Qilin ransomware topper listen, 59 ofre på én uke
I løpet av siste uke har fem aktive ransomware-gjenger publisert 59 nye ofre på sine leak-sider. Qilin-gruppen står for nesten halvparten alene. Her er hva norske bedrifter må vite om dagens trussellandskap.
Qilin dominerer, igjen
Qilin har vært aktiv siden slutten av 2022, men akselererte kraftig gjennom 2024. Gruppen opererer som Ransomware-as-a-Service (RaaS), hvilket betyr at uavhengige affiliates kjøper eller leier ransomware-verktøyene og gjennomfører angrepene selv. Qilin-operatørene tar en andel av løsepengene.
25 nye ofre på én uke er høyt selv for Qilin. Gruppen går gjerne etter mellomstore bedrifter med omsetning mellom 50 og 500 millioner dollar, store nok til å betale, små nok til å mangle dedikert sikkerhetsoperasjonssenter.
Qilins taktikk er standardisert: kompromitering via utsatte RDP-porter eller phishing, lateral movement med Cobalt Strike, datastjeling før kryptering, deretter dobbel utpressing. Betaler du ikke, legges dataene ut offentlig.
TheGentlemen, 15 ofre på sju dager
TheGentlemen er en nyere aktør som dukket opp i 2024. Navnet er ironisk, gruppen er alt annet enn høflig. De har spesialisert seg på presisjonsmålrettede angrep mot bedrifter i USA og Storbritannia, men nordiske selskaper har også blitt rammet.
15 ofre på én uke indikerer at gruppen enten har skalert opp antall affiliates, eller at de har automatisert inntrengingsfasen bedre enn konkurrentene. TheGentlemen er kjent for å gå systematisk gjennom backuper, de vil være sikre på at offeret ikke kan gjenopprette uten å betale.
Play, Dragonforce og InCRansom, tre grupper med seks til syv ofre
Play-gruppen har vært aktiv siden 2022 og er kjent for minimalistiske leak-sider og aggressive tidsfrister. Syv nye ofre siste uke er normalnivå for Play.
Dragonforce (tidligere kendt som Conti-arvtager) og InCRansom holder seg på seks ofre hver. InCRansom er spesielt aktiv mot offentlig sektor og helsevesen, sektorer som historisk har slitt med å oppgradere sikkerheten raskt nok.
Hva betyr dette for norske SMB-er?
Disse tallene kommer fra leak-sider, ikke fra et komplett bilde av alle ransomware-angrep. Mange ofre betaler løsepenger uten at det blir offentlig kjent. 59 publiserte ofre på én uke betyr trolig 150, 200 faktiske angrep.
Norske SMB-er er ikke immune. Ransomware-gjenger filtrerer ikke etter land, de filtrerer etter sårbarhet. En bedrift med 30 ansatte i Drammen er like attraktiv som en i Dallas hvis VPN-en mangler multifaktorautentisering og backupene ligger på samme nettverk som produksjonsserverne.
Tre ting du kan gjøre denne uken:
- Test backupene dine. Ikke anta at de virker. Gjør en faktisk gjenopprettingstest. Hvis du ikke kan gjenopprette en hel VM på under 24 timer, har du et problem.
- Aktiver MFA overalt. RDP, VPN, e-post, admin-paneler. Ingen unntak. Passord alene stopper ingen ransomware-gruppe i 2025.
- Segmenter nettverket. Backup-servere skal ikke ha direkte tilgang til produksjonsmaskiner. Hvis en angriper får fotfeste på én maskin, skal de ikke kunne nå alt på to minutter.
Overvåkning hjelper, men bare hvis du handler på signalene
Mange ransomware-angrep starter med kompromitterte legitimasjonsdata. En ansatt bruker samme passord på LinkedIn som på bedriftens VPN. LinkedIn får et datainnbrudd. Tre uker senere logger noen inn på VPN-en din klokken 03:00 om natten.
Mustvedt Sentinel PLUSS overvåker ansattes e-postadresser daglig mot Have I Been Pwned. Når en ny lekkasje publiseres, får du varsel innen én time. Det gir deg tid til å resette passord før angriperen rekker å teste dem.
Sentinel sjekker også domenet ditt daglig for SSL-problemer, DNS-hijacking, blokkliste-oppføringer og eksponerte admin-paneler. Alt som gjør deg til et lettere mål blir flagget.
Test ansattes e-postadresser her, eller aktiver daglig overvåkning via PLUSS-abonnementet.