Månedens udvalgte: Ransomware… Fortid, nutid og fremtid

18. november 2020 - Fortællingen om ransomware går helt tilbage til 1989, og forventnigen er, at den vil fortsætte langt ud i fremtiden. Teknologien, metoderne og angriberne udvikler sig hele tiden, og det er for de fleste et spørgsmål om tid, før de oplever et ransomware-angreb. Jacob Herbst gennemgår historien.

”Det er den største realtrussel nu om dage for et samlet kollaps af en global virksomhed,” udtalte Søren Nielsen, topchef i Demant, i Børsens ledelsestillæg den 29. oktober 2020. Tillægget omhandlede datasikkerhed, og Søren Nielsen udtalte sig om det ransomware-angreb, Demant oplevede i september måned 2019.

Denne måneds udvalgte sætter fokus på ransomware, der, som Søren Nielsen anfører, er en kæmpe trussel for alle virksomheder og organisationer. I denne måned kigger vi på historien om ransomware, og hvorfor problemet er blevet så voldsomt. I næste måned sætter vi fokus, på hvad man kan gøre for at beskytte sig mod ransomware.

Fortid

Konceptet og idéen bag ransomware er egentlig ganske banal – tjen penge ved at tage it-systemer som gidsel ved hjælp af et ”denial of service”-angreb, således at det ikke kan bruges, og afpres derefter brugeren for en løsesum for at få adgangen til systemet tilbage.

Selve historien om ransomware går helt tilbage til 1989, hvor den første kendte ransomware kaldet ’AIDS’ blev distribueret. Det var før Internettet havde nogen særlig udbredelse, så distributionen skete med floppydisks og gemte biblioteker og filer. Selve betalingen for en “licens” skulle ske med check til en postboks i Panama.
Som det næsten siger sig selv, var denne ransomware ikke den store succes for bagmanden, og i rigtig mange år efter udgjorde ransomware en forsvindende lille del af alle angreb. Set fra de kriminelles side var det for besværligt at lave et effektivt ”denial of service”-angreb på en PC, og det var for svært og risikabelt at opkræve og modtage betaling af løsesummen.

Det ændrede sig imidlertid omkring år 2005, hvor de første ransomwares bl.a. GPCode ransomware, der krypterer data, begynder at dukke op. De første udgaver er relativ banale og indeholder ofte fejl i implementeringen, der gør det muligt at omgå/bryde krypteringen med simple metoder, og betalingen af løsesum sker via en standard pengeoverførsel, som relativt nemt kan spores. Frem mod år 2010 bliver angriberne løbende dygtigere og dygtigere, og det bliver stadig sværere at bryde krypteringen, ligesom de bliver bedre til at skjule sig bl.a. ved at ændre betalingen til, at den skal ske vha. forudbetalte kreditkort, der kun vanskeligt kan spores effektivt.

Omkring år 2012 ses de første såkaldte “police locker” ransomware som eksempelvis "Reveton", der dybest set bare låser skærmen og informerer brugen om, at de har set ulovligt indhold på deres PC og derfor skal betale en bøde til politiet for at få låst deres computer op igen. Dette er også noget af det første malware, som er sprogtilpasset og bl.a. findes i en dansk udgave med henvisning til det danske politi.

Udviklingen fortsætter og i 2013 ses for første gang Cryptolocker ransomwaren, der som en af de første gør brug af en command- og control-server på Internettet, med hvilken den udveksler rigtige, symmetriske RSA-krypteringsnøgler.
I løbet af 2013 begynder der også at komme de første eksempler på, at betaling af løsesum skal falde i bitcoins, og med Cryptowall ransomwaren fra 2014 flytter command- og contol-serverne over i skjul på TOR-netværket.

Således – efter næsten 25 års langsom udvikling af ransomware fra ’AIDS’ – begynder ransomwaren at ligne det, vi kender i dag, hvor nøgleteknologierne netop er anvendelse af stærk asymmetrisk kryptering til udveksling af nøgler, en skjult infrastruktur på TOR-nettet og betaling i anonyme kryptovaluta at være på plads. Således er fundamentet lagt for det, vi oplever i dag.

I de første år efter 2014 var langt de fleste ransomware-angreb meget opportunistisk drevet og var typisk baseret på massiv udsendelse af spam-mails. En af de mest kendte angrebsmetoder i Danmark i den periode er de såkaldte PostNord-mails, hvor en slutbruger modtager en mail med besked om en ventende pakke, men i virkeligheden er der tale om en vedhæftet fil med et link til ransomware.
Da angrebene i virkeligheden mest var rettet mod private brugere, var de beløb som angriberne gik efter begrænsede og svarende typisk til 2-3000 kr. – naturligvis afregnet i Bitcoins.

