Vad är utpressningstrojan?

Artikel
03/08/2025

I praktiken blockerar en utpressningstrojanattack åtkomst till dina data tills en lösensumma betalas.

Faktum är att utpressningstrojaner är en typ av skadlig kod eller nätfiskeattack som förstör eller krypterar filer och mappar på en dator, server eller enhet.

När enheter eller filer har låsts eller krypterats kan cyberbrottslingar utpressa pengar från företagets eller enhetens ägare i utbyte mot en nyckel för att låsa upp krypterade data. Men även när de betalas kanske cyberbrottslingar aldrig ger nyckeln till företags- eller enhetsägaren, vilket stoppar åtkomsten permanent.

Microsoft Security Copilot använder AI för att minimera utpressningstrojanattacker. Fler Microsoft-lösningar på utpressningstrojaner finns i vårt bibliotek för utpressningstrojanlösningar.

Hur fungerar utpressningstrojanattacker?

Utpressningstrojaner kan automatiseras eller involvera mänskliga händer på ett tangentbord – en attack som utförs av människor, till exempel vid de senaste attackerna med lockbit-utpressningstrojaner.

Attacker med utpressningstrojaner som drivs av människor omfattar följande steg:

Inledande kompromiss – Hotaktören får först åtkomst till ett system eller en miljö efter en period av rekognosering för att identifiera svagheter i försvaret.
Beständighet och försvarsevasion – Hotaktören etablerar ett fotfäste i systemet eller miljön genom att använda en bakdörr eller annan mekanism som opererar i det fördolda för att undvika upptäckt av incidenthanteringsteam.
Lateral förflyttning – Angriparen använder det ursprungliga inträdespunkten för att förflytta sig till andra system som är anslutna till den komprometterade enheten eller nätverksmiljön.
Autentiseringsuppgiftsåtkomst – Angriparen använder en falsk inloggningssida för att samla in användar- eller systemautentiseringsuppgifter.
Datastöld – Hotskådespelaren stjäl ekonomiska eller andra data från komprometterade användare eller system.
Effekt – Den berörda användaren eller organisationen kan drabbas av materiella skador eller ryktesskador.

Vanlig skadlig kod som används i utpressningstrojankampanjer

Qakbot – Använder nätfiske för att sprida skadliga länkar och skadliga bilagor samt för att distribuera skadliga nyttolaster som Cobalt Strike Beacon
Ryuk – Datakryptering som vanligtvis riktar sig mot Windows
Trickbot – har riktat in sig på Microsoft-program som Excel och Word. Trickbot levererades vanligtvis via e-postkampanjer som använde aktuella händelser eller ekonomiska lockbeten för att locka användare att öppna skadliga filbilagor eller klicka på länkar till webbplatser som är värdar för skadliga filer. Sedan 2022 verkar Microsofts minskning av kampanjer med den här skadliga koden ha stört dess användbarhet.

Vanliga hotaktörer som är associerade med utpressningstrojanskampanjer

LockBit – ekonomiskt motiverad Ransomware-as-a-Service-kampanj (RaaS) och den mest produktiva ransomware-hotsaktören under tidsperioden 2023-24
Black Basta – Får åtkomst via spear-phishing-e-postmeddelanden och använder PowerShell för att starta en krypteringsnyttolast
Storm-1674 (DarkGate och ZLoader) - Storm-1674 är en åtkomstkö känd för att distribuera DarkGate, SectopRAT och Zloader och lämna ut åtkomst till hotaktörer som Storm-0506 och Sangria Tempest.

Under tiden är Storm-1811 en angripare känd för sociala ingenjörsattacker som leder till distributionen av BlackBasta med hjälp av Qakbot och annan skadlig kod. I slutet av oktober till början av november observerades Storm-1811 översvämma mål-e-postadresser med skräppost (e-postbombningsattack) innan de utgav sig för att vara supportpersonal som erbjöd sig att hjälpa till med skräppostproblemet. I den här nya kampanjen observerades Storm-1811 distribuera en ny laddare för skadlig kod som heter ReedBed.

Microsoft Defender-data visar att de mest utbredda utpressningstrojanvarianterna under det sista kvartalet 2024 var Akira, FOG, Qilin, Lynx och ovannämnda RansomHub och BlackBasta. Den här perioden såg också de nya utpressningstrojanvarianterna SafePay och Hellcat. Mars 2025 har bevittnat återkomsten av Qilin ransomware av hotaktören Moonstone Sleet.

Hur Microsoft kan hjälpa till med en pågående utpressningstrojanattack

För att minimera pågående utpressningstrojanattacker kan Microsoft Incident Response utnyttja och distribuera Microsoft Defender för identitet – en molnbaserad säkerhetslösning som hjälper till att identifiera och svara på identitetsrelaterade hot. Om identitetsövervakning tas med i incidenthanteringen tidigt kan den berörda organisationens säkerhetsåtgärdsteam återfå kontrollen. Microsoft Incidenthantering använder Defender for Identity för att identifiera incidentens omfattning och drabbade konton, skydda kritisk infrastruktur och avlägsna hotaktören. Svarsteamet tar sedan in Microsoft Defender för Endpoint för att spåra hotaktörens rörelser och störa deras försök att återgå till miljön med de komprometterade kontona. Efter att ha innehållit incidenten och återfått fullständig administrativ kontroll över miljön, samarbetar Microsoft Incident Response med kunden för att förhindra framtida cyberattacker.

