Søk

  1. Norway
  2. Innsikt
  3. Blogg
  4. Cybertrussel
  5. Utviklingen av løsepengevirus

Utviklingen av løsepengevirus

Blogg Cybertrussel

Share

Utviklingen av løsepengevirus

Siden 2010 har løsepengevirus-bransjen i veldig høy grad vært organisert og drevet profesjonelt. I dag ser vi endringer til en enda mer aggressiv forretningsmodell.

Løsepengevirus-som-en-tjeneste (ransomware-as-a-service (RaaS))

Som vi skrev i vår forrige blogg post om løsepengevirus, da introduksjonen av Bitcoin tok tak rundt 2010, skiftet angriperne fokus og man så en økning i løsepengevirus-angrep. Løsepenger som da kunne kreves inn i kryptovaluta ga angriperne et nivå av anonymitet, ettersom betalinger ble vanskeligere å spore sammenlignet med vanlig valuta.

Kryptovaluta gjorde det lettere å tjene penger på løsepengevirus, og det var en økning i angrep gjennom hele 2016, med grupper som Locky og Cerber i front. Locky ble oftest distribuert ved hjelp av et Word-dokument som et e-postvedlegg og når dette ble åpnet fikk mottaker en melding om å aktivere makroer for å kunne se dokumentet. Aktivering av makroer resulterte i at krypteringstrojanen ble lastet ned og kjørt. Denne typen “sosial engineering” ble også brukt av Cerber, som også brukte distribusjonsmetoden å sende ut e-post med Word-dokumenter som hadde ondsinnede makroer innebygd.

I 2016 så man også den første forekomsten av løsepengevirus-som-en-tjeneste (ransomware-as-a-service (RaaS)), med utviklerne bak Cerber, som effektivt leaset ut tilgang til den ondsinnede koden i bytte mot en prosentandel av alle betalte løsepenger. Ved å delegere arbeidet med å finne mål og infisere systemer, var de i stand til å øke antall angrep, men allikevel var det mindre arbeid for løsepengevirus-utvikleren.

WannaCry-marerittet

WannaCry-løsepengevirus-angrepet i mai 2017 hadde en global innvirkning fordi denne spredte seg raskt gjennom ikke oppdaterte eller eldre Microsoft Windows-datamaskiner. WannaCry spredte seg med bruk av EternalBlueSMB utviklet av US National Security Agency og som ble stjålet og publisert av hackinggruppen “Shadow Brokers“. Til tross for at Microsoft hadde utgitt en kritisk oppdatering for sårbarheten, forble mange systemer upatchet og derfor sårbare, noe som resulterte i rask spredning av WannaCry. Selv om noen rapporter antyder at ofre betalte løsepenger i Bitcoin, noe angriperne krevde, finnes det ingen bevis for at noen fikk dekryptert filene sine. Den generelle oppfatning er at det ikke var noen effektiv måte å dekryptere filer innebygd i denne ondsinnede programvaren, noe som betydde at dette kun bare var ment som en destruktiv og ondsinnet handling.

Totalt ble datasystemer i 150 land berørt , og det totale tapet som ble forårsaket av WannaCry globalt ble anslått til 4 milliarder dollar.

Så kom NotPetya

Hakk i hæl på WannaCry, i juni 2017, kom NotPetya. Dette angrepet antas å være en cyberkrigshandling fra Russland rettet mot Ukraina, men angriperne spredte skadelig programvare globalt via Microsoft baserte systemer. NotPetya infiserte ”master boot record”  i datamaskinen som ble angrepet, og denne kunne deretter ikke starte opp operativsystemet og laste inn filsystemet igjen. Skadene NotPetya hadde gjort, var irreversible, og offeret hadde ingen måte å berge noen data på. Allikevel ble ofrene bedt om å betale for en dekrypteringsnøkkel. Kildekoden til den skadelige programvaren viste imidlertid at det aldri var et dekrypteringsalternativ. Selv om NotPetya løsepenger ble betalt, var ethvert forsøk på å få dekryptert meningsløse fordi målet med NotPetya var å ødelegge og det ikke var noen krypteringsnøkkel tilgjengelig. Flere store organisasjoner led betydelige tap og totalt anslår man dette tapet til rundt 100 millioner dollar. Kjente selskap som fikk store utfordringer med NotPetya var blant annet det danske rederiet Maersk, frakt- og logistikkselskapet FedEx, legemiddelselskapet Merck og kanskje ironisk nok det russiske statlige oljeselskapet Rosneft.

