Weop i media

Krönika i Aktuell Säkerhet: Ransomware, ett gissel som kommer att förvärras

Precis när vi trodde att det här med datorvirus i princip var historia, har det dykt upp en ny och jobbigare variant av skadlig kod: ransomware.

Ahh! Äntligen måndag tänker du och tar en klunk av det goda jobbkaffet medan du går igenom helgens mailskörd. Ett av mailen kommer från PostNord och handlar om ett paket till dig, inget konstigt med det, du beställer ju rätt mycket på Internet. Du klickar på en länk för att få mer information om var paketet är och var det kommer från.

Först händer ingenting, utom att din dator verkar arbeta lite hårdare. Efter en stund dyker dock ett meddelande från ett program som heter Cryptolocker upp på din skärm och på de flesta andra skärmar på företaget också. Alla användarfiler på företagets alla servrar har nu blivit krypterade och nu vill någon ha 5 Bitcoins för att ge er lösenordet så att ni kan dekryptera informationen. Problem? Ja, sannolikt.

yyyyyy

Snart 30 år av ransomware

Ransomware är dock inget nytt. Den första kända ransomwareattacken genomfördes redan 1989, med den så kallade AIDS-trojanen, som skickades ut på diskett till en stor mängd personer som arbetade mot AIDS. Ända sedan denna första attack och fram till för bara ett par år sedan har privatpersoner varit den primära måltavlan för ransomwareangrepp.

Fler attacker och attacker mot företag och myndigheter

Från 2014 har dock företag och myndigheter i allt större utsträckning börjat utgöra måltavlor. Antalet ransomwareattacker har också ökat med minst 500% sedan 2014, enligt Kaspersky Labs. Ökningen beror antagligen till del på att Bitcoins och liknande valutor fått spridning, samt på Tor-nätverket. Båda dessa underlättar för angriparna att vara anonyma och också att lättare kunna komma undan med lösensummorna.

Högre lösensummor

I takt med att företag och myndigheter har blivit måltavlor har också de utkrävda lösensummorna succesivt ökat. IT-säkerhetsföretaget Symantec säger i en rapport att lösensummorna ökade från ca 3000 kr i medeltal år 2014 till över 6000 kr under 2015.

Större attacker på senare tid

Några uppmärksammande ransomwareattacker de senaste åren.

Stockholms Läns Landstings administrativa förvaltningen råkade under mars 2015 ut för en stor attack. SLL lyckades efter ett par dagars totalt stopp i verksamheten, där flera hundra anställda fick gå hem, återläsa sina back-uper.

Skolverket utsattes för en attack i början av 2015 där hela deras dokumentserver innehållande 20 miljoner dokument var oåtkomlig i en hel vecka.

Ett stort antal amerikanska sjukhus har utsatts för ramsomwareattacker, varav många har sett sig tvungna att betala lösensumman. I maj i år blev t.ex. Kansas Heart Hospital utsatta för en attack och betalade lösen. Angriparna lät då sjukhuset få tillgång till en del av informationen efter att de betalat, men krävde sedan ytterligare lösen. I mars i år angreps Hollywood Presbyterian Medical Center in Los Angeles och sjukhuset betalade ca 150 000 kr i lösen.

Att sjukvården drabbas hårt är ingen slump, kombinationen av behovet av hög tillgänglighet till patientjournaler och sämre säkerhet än de flesta andra organisationer gör sjukhus och vårdgivare till idealiska måltavlor.

Ok, vi förstår, men hur skyddar man sig då?

  1. Off-line back-up!

Den absolut viktigaste åtgärden är att ha off-line backup. Många företag och myndigheter har vant sig av med att ha off-line back-up idag. Man kör replikering mellan två hot-sites eller har en site i halv stand-by osv. Denna typ av lösningar kan i värsta fall riskera att bli helt krypterade. Viktigt är naturligtvis också att inte bara ta back-up utan att också regelbundet kontrollera att det verkligen går att läsa tillbaka datat.

  1. Utbilda användarna

Utbilda användarna är självklart, det stoppar inte bara ransomware mail, utan även försök till dataintrång via phishing mail. Att utbilda användare räcker dock bara en bit på väg och jag måste med skammens rodnad på kinderna erkänna att jag själv klickade på ett tidigt PostNord-mail i min telefon, tur man inte kör Android.

  1. Lägg på fler lager av tekniskt skydd.

Sandbox- och filereputationlösningar stoppar rätt mycket av dagens ransomware. Application whitelistning är också bra, exempelvis Microsofts Applocker höjer ribban högst avsevärt.

  1. Uppdatera och patcha

Behöver jag säga det? Att bara ha programvaror utan kända sårbarheter i sina nätverk gör det mycket svårare för alla angripare.

Prognos för framtiden

Räkna med att det blir avsevärt värre. En relativt hög andel av offren betalar utpressarna för att få sina filer dekrypterade. Enligt en studie gjord av University of Kent 2014 betalade ca 40% av offren. Detta gör att det kommer in mycket mer resurser i utvecklingen av nya attackverktyg och framförallt helt nya tekniker för attack.

På Weop AB gör vi prognosen att det bara är en tidsfråga innan avancerade angripare börjar kombinera dataintrång med ransomwareangrepp och då kommer man kunna komma åt även ganska väl skyddade back-uper och orsaka stor skada för angripna företag och myndigheter. Vi ser ju idag exempel på ekonomiskt drivna dataintrång där angriparna har varit inne i sina offers nätverk under mycket lång tid innan själva angreppet genomförts. Angreppen på två ryska banker i våras och många av kreditkortsstölderna från amerikanska affärskedjor är typiska exempel på sådan uthållighet.

John Daniels VD Weop AB

John Daniels VD Weop AB