I en virksomhedssammenhæng kan disse angreb mod enkelte brugere være alvorlige nok, hvis de rammer kritiske brugere eller systemer, og vi oplevede i denne periode en række kunder blive ramt af mere eller mindre alvorlige angreb. Men langt de fleste af disse angreb kunne dog håndteres ved, at den ramtes maskine blev lukket ned og renset og evt. krypterede data genindlæst fra backup.
Da angrebene overordnet set var temmelig tilfældige og udnytter nogle meget simple svagheder, lykkedes det på relativ kort tid de fleste virsomheder at finde metoder til at bremse angrebene på, bl.a. gennem bedre bruger-awareness, bedre mailsikkerhed samt styr på backuprutinerne.

I løbet af 2017 så det ud til, at angrebene så småt var aftagende, da angriberne simpelthen fik for lidt ud af det sammenlignet med f.eks. et cryptominer-angreb, der til gengæld voksede i omfang.

I denne periode så vi også angreb som bl.a. Wannacry i maj 2017 og Notpetya i juni 2017, som bl.a. ramte Maersk. Ved en nærmere analyse viste det sig, at disse angreb var statsstøttede destruktive cyberangreb fra hhv. Nordkorea og Rusland, der blot benyttede ransomware som maskering, og selvom man skulle forsøge at betale den løsesum, de krævede, var det teknisk umuligt at få data tilbage.

Nutid

I starten af 2018 begyndte der at komme en ny type ransomware-angreb, som var væsentlig mere målrettede end tidligere. Hvor ransomware indtil da typisk var blevet distribueret bredt som spredehagl, var angriberne ved den nye type angreb væsentlig mere målrettede og kombinerede mere traditionelle angrebsmetoder med ransomware. Angriberne ville således kompromittere en virksomheds netværk og bruge tid og ressourcer på at rekognoscerer og kortlægge infrastrukturen, således at de kan gennemføre et nøje orkestreret angreb, der medfører størst mulige konsekvenser for den ramte virksomhed.

I denne type angreb er det desværre normalt, at angriberne som del af processen identificerer virksomhedens backupsystem og sørger for at slette backuppen, så virksomheden ikke har denne til at redde data. Samtidig opnår angriberen som regel administratoradgang til virksomhedens Windows Active Directory, som herefter anvendes til angrebet.

Dette betyder, at virksomhedens egne værktøjer til softwaredistribution anvendes til at fjerne forstyrrende antimalware-software fra klienterne samt til distribution af selve ransomwaren til alle klienter og servere. Dette betyder, at et ransomware-angreb ikke længere rammer en enkelt computer, men at hele infrastrukturen dvs. samtlige servere og klienter får deres systemer og data krypteret – på stort set samme tid.

For de virksomheder, der bliver ramt denne form for ransomware-angreb, er det en kæmpe katastrofe, da vigtige it-værktøjer og kritiske data pludselig bliver utilgængelige. Da stort set alle processer i en moderne virksomhed er afhængige af fungerende it-systemer, betyder dette i praksis, at langt de fleste virksomheder går i stå eller ender med, at skulle bruge besværlige og langsommelige manuelle processer.

Et ransomware-angreb kan også gå udover virksomhedens kunder, som man f.eks. så med Garmin i sommeren 2020, hvor brugere af deres fitnessure ikke kunne benytte dem i en længere periode, fordi Garmins systemer var utilgængelige. Selv hvis virksomheden har godt styr på backuprutinerne kan det tage meget lang tid at få reetableret alle servere og klienter fra en backup.

Et par eksempler på dette er de danske virksomheder Demant og ISS, hvor der gik flere måneder efter, de var angrebet, før alle deres it-systemer var tilgængelige igen. Hvis man som virksomhed ikke har ordentligt styr på processerne omkring håndtering af et sådant incident, og ens backup-systemer er blevet ødelagt som del af angrebet, begynder det at være oplagt, hvorfor Søren Nielsen fra Demant anser et cyberangreb som en væsentlig trussel mod en virksomhed, og at et angreb i yderste konsekvens kan true dens overlevelse. Og for mange virksomheder i den situation vil det desværre kunne være den eneste udvej at betale løsesummen og på den måde få deres data tilbage igen – på trods af, at det understøtter og motiverer de kriminelle grupper og dermed er med til at finansiere og motivere angreb på endnu flere.

De økonomiske konsekvenser for de virksomheder og organisationer, der bliver ramt af ransomware er også temmelig omfattende og bl.a. Demant har været ude at oplyse, at ransomware-angrebet på dem i 2019 har kostet over 500 mio. kr. Samtidigt er der indikationer på, at aktiekursen på Demant også har været ramt negativt pga. af angrebet.

Fremtid

Som historien om ransomware har vist indtil nu, er de kriminelle bagmænd desværre rigtig dygtige til at finde på nye udspekulerede måder at gennemføre deres angreb på. Og så længe det lykkes dem at tjene penge på denne måde, er der intet, der tyder på, at de vil stoppe med deres aktiviteter.