Disse sofistikerte angrepene førte til ny innsikt for løsepengevirus aktører som, i stedet for bare å målrette sine angrep mot individuelle systemer, kunne utnytte upatchede sårbarheter og på denne måten bevege seg sideveis til andre systemer som kunne inneholde enda høyere forretningsdata verdi. Dette forårsaket følgelig mer kaos for ofrene, og resulterte i større sannsynlighet for at de betalte løsepenger.

Hvordan står det til idag?

Et raskt hopp frem i historien til 2020 og løsepengevirus er en veletablert og svært lukrativ del av cyberkriminelle sitt økosystem. Løsepengevirus benytter mye bedre kode, og kryptering er bedre implementert, dette forhindrer dermed sikkerhetsselskapene sine forsøk på å dekryptere berørte data.

Selv om det finnes spesifikke og velkjente løsepengevirus grupper som ser ut til å dominere markedet, gjør den allment aksepterte løsepengevirus-som-en-tjeneste-modellen det nesten er umulig å vite hvem de virkelige aktørene bak et angrep egentlig er.

Det har også skjedd betydelige endringer i taktikken som benyttes av løsepengevirus angripere. En nøkkelfaktor er endringen fra å skyte bredt ut for å angripe individuelle systemer til at man nå ser en veldig fokusert tilnærming, der spesifikke organisasjoner blir utpekt som mål basert på potensielt høy forretningsdata verdi, såkalt “Big Game Hunting” løsepengevirus-angrep.

Den kanskje største taktiske utviklingen i løsepengevirus er den som opprinnelig var banebrytende gjennomført av Maze-gruppen mot slutten av 2019, og som siden har blitt benyttet av de fleste grupper som følger deres vei. Taktikken Maze-gruppen brukte var, i stedet for bare å kryptere data, flyttet de gjennom et nettverk for å stjele verdifulle data før de deretter trykket på knappen for å kryptere.

Dette tyveriet av data ga da angriperen et ekstra lag man kunne bruke til utpressing, der de truet med å selge dataene eller frigjøre dem offentlig hvis et offer nektet å betale løsepenger. Dette såkalt “dobbelt-utpressing” angrepet betyr at en angriper har mye større sannsynlighet for å få betalt. Enten fra selve innløsningen av løsepengene eller gjennom salg av data på Darkweb-Marketplace. For en utsatt organisasjon betyr dette flere bekymringer. Angriperne har sannsynligvis vært inne i nettverket i lang tid for å få tilgang til, ofte gigabyte mengder av stjålne data. Ingen kan være sikre på om angriperne har implementert bakdører eller stjålet informasjon som gjør det mulig for dem å komme tilbake, og de vet heller ikke nøyaktig hvilke data som er stjålet.

Selv om Maze-gruppen har kunngjort at de har opphørt å operere, antas det at de ganske enkelt ble erstattet av den nye Egregor-gruppen, er det nå vanlig at flertallet av løsepengevirus-grupper bruker dobbel utpressing av denne typen.

De fleste av de høyt profilerte gruppene, som Egregor, REvil (Sodinokibi), DoppelPaymer, etc., har sider for å lekke informasjon enten på det mørke nettet eller det offentlige Internett. Disse sidene brukes til å “publisere” hvilke organisasjoner som er blitt angrepet, og / eller nekter å betale løsepenger og inneholder ofte teasere om hvilken informasjon som er stjålet.

Denne metoden legger ikke bare press på organisasjoner til å betale, den avslører også angrepet offentlig, noe som betyr at en organisasjon ikke kan forsøke å avfeie det. I stedet må de behandle angrepet som et datainnbrudd og dermed er det underlagt regulatoriske myndighetskontroller som GDPR, med det resultatet at konsekvensen kan være eventuelle bøter.

Sources:
1) Wired
2) ZDnet

Last ned vår årlige sikkerhetsrapport Security Navigator, for å lese mer om løsepengevirus.

Les vårt tidligere blogginnlegg om løsepengevirus her.

Husk at det ikke bare er på PC-en du kan få løsepengevirus. Mobiltelefoner, produksjonsutstyr, maskineri og annet som er koblet til nett er også
sårbart for å bli kryptert og satt ut av spill. Ønsker du et møte med våre sikkerhetseksperter, kan du kontakte oss via linken under.

Kontakt oss

Incident Response Hotline

Står du overfor en cyberhendelse akkurat nå?

 

Kontakt vår globale 24/7/365 tjeneste incident response hotline.