Cybersikkerhet
Løsepenger Godkjent: 5 Offentlige Selskaper Som Betalte Av Cyberangripere
Et økende antall organisasjoner opplever en ransomware-angrep. Ifølge Sophos, 59% av organisasjonene opplevde ett i 2024 og majoriteten av dem (70%) resulterte i datakryptering.
Ikke bare antall ransomware-angrep, men også betalingsbeløpet har økt. Median ransomware-betaling var mindre enn $200k i 2023, som økte 650% til $1,5 million på omtrent ett år, ifølge IBM-data.
Disse angrepene forventes å koste $275 milliarder i globale skader årlig innen 2031. Så, hva er ransomware-angrep?
Ransomware er en type malware, skadelig programvare designet for å blokkere en organisasjons tilgang til sine systemer eller kryptere dens data.
For å gjøre dette, infiserer angriperne et system med en virus, som de bruker til å sende phishing-e-poster som kan inneholde en skadelig lenke eller stjele en ansatts innloggingsinformasjon for å få uautorisert tilgang til bedriftens nettverk.
I bytte mot dekrypteringsnøkler eller gjenoppretting av tilgangen til systemet, krever cyberkriminelle løsepenger fra ofrene. Organisasjoner blir satt i en vanskelig situasjon hvor å betale løsepenger ser ut som den enkleste og mest kostnadseffektive måten å få tilgangen tilbake.
Noen ransomware-varianter har lagt til funksjoner som datastøt, som gir enda en incitament til å betale løsepenger. Men i noen høyprofilerte saker kunne å betale løsepenger faktisk være den minst skadelige valget, til tross for risikoen.
Selskaper Som Betalte Løsepenger For Å Beskytte Kunder
Selv om å gå med på angripernes krav og betale løsepenger ikke er den ideelle måten å håndtere cyberkriminalitet, da det ikke bare ikke garanterer trygg returnering av stjålet data eller gjenoppretting av enhetens operasjoner, men det oppmuntret også til flere cyberangrep, noen ganger er det ingen annen valg enn å beskytte bedriften og kunder.
Med det, la oss nå se på noen av de mest høyprofilerte cyberkriminalitetssakene hvor selskapene betalte løsepenger og alt som skjedde etterpå.
1. CNA Financial Corp (CNA )
Et av de største forsikringsselskapene i USA, CNA Finance Corp., ble offer for en ransomware-angrep i mars 2021. Det betalte en løsepenger på $40 millioner i Bitcoin (BTC), den største offentliggjorte ransomware-utbetalinger noensinne, for å gjenopprette kontrollen etter å ha blitt låst ute av sine systemer i to uker.
Angrepet kom fra en cyberkriminell gruppe kalt Phoenix, som opprinnelig krevde en løsepenger for 999 BTC (omtrent $55 millioner på den tiden) før de økte det til 1099 BTC, og sa:
“Wasting time. The cost went up.”
Angriperne hevdet at dataene de hadde var viktige og at “Det vil ramme hardt hvis det blir lekket.” Løsepenger ble krevd i bytte mot ikke å offentliggjøre tyveriet, returnere data, slette kopier av de stjålne dataene og gjenopprette alt.
Men hvordan skjedde bruddet egentlig? Vel, det skyldtes en liten svakhet i sikkerheten som ledet til en så stor hendelse. Angriperne overbeviste faktisk en enkelt CNA-ansatt om å akseptere en falsk nettleseroppdatering. De flyttet deretter raskt til å deaktivere systemet, og angrepet kunne ikke bli oppdaget umiddelbart.
Det tok faktisk CNA noen uker å oppdage at de hadde blitt hakket. I denne tiden stjal angriperne kundedata og låste CNA ute av deres nettverk.
Selskapet ga ikke noen oppdatering, før en uke etter at angrepet skjedde. De publiserte deretter en oppdatering som forklarte at angrepet hadde blitt begrenset og at de arbeidet med å gjenopprette normalt virksomhet. To uker senere ble det avdekket at endpoint-deteksjons- og overvåkingsverktøy hadde blitt deployert som en del av gjenopprettingsprosessen.
