Ransomware as a Service gør det lettere at være hacker

17. november 2020 - Det tager lang tid at blive en god hacker, og derfor er det nemmere, hvis man kan købe sig til et program, som kan gøre alt det hårde arbejde for en. ”Ransomware as a Service” har gjort det lettere at være hacker, og Dubex’ Keld Norman tager os med igennem, hvad det kan, og hvordan vi står imod.

I gamle dage, når hackere skulle have fat i virksomheders data, gjorde de alt arbejdet selv og hackede sig igennem systemerne. Sådan er det ikke i dag. Teknologien udvikles, processer udvikles, mennesker udvikles og ligeledes gør hackerne, deres metoder og værktøjer.

Du behøver ikke kunne hacke for at være hacker

Man skulle ikke tro det, men på under en time kan en hacker lægge en virksomhed ned.

”Når hackerne hopper rundt på nettet og prøver at hacke virksomheders systemer ved at installere CryptoLockere, er det ikke nødvendigvis hårdt arbejde for vedkommende, men det er det for dem, som laver værktøjerne, der benyttes,” fortæller Keld Norman, Security Consultant i Dubex.

Softwaren, som hackerne bruger til at kryptere filerne, er ikke bare svær at lave så filerne bliver krypteret hurtig og kan låses op med en nøgle, den skal også kunne gå under radaren, så et angreb ikke bliver fanget i et antivirusprogram eller bliver afsløret i sandbox-emuleringen, da der er mange sikkerhedsforanstaltninger derude, som skal hjælpe os med at være mere sikre. Desuden skal man også tænke på kommunikation, og alle disse elementer tager tid at sætte op, sikre og gemme og kræver en omstændig infrastruktur, som de fleste hackere typisk ikke har.

CryptoLockere tager filer og krypterer dem, så de bliver ulæselige. På denne måde kan hackerne afpresse offeret for penge, for at udlevere en nøgle, som kan dekryptere filerne.

Men nu er det blevet lettere at være hacker.

”Der er nogen, der har fundet ud af, at de kan tjene penge ved at sælge færdigt værktøj og tilbyde færdige infrastrukture, som hackere kan bruge, så de ikke selv behøver at lave noget,” siger Keld og fortsætter: ”De klarer alt fra at lave softwaren og kontrolpanelet til hosting af det. Og hvis du ikke selv har en mailliste, du vil sende malwaren til, kan du også tilkøbe dem. De kan sågar finde mailadresser fra de lande, du ønsker, eller fra bestemte grupper af personer.”

Det er muligt for hackere at få denne information gennem surveys, de sender ud til forskellige personer. Det er f.eks. en konkurrence om at vinde en iPad, hvor man skal udfylde en masse informationer. Disse informationer bliver brugt til at lave mailinglisterne, som hackerne bruger.

Sådan en færdig hackerpakke kaldes også for ”Ransomware as a Service” eller forkortet RAAS.

Kvalitet koster penge

”Dem, der tilbyder RAAS, laver ikke andet, så de er utrolig trænede og kan bruge den tid, det tager at lave et godt produkt,” fortæller Keld.

Og det er ikke billigt at købe servicen. Ikke nok med det, skal man også betale for hostingen af servicen – en prøvepakke koster måske kun $120, men skal man have det hele med, er prisen oppe på omkring $1000 om måneden – på trods af det er det stadig en god forretning, for den der køber pakken.

”Ligesom med så meget andet, så er der nogle, der er villig til at betale for kvalitet,” understreger Keld.

Det er ikke lovligt at lave denne service, men det er ikke ulovligt at hoste den.

”Dem der hoster servicen er jo bare en Internet Service Provider eller en Web Hosting Provider, og i princippet kunne de jo bare påstå, at de ikke aner, hvem der bruger den og til hvad,” fortæller Keld og fortsætter: ”Desuden gør hosting providerne alt for at være så anonyme som muligt og har ingen logfiler. Så hvis Politiet en dag alligevel skulle finde servernes lokation og komme forbi og beslaglægge dem, kan de ikke se, hvem der bruger kontrolpanelet.”

RAAS kan man finde på Tornettet, også kaldet dark web, og her finder man også hostingen af servicen. Tornettet er et krypteret net, og man er derfor anonymiseret, når man tilgår sider via denne specifikke TOR-browser og bliver dermed svær at spore.

Marketing er mange ting

Ligesom de fleste virksomheder og organisationer prøver at promovere sig selv for at få flere kunder, gør hackere, der laver RAAS, det samme.

”Der findes mange forskellige former for ransomware, som alle hedder noget forskelligt, og som hacker vil man gerne have, at ens RAAS bliver kendt ude i miljøet,” siger Keld.