Gennem de sidste par år har vi kunne observere, hvordan angriberne er blevet stadig dygtigere, samarbejder mere og er blevet bedre organiseret. Dette gælder helt fra det initiale angreb, hvor virksomheden kompromitteres, hvor det er tydeligt at adgang til forskellige virksomheder handles på diverse markedspladser på det mørke Internet. Dette betyder, at en potentiel angriber ofte kan købe sig adgang til ofret for et ganske beskedent beløb. Når man analyserer ransomware-angreb er det også tydeligt, at det er en større organisation, som står bag angrebet, hvilket bl.a. kan ses ved, at der arbejdes på flere systemer på samme tid men fra forskellige steder på Internettet. Samtidig er det også tydeligt, at ransomware-angreb for nogen personer er et helt almindeligt 9-17 job – i hvert fald passer de tider, hvor der “arbejdes” på kompromitterede systemer med kontorarbejdstiden i visse dele af verden. Alt sammen tydelige indikationer på hvor velorganiseret ransomware-angreb er blevet blandt kriminelle mafiagrupper.

En anden tendens er, at ransomware bliver stadig mere tilgængelig, og i dag er det muligt at købe Ransomware-as-a-service dvs. betale sig fra at andre udfører angrebet. Dette ses ofte kombineret med et “henvisningsprogram” – skaffer du et nyt offer til bagmændene, får du del i en eventuel løsesum.

Samtidig oplever vi også, at angriberne konstant finder på nye måder, som hjælper dem med at tjene penge på deres angreb. Dette ses først og fremmest i den måde, hvorpå de forsøger at “motivere” ofret til at betale løsesum. Et eksempel er at angriberen forsøger at stresse ofret mest muligt, og dette kan f.eks. ske ved at udsætte virksomheden for et voldsomt DDoS-angreb, samtidig med at de i øvrigt er allermest presset af ransomware-angrebet.

I dag er det desuden helt standard, at de forsøger at slette backupsystemer hos de ramte virksomheder, og at de nøje har udset sig hvilke systemer, der er de mest sårbare. Der har også været eksempler på at angriberne bruger “kundereferencer” dvs. henviser til andre ofre for at tydeliggøre, at det virker at betale løsesummen.

En af de seneste tendenser er, at ransomware-angrebet kombineres med tyveri af følsomme data, og angriberne som del af deres afpresning truer med at offentliggøre de stjålne data, hvilket kan skade virksomheden yderligere samt medføre juridiske konsekvenser f.eks. for overtrædelse af lovgivning om beskyttelse af persondata (GDPR). Desværre for ofret vil angriberne meget ofte uanset hvad forsøge at sælge de pågældende data for på den måde at øge deres fortjeneste ved angrebet. Såfremt der er tale om meget følsomme persondata eksempelvis helbredsdata, har der også været eksempler på, at angriberne er gået efter at afpresse virksomhedens kunder.

Endelig har der været eksempel på at angriberne direkte har spekuleret i kursfald af virksomhedens aktier baseret på det faktum, at børsmarkedet som regel vil reagere negativt på nyheden om, at en virksomhed er blevet ramt af et ransomware-angreb.

Afslutning

Hos Dubex er det vores klare overbevisning, at vi desværre ikke har set det sidste til innovation og gode idéer hos de kriminelle, og der er i øjeblikket intet, der tyder på, at ransomware-problemer forsvinder lige med det samme – dertil er der desværre alt for mange sårbare virksomheder og alt for mange penge at tjene ved ransomware.

Vi anbefaler i dag, at man som virksomhed planlægger efter, at man kan blive offer for ransomware – det kræver desværre kun en enkelt sårbarhed for at angriberne kan komme ind, og er de først inde, er de utrolig dygtige.

Men der er heldigvis stadig mange ting vi kan gøre for at undgå, at de kommer ind – noget vi kommer til at sætte fokus på i næste måned.

Læs mere

Hvordan ser det ud med it-sikkerheden i Danmark og resten af verden?

Det kan koste dyrt for en virksomhed at være offer for et brud på it-sikkerheden. En ny undersøgelse viser, at dette rent faktisk har været tilfældet for hele 31 % af store danske virksomheder i det foregående kalenderår. Tager man et kig udenfor Danmarks grænser, stemmer tendenserne.

Ransomware as a Service gør det lettere at være hacker

Det tager lang tid at blive en god hacker, og derfor er det nemmere, hvis man kan købe sig til et program, som kan gøre alt det hårde arbejde for en. ”Ransomware as a Service” har gjort det lettere at være hacker, og Dubex’ Keld Norman tager os med igennem, hvad det kan, og hvordan vi står imod.

Månedens udvalgte: Sikkerhed post-COVID-19

Sidste ”Månedens udvalgte” satte fokus på de umiddelbare cybersikkerhedsmæssige følger af COVID-19-pandemien og nogle af de mere langsigtede forandringer og udfordringer, den forventes at medføre. Denne artikel følger op og stiller skarpt på, hvordan vi fremadrettet skal håndtere cybersikkerheden.

Tak for din henvendelse. Du hører fra os hurtigst muligt.