To måneder etter angrepet, ga CNA ut sin hendelsesrapport, hvor det ble notert at det ikke var et målrettet angrep. Og etter å ha oppdaget ransomware, koblet selskapet sine systemer fra nettverket for å stoppe trusselen fra å spre seg til andre systemer og utenfor enheter.
En couple måneder etter det, kunngjorde forsikringsselskapet at deres etterforskning var avsluttet, som avdekket at trusselaktøren kopierte informasjon før de deployerte ransomware, men at de raskt gjenopprettet informasjonen og ikke har “noen grunn til å tro at informasjonen har eller vil bli misbrukt.”
Det Chicago-baserte forsikringsselskapet konsulterte også regjeringen, inkludert FBI og Office of Foreign Assets Control (OFAC), om angrepet. I en uttalelse sa de: “CNA fulgte alle lover, reguleringer og offentliggjorte retningslinjer, inkludert OFACs 2020 ransomware-retningslinjer, i håndtering av denne saken,” men kommenterte ikke løsepenger.
Ifølge denne retningslinjen kunne byrået påføre sivile straffer på amerikanske personer som betaler til forbudte enheter.
Selskapets etterforskning avdekket at en trusselgruppe kalt Phoenix brukte Phoenix Cryptolocker ransomware for å angripe deres nettverk. På den tiden var gruppen ikke underlagt amerikanske sanksjoner.
(CNA )
CNA er et selskap med en markedskapital på $13 milliarder, hvis aksjer, per skriving, handles til $48,16, ned 0,43% år-til-dato (YTD), men opp 32,27% de siste to årene. Med det har det en EPS (TTM) på 3,28, en P/E (TTM) på 14,67 og en ROE (TTM) på 8,98%. CNA-aksjonærer nyter også en anstendig 3,82% utbytte.
Deres siste kvartalsfinanser viser et nettoresultat på $274 millioner og et core-resultat på $281 millioner.
2. Caesars Entertainment (CZR )
Casino-underholdningsselskapet betalte $15 millioner i løsepenger til en cyberkriminell gruppe kalt Scattered Spider, samme trusselaktør som tok ned MGMs datamaskinsystem bare dager etter å ha mottatt løsepenger fra Caesars Entertainment. Angriperne krevde også løsepenger fra MGM, men de betalte ikke.
I Caesars’ tilfelle, som ble rapportert i en innleggning til USAs Securities and Exchange Commission (SEC), krevde angriperne en løsepenger på $30 millioner, men selskapet gikk med på å betale bare halvparten av det, som delvis ble dekket av selskapets cyberforsikringspoliser. Selskapet forventet ikke betalingen eller følgeeffekten å ha en materiell effekt på deres bottom line.
Angrepet skjedde i midten av august 2023 og ble utført av Scattered Spider, også kjent som UNC3944 eller Roasted 0ktapus. Gruppen, bestående av unge hackere basert i USA og Storbritannia som er dyktige i sosial ingeniring, har vært koblet til angrep på andre selskaper, inkludert Cloudflare, Twilio og Okta.
For å målrette Caesars, overbeviste hackerne en ekstern IT-leverandør. For dette, overbeviste angriperne en Caesars-ansatt om å gi innloggingsinformasjon til Okta, Caesars’ tilgangsadministrasjonsleverandør.
Dette ga cyberkriminelle uautorisert tilgang til hotel- og casinogigantens nettverk. De stjal deretter data fra Caesars’ lojalitetsmedlemmer, som inkluderte førerkort og sosiale sikkerhetsnumre, før de deployerte BlackCat/ALPHV-ransomware. Det var ingen bevis for at angriperne fikk tilgang til PIN-koder, passord, bankkonto eller betalingskortdata, sa selskapet.
Reuters rapporterte derimot at Scattered Spider-hackergruppen sa at de tok seks terabyte data fra Caesars og MGMs systemer.
“We have taken steps to ensure that the stolen data is deleted by the unauthorized actor, although we cannot guarantee this result.”
