Cyberangreb med ransomware, hvor kriminelle holder data som gidsel og forsøger at afpresse myndigheder og virksomheder, er et globalt problem, som koster millioner i tabt produktivitet hvert år. Center for Cybersikkerhed (CFCS) arbejder blandt andet med at analysere malware-typer og bruger løbende den viden i arbejdet med at styrke Danmarks cyberforsvar.

For yderligere at sætte fokus på problemet, udgiver CFCS for første gang en uddybende artikel, der er henvendt til it-professionelle med teknisk indsigt. Artiklen ser nærmere på en familie af ransomware, som centerets malwareanalytikere har arbejdet med: "Temaartikel: CFCS-sinkhole sladrer om Sodinokibi-ransomware".

CFCS' har fået mulighed for at opsætte såkaldte 'sinkholes', der kan hjælpe med at afdække, hvordan malware opfører sig uden for laboratoriet. I dette tilfælde bestod CFCS' sinkhole af et internetdomæne, som malware-familien Sodinokibi (også kendt som REvil) benytter.

Ved at sætte en server op på et afregistreret domæne, kunne CFCS' analytikere se, hvordan malwaren kommunikerer med de kriminelle bagmænd. Det kan også bruges til at få et billede af, hvor i verden malwaren er udbredt.

Malwareanalytikerne har også set nærmere på selve programkoden i eksemplarer af Sodinokibi. Her kunne analytikerne blandt andet se, at der blev brugt en solid model til kryptering af data hos ofrene. Modellen viser også, at dem, der har skabt selve Sodinokibi-malwaren, desuden er i besiddelse af en 'hovednøgle', der i princippet kan låse alle data op.

Bagmændene udvikler malwaren og stiller tilpassede varianter af den til rådighed for betroede kunder eller partnere, som så udfører selve angrebene. Denne forretningsmodel kan man læse mere om i trusselsvurderingen: "Drømmer cyberkriminelle om tillidsfulde relationer?".