De it-kriminelle skifter taktik: Sådan udvikler ransomware-angreb sig lige nu

Ransomware er de seneste års mest omtalte form for it-kriminalitet, og virksomhederne bliver bedre til at beskytte sig mod det. Men hackerne tager nye metoder i brug for at tage dine filer som gidsler.

Artikel top billede

Virksomheder og sikkerhedsfirmaer bliver bedre og hurtigere til at opdage og beskytte sig mod ransomware. Men desværre bliver de kriminelle, der udvikler og bruger ransomware også hele tiden dygtigere.

Svagheden ved ransomware har traditionelt været dens lineære arbejdsgang, der gør den forudsigelig.

“Hvis du forestiller dig alle filerne på et system som en liste, så går ransomware bare listen igennem og begynder at kryptere fra A til Z,” siger Brian Bartholomew, der er senior security researcher hos Kaspersky Lab, til Computerworlds amerikanske nyhedsbureau.

Men det er ved at ændre sig, forklarer Bartholomew i en gennemgang af, hvordan de it-kriminelle netop nu ændrer brugen af ransomware for at gøre malwaren sværere at stoppe.

Langsommere kryptering i tilfældig rækkefølge

En af de metoder, hackerne bruger til camouflere ransomware-angreb er at gøre malwaren langsommere. Ideen er, at en antivirus ikke vil kategorisere krypteringen af filerne som ransomware, hvis krypteringen foregår over længere tid.

“Du har måske en antivirus, der kategoriserer det som ransomware-angreb, hvis der etableres adgang til mere end 1000 filer indenfor 10 sekunder. Så kan hackerne sprede det ud over 10 minutter, så det ikke bliver opdaget. Det ser vi mere og mere af,” siger Brian Bartholomew.

Udover at sætte tempoet ned er hackerne også begyndt at konstruere ransomware, der krypterer filer i forskellige rækkefølger, så den undgår at blive opdaget af antivirus, der leder efter lineære mønstre.

PFD er det nye link

Email er suverænt den mest metode til spredning af ransomware, og selvom mange efterhånden er blevet tudet ørerne fulde med advarsler om ikke at klikke på links i emails, så sker det stadig. Ofte.

Alligevel er hackerne begyndt at bruge andre metoder. Den overordnede leveringsmekanisme hedder stadig email - men fordi folk bliver mere mistænksomme overfor links, bruger man for eksempel PDF eller JPEG-filer med ransomware.

“Man får en besked med det, der ligner et billede eller en kvittering vedhæftet. Det klikker folk altid på,” siger Hyder Rabbani, der er COO i sikkerhedsfirmaet Cybersight.

Låser hele harddisken

En anden udvikling inden for ransomware er at angribe selve harddisken i form af den såkaldte master boot record.

Det så man blandt andet i Petya-angrebet, der ramte A.P. Møller-Mærsk sidste år, og ifølge Brian Bartholomew er det ved at blive mere udbredt praksis.

“På den måde kan de holde hele harddisken som gidsel, uden at kryptere hver eneste fil,” siger han.

Muterende kode og flere angreb

Signaturbaseret sikkerhedssoftware er en vigtig del af mange virksomheders it-sikkerhed, men moderne ransomware kan i praksis sætte den ud af spillet. Ifølge Brian Bartholomew er hackerne i stigende grad begyndt at anvende såkaldt polymorf kode. Det vil sige, at koden ændrer sig, hver gang den kører, selvom den grundlæggende funktion forbliver den samme.

“Når du får styr på en given ransomwares signatur, bliver den lettere at stoppe. Men når koden hele tiden ændrer sig, er det meget svært,” siger Brian Bartholomew, der bakkes op af Hyder Rabbani.

Han frygter mest kombinationen af muterende kode og flertrådede ransomware-angreb. Det sidste dækker over ransomare-former, der starter flere krypteringsprocesser på samme tid.

“På den måde kan man hurtigt overvælde både processoren og hukommelsen, og derfra går det hurtigt ned ad bakke.”

Ifølge Brian Bartholomew er hackerne desuden begyndt at camouflere andre typer angreb som ransomware, ligesom man ser flere eksempler på ransomware-angreb mod ansattes mobilenheder som en vej ind i virksomhederne.

“Det er en konstant katten-efter-musen-situation.”

Læs også: Renés butik blev lagt helt ned af ransomware-angreb: “Det er pisseirriterende, men det er bare at komme videre og indhente det tabte"

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. maj 2026 ansat Steffen Bendix Søjberg som Systemkonsulent ved netIP's kontor i Rødekro. Han kommer fra en stilling som Systemadministr,og har været i branchen i mange år. Nyt job
    Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

    Jeppe Spanggaard

    Pinksky ApS