– Caesars sa i innleggningen
Selv om selskapet ikke offentliggjorde hvor mange kunder som ble berørt, listen bare under 42 000 personer berørt. På den tiden rapporterte Bloomberg at Caesars betalte løsepenger etter at trusselgruppen hakket det og truet med å offentliggjøre selskapsdata.
Senere i september hadde selskapet gjenopprettet normal drift. Likevel, i etterkant, møtte Caesars finansiell og reputasjonsmessig skade, samt flere gruppesøksmål som anklaget selskapet for uaktsomhet og urettferdig beriking for ikke å ha sikret personlige data til gjestene.
(CZR )
Med en markedskapital på bare over $6 milliarder, handles CZR-aksjer nå til $29,41, ned 12% så langt i år. Aksjekursene er også langt fra toppen i 2021 på om lag $119. EPS (TTM) er -1,10, og P/E (TTM) er -26,80%.
Vedrørende selskapets finansielle resultater, var GAAP-nettoinntekter for Q1 2025 på $2,8 milliarder, og justert EBITDA økte 4% år-til-år til $43 millioner “drevet av betydelige gevinster” i deres digitale segment.
3. Blackbaud Inc. (BLKB )
I 2020 infiltrerte cyberkriminelle Blackbauds servere, et selskap som tilbyr programvare for nonprofit- og utdannelsesinstitusjoner, og kompromitterte data fra over 13 000 organisasjoner. Sør-Carolina-baserte selskap betalte en løsepenger på $235 000 i BTC til hackerne på løftet om å slette personlige kundedata.
Cyberangrepet skjedde i februar det året, men det ble ikke oppdaget før noen måneder senere i mai. Da var allerede berørte organisasjoner i ferd med å håndtere forstyrrelser forårsaket av COVID-19-pandemien.
Cyberkriminelle målrettede Blackbauds servere for å få tilgang til selskapets system. Med Blackbaud uvitende om bruddet, kunne angriperne operere uoppdaget i måneder, under hvilke de krypterte data og eksfiltrerte en undergruppe av dem.
Da kundesammenhengsforvaltnings-tjenesteleverandøren endelig oppdaget at de hadde blitt hakket, som skjedde mens Blackbaud utførte rutinemessige sikkerhetssjekker, implementerte de tiltak for å forhindre ytterligere skade.
I juli gjorde selskapet en offentlig bekreftelse om å ha lidd et ransomware-angrep. Blackbaud kunngjorde at utdannings- og tredje-sektor organisasjoner kanskje hadde hatt deres data kompromittert, noe som, naturligvis, sendte sjokkbølger gjennom berørte samfunn og vekket bekymring om sikkerheten til følsomme donatorinformasjon.
Selskapet forhindrede kriminelle fra å fullstendig kryptere filer og blokkere systemtilgang, men de hadde allerede fjernet en sikkerhetskopi som inneholdt personlige opplysninger.
Blackbaud garanterte at bankkonto- eller betalingskortdetaljer ikke var berørt, men at mye informasjon, som navn, adresser, kontaktinformasjon, sosiale sikkerhetsnumre og estimert rikdom, blant annet, faktisk var involvert i datalekkasjen.
Selskapet innrømmet også å ha betalt en løsepenger for å hente tilbake data og beskytte kundenes interesser.
Etter angrepet, startet Federal Trade Commission (FTC) en etterforskning og trodde det var forårsaket av “Blackbauds dårlige sikkerhet og dataoppbevaringspraksis.”
Ifølge FTC-klagen, sviktet selskapet å implementere de mest grunnleggende sikkerhetspraksisene, fulgte ikke Blackbauds egen politikker vedrørende dataoppbevaring, og tillot kunder å lagre kritisk data som bankkontoer i ukrypterte felt. Byrået hevdet også at Blackbaud betydelig misrepresenterte hendelsens omfang og alvorlighet.
I 2024 FTC og Blackbaud inngikk en avtale, som ikke involverte en finansiell straff, men snarere krevde at selskapet slettet data de ikke lenger trengte, utviklet et omfattende informasjonssikkerhetsprogram, og varslet FTC hvis det skjer en fremtidig datalekkasje.