Den måde, RAAS-udbyderne bliver kendte på, er ved at lave hjemmesider, hvor hackerne kan uploade den data, de stjæler.

”Hackerne krypterer ikke bare virksomhedens filer, de stjæler dem inden, så de kan bruge dem til afpresning,” understreger Keld.

På disse RAAS-hjemmesider bliver virksomheden oprettet, når hackerne har fået fat i filerne, og dag for dag vil hackerne uploade procenter af de data, de har stjålet, indtil virksomheden betaler for en afkrypteringskode.

”Hackerne kan bare lægge links ud på f.eks. Twitter til en side, hvor alle kan få adgang til de her filer. Og det kan være alt lige fra medarbejderbilleder til virksomhedens regnskab til sensitive informationer om medarbejderne. Det er altså ikke småting, de får fat i,” siger Keld og fortsætter: ”Jeg ser alt mellem 20 og 500 GB data fra virksomheder, som de lægger ud til skue for alle, der kunne være interesserede.”

Når disse hjemmesider bliver brugt flittigt af hackerne, er det god reklame, for dem der udbyder denne type ransomware, som kan tage mere for et produkt med dokumenteret succes.

Vi holder øje

I Dubex bliver der holdt øje med disse hjemmesider – blandt andet for at sikre, at kunderne ikke havner derinde.

”Vi har måtte ringe til en kunde, hvis navn blev oprettet derinde,” fortæller Keld.

Og nogle gange ved kunden slet ikke, de er kompromitteret, før de bliver kontaktet af hackeren, som måske har været “på besøg” i deres miljø i mange dage eller uger.

”Hvis vi finder noget derinde, som skader danske virksomheder, så melder vi det videre til Europol, der i samarbejde med mange andre firmaer får lavet “decryptor”-software, der kan bruges til at få de krypterede filer tilbage. Den her software lægger de op på siden, der hedder https://www.nomoreransom.org. Med det samarbejde kan vi også af og til hjælpe med til at bekæmpe det,” fortæller Keld.

Hvad kan man gøre for undgå et angreb?

Der er flere ting, man som virksomhed eller organisation kan gøre for at mindske risikoen for et angreb. Særligt handler det om at gøre eksponeringen på internettet så lille som muligt.

”Det er ikke med hensyn til reklame for sig selv. Det er fint at have hjemmesider og SEO-optimering osv., men det er vigtigt ikke at have åbne porte via f.eks. remote desktops, som hackerne kan komme ind ad,” forklarer Keld.

En remote desktop er et program, der fjernstyrer en anden computer end den programmet styres fra. f.eks. hvis man arbejder hjemme, men styrer en computer inde på kontoret.

”Min anbefaling er aldrig at bruge remote desktops direkte via internettet – best practice er at bruge VPN først, altså en krypteret tunnel som forbinder en sikkert til firmaets infrastruktur eller DMZ.

Herefter kan man så lave en RDP-forbindelse til serverne eller få adgang til de ressourcer, der er på virksomhedens intranet,” understreger Keld.

”Det er ret ofte, det er remote desktops, der bliver brugt som springbræt ind til virksomhedens netværk og/eller giver adgang til deres data.”

Der findes hjemmesider på internettet, hvor det er muligt at se, hvilke åbne porte forskellige hjemmesider har, men det er både de ”gode” og de ”onde”, der har adgang til disse sider.

”Hvis du er en magnet i en bunke med søm, er du selv ude om det,” siger Keld og afslutter: ”Det er ligesom i krig med fly og radarer – hvis man kan komme væk fra radaren, så hackerne ikke kan se en, så er man bedre sikret.”

Læs mere

Hvordan ser det ud med it-sikkerheden i Danmark og resten af verden?

Det kan koste dyrt for en virksomhed at være offer for et brud på it-sikkerheden. En ny undersøgelse viser, at dette rent faktisk har været tilfældet for hele 31 % af store danske virksomheder i det foregående kalenderår. Tager man et kig udenfor Danmarks grænser, stemmer tendenserne.

Månedens udvalgte: Ransomware… Fortid, nutid og fremtid

Fortællingen om ransomware går helt tilbage til 1989, og forventnigen er, at den vil fortsætte langt ud i fremtiden. Teknologien, metoderne og angriberne udvikler sig hele tiden, og det er for de fleste et spørgsmål om tid, før de oplever et ransomware-angreb. Jacob Herbst gennemgår historien.

Dubex skal undervise de kommende Business Cybersecurity Ambassadors

Forsikringsakademiet i samarbejde med Dubex udbyder til januar en ny uddannelse som Business Cybersecurity Ambassador, hvor medarbejdere i forretningen vil blive klædt bedre på til at agere sikkert i forhold til stigende en digitalisering.

Tak for din henvendelse. Du hører fra os hurtigst muligt.