisationer att förbereda sig för ransomware-attacker och fundera över de potentiella konsekvenserna innan attacken inträffar”, skriver Enisa i rapporten.

Åtgärder som organisationer kan vidta för att skydda sina nätverk mot ransomware och andra cyberhot är bland annat:

Se till att användare inte använder sig av vanliga lösenord eller standardlösenord som är enkla att gissa sig till. Ge alla användare multifaktorsautentisering så att det blir svårare för inkräktare att ta sig in i nätverken även om lösenord stjäls.

Det rekommenderas också att genomföra säkerhetsuppdateringar så fort som möjligt för att förhindra cyberkriminella från att utnyttja kända opatchade sårbarheter, som kan vara en ingång för ransomware-attacker.

Enisa rekommenderar också att organisationer bör ha uppdaterade säkerhetskopior av företagsfiler och personliga data, och håll dessa isolerade från nätverket.

Hela rapporten från Enisa går att ta del av här.