Blackbauds avtale med SEC, derimot, involverte en $3 millioner bot for å gi misvisende informasjon om lekkasjen. Selskapet inngikk også en avtale på $49,5 millioner med 50 delstatlige advokater generalsak om HIPAA-brudd.
(BLKB )
Vedrørende Blackbauds markedsprestasjoner, handles aksjene nå til $63,76, ned 13,74% år-til-dato, noe som setter markedskapitalen på $3 milliarder. Med det har det en EPS (TTM) på -5,83 og en P/E (TTM) på -10,94.
I Q1 2025, oppnådde selskapet en organisk omsetningsvekst på 5,8%, og rapporterte $271 millioner i omsetning. Blackbaud er også opptatt av å investere i innovasjon, spesielt i AI, for å øke internt produktivitet og kundeoperasjoner.
4. UnitedHealth Group (UNH )
Helseforsikringsselskapet, UnitedHealth Group Incorporated, har hatt en tøff tid de siste ett og et halvt året. Det startet i februar 2024, da dets datterselskap, Change Healthcare, lidd et cyberangrep.
UnitedHealth Group opererer gjennom to segmenter: UnitedHealthcare, som fokuserer på helseforsikring, og Optum, som tilbyr teknologitjenester, direkte helse-tjenester og apotek-tjenester gjennom Optum Insight, Optum Health og Optum Rx.
I 2022, kjøpte UnitedHealth Group Change Healthcare-plattformen og integrerte den i Optum Insight. Selskapet prosesserer så mange som 15 milliarder medisinske krav per år, noe som utgjør omtrent 40% av alle krav, så du kan forestille deg forstyrrelsen et angrep på Change Healthcare kan forårsake.
I februar, infiserte ransomware Change Healthcares systemer, gjorde dem utilgjengelige og forårsaket kaos i USAs helsevesen. Det var ikke før flere måneder senere, i november, at selskapet var i stand til å gjenopprette full drift.
Angrepet startet den 12. februar, ifølge den daværende CEO, Andrew Witty, som fortalte Kongressen at angrepet først startet den 12. februar. Angriperne brukte kompromitterte legitimasjoner for å få tilgang til Change Healthcares Citrix-portal, som ble brukt til fjernskrivebordsforbindelser og ikke hadde 2FA aktivert. En liten feil som ville koste UNH milliarder.
Derfra startet angriperne å samle inn data og deployerte deretter ransomware, initierte krypteringen av selskapets systemer. Som respons, koblet UnitedHealth Change Healthcare-data fra nettverket for å forhindre ransomware-angrepet fra å spre seg til andre systemer og utenfor enheter.
Angriperne, BlackCat/ALPHV cyberkriminelle gruppe, tok ansvar, og hevdet å ha eksfiltrert 6 TB konfidensiell data. Dataene som ble stjålet, inkluderte medisinske journaler, personlige opplysninger og finansielle dokumenter. UnitedHealth Group har offentliggjort at omtrent 190 millioner enkeltpersoner ble berørt av denne lekkasjen.
I mars 2024, betalte selskapet en løsepenger på $22 millioner, men BlackCat-ransomware-gruppen skal ikke ha betalt medlemmet som utførte angrepet, som deretter arbeidet med en annen ransomware-gruppe, RansomHub, som forsøkte å utpresse mer penger fra UnitedHealth. Det er ikke kjent om UnitedHealth betalte for andre gang også.
Hendelsen, som ble rapportert av UnitedHealth Group i januar 2025, resulterte i et totalt årlig tap på $3,09 milliarder.
Selv om selskapet fortsatt håndterer følgeeffekten av det største cyberangrepet i helsevesenet, følte ikke aksjene noen større effekt av det, da UNH-aksjen nådde en rekordhøy på $625 per aksje i november 2024 og en markedskapital på $575 milliarder.
(UNH )
Men nå, seks måneder senere, kollapser det hele. UnitedHealths aksjekurs, som har en markedskapital på $292 milliarder, har falt 36,43% år-til-dato. Den handles nå til $321,58, en 49% nedgang fra ATH.
