Vad är ransomware?

Vad är ransomware?

Ransomware kan beskrivas som en typ av malware, en del av skadlig kod där data på offrets dator blir låst, vanligtvis genom kryptering, där betalning krävs (lösensumma), för att data ska kunna dekrypteras och offret återigen ska få tillgång till sin data.

Vissa enklare versioner av ransomware kan låsa systemet men en kunnig person kan åtgärda problemet. Andra ransomware använder en mer avancerad malware, en teknik som kallas kryptoviral utpressning (cryptoviral extortion). Det krypterar offrets filer, vilket gör dem otillgängliga och kräver en ransomware för att dekryptera dem. I en korrekt implementerad kryptoviral ransomware-attack är återställning av filerna utan dekrypteringsnyckeln ett svårlöst problem – och svårt att spåra digitala valutor som paysafecard eller Bitcoin och andra kryptokurvor används för ransomware, vilket gör spårning och lagföring av förövarna svårt.

Ransomware sprids oftast via mejl  som ser ut att komma från företag eller organisationer som till exempel Skatteverket eller PostNord, men mejlet är i själva verket fejkat. Mottagaren uppmanas av avsändaren att klicka på en länk i mejlet. När mottagaren sedan klickar på länken laddas viruset ner i bakgrunden och installeras.

Från och med 2012 har användningen av ransomware-bedrägerier ökat internationellt. Under de sex första månaderna år 2018 förekom det 181,5 miljoner ransomware-attacker. Detta rekord markerar en ökning med 229% jämfört med samma tidsram 2017.  I juni 2014 släppte leverantören McAfee, data som visar att den hade samlat in mer än dubbelt så många ransomware-prover det kvartalet än den hade under samma kvartal föregående år. CryptoLocker var särskilt framgångsrik och skaffade uppskattningsvis 3 miljoner US-dollar innan det togs ner av myndigheter och CryptoWall uppskattades av US Federal Bureau of Investigation (FBI) att ha samlat in över 18 miljoner dollar i juni 2015. År 2020 fick IC3 2 474 klagomål som identifierades som ransomware med justerade förluster på över 29,1 miljoner dollar. Förlusterna kan vara mer än så enligt FBI.

Om vi gör en snabbspolning fram till 2020 är ransomware är en väletablerad och mycket lukrativ del inom cyberkriminalitet. Ransomware använder en bättre kod och krypteringsscheman implementeras bättre och därmed hindrar säkerhetsföretagens försök att dekryptera berörd data.

Även om det finns specifika och välkända ransomwaregrupper som till synes dominerar marknaden, betyder den allmänt antagna “ransomware-as-a-service-modellen” att det nästan är omöjligt att veta vem eller vilka som är de verkliga aktörerna bakom en attack.

De flesta av de högt profilerade grupperna, såsom Egregor, REvil (Sodinokibi), DoppelPaymer mfl, upprätthåller sidor för att läcka information antingen på darkweb eller på internet. Dessa sidor används för att “offentliggöra” organisationer som har attackerats och/eller vägrar att betala lösensumman och innehåller ofta teasers om vilka uppgifter de har stulit.

Denna metod sätter inte bara press på organisationer att betala, det fungerar även som ett sätt att offentliggöra avslöjandet, vilket innebär att en utsatt organisation inte kan försöka sopa attacken under mattan. Istället måste de behandla attacken som ett dataintrång och därmed omfattas av myndighetskontroller såsom GDPR, med följd om eventuella böter som ett resultat.

Med den ökade populariteten för ransomware på PC-plattformar har ransomware, som riktar sig till mobila operativsystem, också ökat. Vanligtvis är mobila ransomware-blockerare, eftersom det finns lite incitament att kryptera data då det enkelt kan återställas via onlinesynkronisering. Mobil-ransomware riktar sig vanligtvis till Android-plattformen, eftersom den tillåter applikationer att installeras från tredjepartskällor. Det distribueras vanligtvis som en APK-fil installerad av en intet ont anande användare; den kan försöka visa ett blockerande meddelande ovanpå alla andra applikationer, medan en annan använder en form av “clickjacking” för att få användaren att ge den “enhetsadministratör-rättigheter” för att uppnå djupare åtkomst till systemet.

Olika taktiker har använts på iOS-enheter, till exempel att utnyttja iCloud-konton och använda “Hitta min Iphone” för att låsa åtkomst till enheten. På iOS 10.3 korrigerade Apple en bugg i hanteringen av JavaScript-popup-fönster i Safari som hade utnyttjats av ransomware-webbplatser. Det har nyligen visat sig att ransomware även kan rikta sig till ARM-arkitekturer som de som finns i olika Internet-of-Things (IoT)-enheter, till exempel Industrial IoT edge-enheter.

I augusti 2019 visade forskare att det är möjligt att infektera DSLR-kameror med ransomware. Digitalkameror använder ofta Picture Transfer Protocol (PTP- standardprotokoll som används för att överföra filer.) Forskare fann att det var möjligt att utnyttja sårbarheter i protokollet för att infektera målkameror med ransomware (eller exekvera godtycklig kod). Denna attack presenterades på Defcon-säkerhetskonferensen i Las Vegas som ett bevis på konceptattack (inte som verklig väpnad skadlig kod).

Logiken för oss om ransomware är enkel: Vi kan inte lita på cyberbrottslingar och det borde inte ni heller göra. Varför ska ni lita på någon som olagligt kom åt ert nätverk, krypterar er data och krävde pengar för att dekryptera det. Som sedan stal er data samtidigt som ni blev hotade med att de ska släppa datan offentligt, för att svartmåla ert företag?

Ransomware är framför allt en utpressningsbluff och bör hanteras som sådan.

Cyberbrottslingar har ändrat taktik genom åren och det har skett en betydande förändring. Tidigare attackerades enskilda system, idag har de ett fokuserat tillvägagångssätt, där organisationer potentiella höga värde bidrar till att de blir måltavlor och deras data anses vara “Big Game Hunting” ransomware-attacker.

Den kanske största taktiska utvecklingen inom ransomware, är det som ursprungligen var banbrytande av Maze-gruppen. Deras agerade har inspirerat  ett flertal cyberkriminella. Maze-gruppens taktik var att istället för att bara kryptera data, rörde de sig genom ett nätverk för att stjäla värdefull data innan de sedan tryckte på knappen för att kryptera.

Denna stöld av data gav sedan ett extra lager för utpressning, då de hotade att sälja uppgifterna eller släppa dem offentligt om ett offer vägrade att betala lösensumman. Denna attack av så kallad “dubbel-utpressning” innebär att en angripare har mycket högre sannolikhet för att få betalt av offret. Antingen från själva lösensumman eller genom försäljning av data på Darkweb-Marketplace. För en utsatt organisation innebär detta flera vinklar av bekymmer. Till att börja med betyder det att angriparna har varit inne i nätverket under en längre tid för att få åtkomst till, i många fall gigabyte-mängder av stulen data.

Ingen kan vara säker på om angriparna har implementerat bakdörrar eller kunnat stjäla uppgifter som gör det möjligt för dem att återvända, och de vet förmodligen inte heller exakt vilken data som har stulits.

Även om Maze-ransomwaregruppen har tillkännagivit att de upphört med verksamheten, men i allmänhet tror man att de helt enkelt ersattes av den nya gruppen Egregor, är det nu vanligt för majoriteten av ransomware-grupper att använda dubbel utpressning av denna typ.