Automatiserade utpressningstrojanattacker

Generiska utpressningstrojanattacker är ofta automatiserade. Dessa cyberattacker kan spridas som ett virus, infektera enheter via metoder som nätfiske via e-post och leverans av skadlig kod och kräva reparation av skadlig kod.

Därför kan du skydda ditt e-postsystem med hjälp av Microsoft Defender för Office 365 som skyddar mot skadlig kod och nätfiskeleverans. Microsoft Defender för Endpoint fungerar tillsammans med Defender för Office 365 för att automatiskt identifiera och blockera misstänkt aktivitet på dina enheter, medan Microsoft Defender XDR identifierar skadlig kod och nätfiskeförsök tidigt.

Attacker mot utpressningstrojaner som drivs av människor

Utpressningstrojaner som drivs av människor är resultatet av en aktiv attack av cyberbrottslingar som infiltrerar en organisations lokala eller molnbaserade IT-infrastruktur, höjer deras privilegier och distribuerar utpressningstrojaner till kritiska data.

Dessa "hands-on-keyboard"-attacker riktar sig vanligtvis till organisationer snarare än en enda enhet.

Människostyrda innebär också att det finns en mänsklig hotaktör som använder sina insikter om vanliga felkonfigurationer i system och säkerhet. De syftar till att infiltrera organisationen, navigera i nätverket och anpassa sig till miljön och dess svagheter.

Kännetecken för dessa människodrivna ransomware-attacker inkluderar stöld av autentiseringsuppgifter och lateral förflyttning med höjda privilegier i stulna konton.

Aktiviteter kan äga rum under underhållsperioder och omfatta säkerhetskonfigurationsluckor som upptäckts av cyberbrottslingar. Målet är att distribuera en utpressningstrojaners nyttolast till de resurser med hög affärspåverkan som hotaktörerna väljer.

Viktigt!

Dessa attacker kan vara katastrofala för verksamheten och är svåra att rensa upp, vilket kräver fullständig avhysning av angripare för att skydda mot framtida attacker. Till skillnad från utpressningstrojaner som vanligtvis bara kräver reparation av skadlig kod fortsätter utpressningstrojaner som drivs av människor att hota din verksamhet efter det första mötet.

Effekten och sannolikheten för att attacker med utpressningstrojaner som drivs av människor fortsätter

Skydd mot utpressningstrojaner för din organisation

Börja med att förhindra nätfiske och leverans av skadlig kod med Microsoft Defender för Office 365 för att skydda mot skadlig kod och nätfiskeleverans, Microsoft Defender för Endpoint att automatiskt identifiera och blockera misstänkt aktivitet på dina enheter och Microsoft Defender XDR för att identifiera skadlig kod och nätfiskeförsök tidigt.

Om du vill ha en omfattande vy över utpressningstrojaner och utpressning och hur du skyddar din organisation använder du informationen i PowerPoint-presentationen för projektplanen för åtgärd av utpressningstrojaner som hanteras av människor.

Följ Microsoft Incident Responses metod för förebyggande och minskning av utpressningstrojaner.

Utvärdera situationen genom att analysera den misstänkta aktivitet som varnade ditt team för attacken.
Vilken tid/datum lärde du dig först om incidenten? Vilka loggar är tillgängliga och finns det något som tyder på att aktören för närvarande har åtkomst till system?
Identifiera de berörda verksamhetsspecifika programmen (LOB) och få alla berörda system online igen. Kräver det berörda programmet en identitet som kan ha komprometterats?
Är säkerhetskopior av programmet, konfigurationen och data tillgängliga och verifieras regelbundet med hjälp av en återställningsövning?
Fastställ processen för återställning efter säkerhetsintrång (CR) för att avlägsna angriparen från systemet.

Här är en sammanfattning av Microsofts vägledning för projektplan för minskning av utpressningstrojaner som drivs av människor:

Sammanfattningen av vägledningen i projektplanen för minskning av utpressningstrojaner som drivs av människor

Riskerna med utpressningsprogram och utpressningsbaserade attacker är höga.
Men attackerna har svagheter som kan minska sannolikheten för att bli attackerad.
Det finns tre steg för att konfigurera infrastrukturen för att utnyttja angreppsbrister.

De tre stegen för att utnyttja angreppsbrister finns i Skydda din organisation mot utpressningstrojaner och utpressning för att snabbt konfigurera IT-infrastrukturen för bästa skydd:

Förbered din organisation att återhämta sig från en attack utan att behöva betala lösensumman.
Begränsa omfattningen av skador på en utpressningstrojanattack genom att skydda privilegierade roller.
Gör det svårare för en hotakterare att komma åt din miljö genom att stegvis ta bort risker.

Ladda ned affischen Skydda din organisation från utpressningstrojaner för att få en översikt över de tre faserna som skydd mot utpressningstrojanattacker.