Målrettede ransomware-angreb sker ofte efter en indledende kompromittering. Hackerne forsøger at ramme offeret med en type malware, der giver hackerne mulighed for at få adgang til organisationens it-netværk. Når hackerne har adgang til netværket, kan malwaren bruges til at installere ransomware, ifølge CFCS.

Kriminelle, der udfører målrettede angreb, samarbejder ofte med andre kriminelle. For eksempel kriminelle, der rammer tusindvis af ofre verden over gennem især phishing. Den indledende kompromittering af organisationens it-systemer sker derfor ofte med brug af malware, der bliver spredt gennem phishing-angreb.

Hackerne installerer ofte også yderligere malware og værktøjer i tiden fra den indledende kompromittering gennem phishing frem til installationen af ransomware. Denne trinvise installation af malware og værktøjer kaldes også for en infektionskæde.

CFCS udgiver derfor en liste med information til it-sikkerhedsansvarlige om ti malware-typer og værktøjer, der typisk bliver brugt i infektionskæden i målrettede ransomware-angreb. Et solidt kendskab til de malware vil gøre det muligt at opdage og standse angrebet tidligt i infektionskæden, inden systemerne bliver krypteret af ransomware.

Hvis organisationen konstaterer, at nogle af de nedenstående malware eller værktøjer findes på it-systemerne, anbefaler CFCS, at virksomheden tager kontakt til et professionelt it-sikkerhedsfirma. Et sikkerhedsfirma kan bistå med udrensning af netværk og efterfølgende sikre en styrket beskyttelse mod ransomware-angreb.

For at se CFCS' liste over såkaldte Indicators of Compromise (IoC) for malwaren Gozi, se her.