Foruten en større enn forventet effekt fra cyberangrepet, har selskapet også håndtert ledertap, med UnitedHealthcares CEO, Brian Thompson, drept på investor-dagen i New York City, selskapet gikk glipp av inntjening, og Justisdepartementet har startet en straffeforfølgning av UHGs Medicare Advantage-praksis.
For å nå se på selskapets lønnsomhet og effektivitet, har det en EPS (TTM) på 23,89, en P/E (TTM) på 13,46 og en ROE (TTM) på 24,33%, mens utbytteandelen som betales er 2,61%.
Vedrørende selskapets finansielle resultater, var omsetningen i Q1 2025 på $109,6 milliarder, og kontantstrøm fra drift var $5,5 milliarder.
5. AT&T (T )
Den ledende globale leverandøren av telekommunikasjon og teknologitjenester, led to større datalekkasjer i 2024.
Den første skjedde i mars, som berørte mellom 50 og 70 millioner av deres nåværende og tidligere kunder. Rapportene om at selskapets data cirkulerte på dark web kom først ut i midten av mars, og deretter tok AT&T noen uker å bekrefte at informasjonen faktisk tilhørte deres kunder.
Blant informasjonen som ble kompromittert, var kundenes fulle navn, fødselsdato, e-post, telefonnummer, postadresse, sosiale sikkerhetsnummer og AT&T-konto- og passord. Selskapet sa følgende til de berørte personene:
“To the best of our knowledge, personal financial information and call history were not included.”
Data har vært antatt å ha cirkulert på nettet i noen år nå, men opphavet er ukjent, og AT&T benekter at det kom fra deres egne systemer.
Deretter, i april, ble det offer for en lekkasje som kompromitterte nesten alle deres landlinje-, mobil- og trådløse nettverkskunder. Et par måneder senere, i juli, offentliggjorde AT&T lekkasjen.
Denne lekkasjen ble koblet til en amerikansk hacker, et medlem av ShinyHunters-gruppen, som krevde en løsepenger på $1 million, men gikk med på å motta langt mindre. Selskapet betalte en løsepenger på $370 000 i Bitcoin i mai for å forhindre at dataene ble lekket. Angriperen ga selskapet en video som viste bevis for å slette dataene.
I dette angrepet, ble kundenes samtale- og tekstinteraksjoner på 2. januar 2023, og mellom 1. mai 2022 og 31. oktober 2022, eksfiltrert. Denne gangen kom dataene fra selskapets “arbeidsområde” på en tredjeparts skytjeneste.
Selv om innholdet selv ikke ble berørt, kan de kompromitterte rekordene identifisere andre telefonnumre som berørte kunder interagerte med, forklarte selskapet. AT&T varslet omtrent 110 millioner kunder om hendelsen.
Per skriving, handler $200 milliarder markedskapital-selskapets aksjer til $27,78, opp 22% år-til-dato. EPS (TTM) er 1,63, P/E (TTM) er 17,04, og ROE (TTM) er 11,28%, mens utbytteandelen som betales, er 4%.
(T )
Finansielt, var inntekten i Q1 2025 på $30,6 milliarder, nettoresultat var $4,7 milliarder, og fri kontantstrøm var $3,1 milliarder.
Så, som vi så, rammer ransomware-angrep selskaper over hele sektorene. Og selv om å betale løsepenger kan hjelpe med å beskytte selskapet og kundene, er det ikke alltid tilfelle. Det risikerer å oppmuntre kriminell atferd. Ikke å nevne, skaden det kostet selskapet finansielt og reputasjonsmessig.
Hva selskaper må gjøre, er å ta proaktive sikkerhetstiltak for å forhindre brudd fra å skje i første omgang. Dette inkluderer å utføre sikkerhetsvurderinger regelmessig, kontinuerlig overvåke potensielle trusler, holde systemene oppdatert, ha sikkerhetskopier av data og beskytte disse filene, implementere robust datakryptering, gi ansatte nødvendig opplæring og opprettholde effektivt beredskap mot hendelser.
Til slutt, er det virkelige forsvaret mot ransomware ikke forhandling, men forberedelse, så det er bedre å investere i cybersikkerhetsresiliens i dag!
Klikk her for en liste over de beste cybersikkerhetsaksjene.
