Ransomware – de cyberkriminellas nya kassako

Ransomware är de cyberkriminellas nya kassako!

Antalet angrepp från så kallade ransomware uppgick till smått ofattbara 638 miljoner under 2016. Detta kan jämföras med föregående års 3.8 miljoner. Samtidigt har den genomsnittligt begärda summan fördubblats från föregående år och är nu uppe i 6000kr.

Några exakta siffror för vilka intäkter denna verksamhet genererar för de kriminella finns inte men Fortinet beräknade i sep 2016 att det mycket väl kunde landa på den galna nivån tusen miljarder dollar. Kombinationen att det finns mycket pengar att tjäna utan större ansträngning samtidigt som risken att åka fast är låg gör att jag tror vi kan förvänta oss en fortsättning.

Begreppet ransomware har funnits i många år. De tidigare varianterna var inriktad på att göra datorn obrukbar till dess du betalade lösensumman. På den tiden gick det att återställa datorn, manuellt eller med hjälp av legitima programvaror, utan att betala någon lösensumma. När det idag talas om ransomware syftar de flesta på ett gisslanprogram som krypterar användarens filer och därigenom låser dem ute från sitt eget data. Nyckeln att dekryptera filerna och få tillbaka informationen kan fås mot betalning.

Oftast finns bara tre alternativ om du drabbats:

  • betala
  • återställa säkerhetskopior
  • leva med förlusterna

Trafiken som sker mellan den drabbade och utföraren av attacken sker ofta krypterad och via standardportar så det gör inte saken lättare att hantera för brandväggar och liknande säkerhetssystem.

När den drabbade betalar sker det ofta med Bitcoin vilket försvårar arbetet att följa pengarna för lagens väktare. Polisväsendet har dock under det gångna året lyckats att stänga ner en del stora verksamheter som bland annat används för att sprida ransomware (Exploit kits). Exploit kits använder istället sårbarheter (kända och okända) i web-läsare, flash, java osv för att smitta sina offer. Min uppfattning är dock att vi i Sverige primärt drabbats via olika phishing attacker där användaren helt enkelt lurats att köra program eller kod.

 

 

Metoder som Ransomware använder

Källa: www.ostermanresearch.com

 

RaaS – ransomware-as-a-service

RaaS med support och garantier erbjuds numer av företag som kanske inte opererar i fullt dagsljus men på darknet erbjuder dem med begränsad kunskap, men desto mer tveksamt uppsåt, att tjäna pengar inom cyber crime. Ofta mot procent av intäkterna. Sidorna som “hjälper” till med återställningen är inte sällan proffsiga med så väl flerspråksstöd som chatfunktioner och 24/7 support.

 

Vad kan vi förvänta oss 2017?

Jag har länge förundrats över hur förvånansvärt snälla de flesta och största ransomwaren varit. Istället för att kryptera allt en användare har rättigheter till så har de oftast krypterat endast det användaren har haft uppkopplat. Att söka igenom nätverket och leta reda på allt som är tillgängligt är inte svårt, inte heller att sprida både ransomwaret och andra illvilliga program till kollegor och vänner.

Årlig sammanställning ransomware-familjer samt förväntningar för 2017

Årlig sammanställning ransomware-familjer samt förväntningar för 2017

Källa TrendMicro

 

En ny och lite mer kompetent variant kallad Spora verkar dock vara under uppsegling. I vanliga fall brukar de skadliga programmen kommunicera med en kommandocentral som förser programmet med nycklarna som används vid kryptering. I takt med att dessa kommandocentraler blir kända så kan kommunikationen med dem spärras och på så vis infektioner delvis förhindrats och stoppats.

Spora har eliminerat behovet att kommunicera med en kommandocentral och kan på så vis inte stoppas genom att spärra identifierade kommandoservrar. Istället får användaren som drabbats ladda upp en krypterad variant av den nyckel som användes på just dennes dator. Som det inte vore nog skickas information om företaget vars dator krypterats samt information om användaren med så att lösensumman kan anpassas till den drabbades betalningskapacitet.

Det jag beskriver är en grov förenkling, är du intresserad av att läsa exempel på hur ransomware fungerar tekniskt och då särskilt Spora kan jag rekommendera EMISOFTs blog i ämnet.

En annan otäck företeelse som jag tror vi kommer få se mer av under 2017 är så kallad ”Business Email Compromise” vilket min kollega Markus berör i sin blogg.

Vill du veta mer om säkerhet och ransomware anmäl dig till Interlandagen här

 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *