Løsepengevirus: Hvordan det hele startet

Den gamle versjonen av løsepengevirus, på en diskett

Løsepengevirus, ofte omtalt på norsk med uoversatt engelsk term Ransomware, kan defineres som en type skadelig programvare (datavirus) som krypterer deler av innholdet på en infisert datamaskin slik at det er utilgjengelig for eieren for så å utpresse løsepenger. De fleste løsepengevirus krypterer innholdet på slik måte at det er svært vanskelig å låse opp uten tilgang til krypteringsnøkkel for å låse opp. Infeksjoner av løsepengevirus i datautstyr skyldes typisk trojanere, ofte spredt fra e-post.

Det første eksemplet som faller inn under denne definisjonen, selv om det skjedde flere år før den ble definert som sådan, var AIDS Trojan. En skadelig programvare fikk dette navnet fordi angrepet var målrettet mot alle delegatene på Verdens helseorganisasjons AIDS-konferanse i Stockholm i 1989.

Alle deltakerne mottok disketter (for de av dere som husker dem?!) som inneholdt ondsinnet kode. Koden krypterte navnene på alle filene og skjulte alle kataloger på enheten etter at systemet startet for 90. gang etter å ha blitt infisert. Dette resulterte i at systemet ble ubrukelig.

Ofrene ble fortalt at de måtte sende 189 dollar til en postadresse i Panama hvis de ønsket at systemet deres skulle gjenopprettes. Selv om det er langt fra moderne løsepengevirus-angrep, er dette angrepet kjent som det første forsøket på å presse penger fra ofrene ved å forhindre tilgang til filer og systemer. Heldigvis, på grunn av den svake krypteringen som ble brukt av Trojanen, var sikkerhetseksperter i stand til å lage et gratis dekrypteringsverktøy som hjalp ofrene, den gangen.

Løsepengevirus: en midlertidig trend

På 2000-tallet fortsatte løsepengevirus å utvikle seg og de kriminelle begynte å bruke sterkere krypteringsmekanismer. Angrep var fremdeles begrenset til individuelle hjemmebrukere, og angriperne krevde ofte maksimalt noen hundre dollar for innløsning. Det kan også tilskrives det faktum at løsepenger på den tiden skulle betales i standard valuta, noe som ikke ga noen form for beskyttelse for de kriminelle.

I 2012 ble en artikkel publisert på eWeek der man kunne lese følgende “I stedet for å kryptere hele harddisken, bruker kriminelle ganske usofistikerte løsepengevirus for å låse offerets datamaskin og deretter kreve penger for nøklene til dekryptering.” Dette var en av de få tidlige offentlige observasjonene av den nye trusselen som løsepengevirus var – en av utallige forretningsmodeller som nettkriminelle eksperimenterte med den gangen. Journalisten avsluttet artikkelen med setningen: “Jeg tror det bare er en midlertidig trend til noen finner en bedre metode å tjene enkle penger på”.

Kommentaren om en “bedre metode å tjene enkle penger” pekte på løsepengevirus sin akilleshæl på den tiden, nemlig at det ikke var noen enkel måte å motta betaling fra offeret, uten å tvinge kriminelle til å bruke forhåndsbetalte kort eller pengeoverføringer.

På den tiden virket det klart at løsepengevirus, som en form for kriminalitet, neppe ville få fotfeste fordi det var altfor vanskelig å få betaling fra offeret. I dag virker dette sitatet litt ironisk. Trenden var, som det viser seg, alt annet enn “midlertidig”, som diagrammet nedenfor illustrerer.

Offentlig rapporterte løsepengevirus-hendelser over tid

Kilde: Orange Cyberfense og Temple University. Prosjekt: ‘Critical Infrastructures Ransomware Attacks (CIRWAs) (https://sites.temple.edu/care/ci-rw-attacks/). Inkluderer 687 poster samlet fra offentlig rapporterte løsepengevirus hendelser mellom november 2013 og august 2020.

Løsepengevirus: nesten det perfekte cybervåpenet

For økosystemet til cyberkriminalitet i 2012 var løsepengevirus en naturlig pivot. Det representerte en forretningsmodell som muliggjorde “direkte inntektsgenerering”, i motsetning til for eksempel å stjele data, som da måtte selges på nytt for å tjene penger.

Løsepengevirus hadde også noen fordeler, spesielt ved at det var mindre behov for skadevareoperatøren å opprettholde en Command and Control (C&C) kanal med den infiserte maskinen.

Men løsepengevirus manglet fortsatt noen avgjørende fordeler. De nettkriminelle kunne ikke bruke de billige og pålitelige betalingsnettverkene som ble gitt av kredittkortselskaper for å samle inn betalinger fra sine kunder. Det var ingen sikker og effektiv måte å motta og verifisere betalinger fra ofre på, og dette betydde at løsepengevirus, som en forretningsmodell for nettkriminelle, ble oppfattet som ubrukelig.

Når løsepengevirus møter Bitcoin

Den 18. august 2008, ble domenenavnet bitcoin.org registrert. Senere samme år publiserte den mystiske Satoshi Nakamoto sitt banebrytende dokument om metoder for å bruke peer-to-peer på “et system med elektroniske transaksjoner uten at det bygger på noen form for tillit.” 3. januar 2009 startet bitcoin-nettverket.

Bitcoin viste seg å være akkurat det forretningsmodellen basert på løsepengevirus trengte – en trygg, billig, enkel og pålitelig måte å få betaling fra ofrene. I tillegg til den høye graden av anonymitet, kan en hacker helt enkelt se i den offentlige blockchain når og om et offer har betalt det angitte beløpet. De kan til og med opprette en unik betalingsadresse for hvert offer og automatisere prosessen for å låse opp filene ved en bekreftet bitcoin-transaksjon.

I 2013 hadde CryptoLocker-løsepengevirus – som benyttet Bitcoin for å samle inn løsepenger – tjent cirka 27 millioner US-dollar på bare to måneder.

Kryptovalutaer har bidratt til å gjøre løsepengevirus til en veldig sterk forretningsmodell for nettkriminalitet. Da cyberforsikringer begynte å betale ut løsepenger på offerets vegne, ble den perfekte stormen skapt. Løsepengevirus er nå en “killer-app” for nettkriminalitet, og så langt vi kan se, dessverre her for å bli.

For å finne ut mer om løsepengevirus, les vår sikkerhetsrapport Security Navigator.

Få med deg webinaret: Don’t be a victim. Ransomware can be beaten!